Nie takie RODO straszne, jak je malują?

25 maja 2018 r. wejdzie w życie unijne rozporządzenie dotyczące ochrony danych osobowych. Temat ten wciąż wywołuje wiele pytań i obaw. Czy słusznie? Co to oznacza dla konsumentów? Jak firmy powinny przygotować się na zmiany? Co im grozi, jeśli tego nie zrobią?

Rozmowa z  Agnieszką Grzesiek – Kasperczyk, radcą prawny, współwłaścicielką kancelarii MyLo.

Dzień dobry, Pani Agnieszko. Troszkę Panią pomęczę w temacie RODO.

Witam, śmiało!

Do kancelarii MyLo spływa na pewno wiele różnego rodzaju zapytań w temacie RODO. Których jest najwięcej? Czego firmy boją się najbardziej? Które kwestie najtrudniej zrozumieć przedsiębiorcom?

Najczęściej trafiają do nas pytania o kompleksowy audyt pod kątem RODO. Specjalizuję się w prawie marketingu, dlatego najwięcej zapytań mam od agencji i dostawców narzędzi marketingowych oraz od działów marketingu z firm z przeróżnych branż. Osoby z tych działów często zostają wyznaczone w firmie jako odpowiedzialne za wdrożenie RODO i – gdy zaczynają orientować się w temacie – napotykają na informacje o mnóstwie formalności do spełnienia. Wtedy najczęściej pada pytanie: „czy naprawdę musimy po 25 maja 2018 roku zbierać te wszystkie zgody i stosować na naszych stronach internetowych kilka check-boxów”? Jestem chyba jednym z nielicznych prawników, którzy na to pytanie odpowiadają „nie”. 🙂

Jak to – nie trzeba mieć mnóstwa zgód?! Jest zgoda na przetwarzanie danych, zgoda na przesyłanie newslettera, zgoda na wysyłanie oferty handlowej, na korzystanie z urządzeń końcowych i różne inne niezwykle istotne zgody! 😉 Czy to „nie” jest jednoznaczne?

Ilość wymaganych zgód oczywiście będzie zależała od konkretnego przypadku – czasami będzie wymagane kilka, czasem wystarczy jedna, a czasem nie potrzeba żadnej. Chodzi o to, by nie generalizować. Nie powinno się mówić, że „zawsze wymagane są trzy check-boxy”, bo tak nie jest.

Firmy, a czasami również prawnicy, zapominają, że zgoda nie jest jedyną przesłanką i możliwą podstawą do przetwarzania danych. Jedną z takich przesłanek jest też wykonywanie umowy, a więc nie trzeba na przykład stosować check-boxa pod formularzem zamówienia o treści „wyrażam zgodę na przetwarzanie moich danych osobowych do celów realizacji zamówienia”. Tymczasem w wielu sklepach e-commerce takie zgody się spotyka, co uważam za nadgorliwość.

RODO też – w przeciwieństwie do poprzednich przepisów – wskazuje, że można wyrazić „za jednym zamachem” kilka zgód naraz – jeżeli będzie to odpowiednio wyraźne, konkretne zachowanie. Tu więc można szukać kolejnej „oszczędności” jeśli chodzi o ilość zgód.

Jeśli natomiast chodzi o newsletter i te zgody, które Pani wymieniła… RODO mówi, że zgoda na przetwarzanie danych osobowych może być wyrażona „poprzez czynność” – niekoniecznie poprzez pisemne oświadczenie (podpis na papierze pod tekstem lub zaznaczenie check-boxa obok tekstu). Takiego samego sformułowania używa ustawa o świadczeniu usług drogą elektroniczną – jest tam powiedziane, że zgoda na otrzymywanie informacji handlowych może być wyrażona poprzez czynność (m.in. poprzez udostępnienie adresu e-mail na ten cel). Więc tak naprawdę na gruncie RODO te dwie zgody się „kumulują”. Według mnie, jeśli ktoś wyraża zgodę na otrzymywanie mailowo informacji marketingowych, to automatycznie wyraża też zgodę na używanie do celów marketingu bezpośredniego urządzeń końcowych, które te maile wysyłają.

Cała filozofia polega więc na tym, by mieć świadomość, na co tak naprawdę potrzebujemy zgody i jak możemy te zgody pozyskać w sposób najbardziej przyjazny dla naszych klientów, użytkowników, subskrybentów czy fanów.

Chyba mogę już potwierdzić, że „odczarowuje Pani mity na temat danych osobowych”. Jak to się dzieje, że tak niewielu prawników ma taką umiejętność?

To trudne pytanie! Może to wynikać z tego, że wielu prawników czyta przepisy i kilka komentarzy do nich, a następnie po prostu wydaje swoją opinię, że dany przepis oznacza to lub owo. Nie interesuje ich zbytnio, jak w praktyce wpłynie to na firmę ich klienta lub konkretne procesy biznesowe. A przecież ochrona danych osobowych dotyczy ogromnej większości podmiotów (praktycznie każdej firmy i każdej instytucji publicznej w Polsce!), a prawników, którzy chcą naprawdę zgłębić temat (zrozumieć cel tych przepisów, a nie tylko literalne brzmienie) jest, niestety, znacznie mniej.

Uważam, że prawo, choć czasem bywa źle napisane, jest dla ludzi i tak naprawdę u podstaw większości przepisów kryje się jakiś większy cel, jakaś mądrość. Niezbędne jest wtedy nieszablonowe podejście, a nie wzruszanie ramionami i mówienie, że przepis jest bez sensu. Tak właśnie do tego podchodzę w swojej pracy.

No tak, RODO rodzi i na pewno będzie rodziło wiele problemów przedsiębiorcom i instytucjom publicznym. Wspomniała Pani wcześniej o informacjach nt. RODO, których w Internecie przecież nie brakuje. Ile z nich zasługuje na uwagę? Ja czytam o RODO codziennie [taka praca;)] i bywa, że niczego nowego się nie dowiaduję. Czy uważa Pani, że przedsiębiorcy wystarczy wiedza wyłącznie z Internetu, gazet czy krótkich filmików? Czy też nie da się firmy przygotować bez pomocy specjalistów?

Z Internetu można dowiedzieć się sporo, ale dopiero gdy ma się już pewien podstawowy zasób wiedzy o RODO – aby móc napotkane w sieci treści w jakimś stopniu filtrować. Najczęściej bowiem po przeczytaniu kilku artykułów o RODO w głowie czytelnika powstaje ogromny mętlik.

Wiedza z Internetu, webinariów i gazet może ewentualnie wystarczyć, ale tylko naprawdę małym podmiotom, które tych danych nie posiadają dużo, nie przetwarzają na dużą skalę, a oprócz tego mają pewną wiedzę o bezpieczeństwie informacji tj. wiedzą, w jaki sposób odpowiednio zabezpieczyć dane na swoim laptopie, by zminimalizować ryzyko dostępu do tych danych osobie postronnej. W większych firmach, według mnie, nie obędzie się bez pomocy specjalistów, bo RODO to również wiele decyzji do podjęcia, w tym m.in. jakie zabezpieczenia techniczne stosować. To są to decyzje biznesowe, ale muszą one opierać się na specjalistycznej wiedzy w zakresie ochrony informacji. Tego się nie przeskoczy.

Czy jednodniowe szkolenie z RODO „załatwia sprawę” tj. wystarczy przeszkolić kogoś, aby ta osoba była w stanie przygotować organizację na nadchodzące zmiany?

Bardzo lubię prowadzić szkolenia z RODO, ale nie ukrywam, że jednodniowe szkolenie na pewno nie wystarczy. Dlatego ograniczam się do szkoleń w branży marketingowej, by na całodziennym szkoleniu zwrócić uwagę na najważniejsze aspekty tego wycinka działalności firmy. Nie ma natomiast możliwości, by całościową wiedzę o RODO zmieścić w jednym, czy nawet dwóch dniach szkoleniowych.

Już mówię, dlaczego tak uważam. RODO wymaga połączenia wiedzy co najmniej z dwóch dziedzin: prawa i informatyki, a dodatkowo należy znać biznes, w którym chce się wprowadzać ochronę danych osobowych. W dużych firmach niewątpliwie przyda się zatrudnienie takiego eksperta na stałe.

Jeśli chodzi o mniejsze firmy, to osobiście uważam, że dobrze jest wyznaczyć w firmie osobę odpowiedzialną za RODO, która odbędzie jedno lub kilka szkoleń, ale osoba ta: po pierwsze, będzie się później stale doszkalać (samodzielnie szukając źródeł, czytając wiele publikacji i materiałów), a po drugie, swe wątpliwości będzie na bieżąco konsultować z prawnikiem i informatykiem.

Uważam, że najlepszym Inspektorem Ochrony Danych w firmie będzie osoba wewnętrzna, znająca tę firmę od podszewki, a niekoniecznie posiadająca najwyższą wiedzę w dziedzinie RODO. Niech ta osoba ma możliwość stałej konsultacji z zewnętrznym ekspertem – wówczas wydaje mi się, że efekty współpracy będą najlepsze.

Powiedziała Pani o połączeniu sił prawnika i informatyka. A marketingowcy, których Pani szkoli? Czy oni są „zbędni”?

Nie, oczywiście, że marketingowcy nie są zbędni w procesie dostosowania firmy do RODO! Wspomniałam, że osoba, która chciałaby pełnić rolę Inspektora Ochrony Danych, albo osoba, która miałaby wziąć na siebie zadanie pt. „dostosowanie firmy do RODO”, musi mieć wiedzę co najmniej z tych dwóch dziedzin (prawa i bezpieczeństwa IT). Natomiast marketing (w szczególności obecnie, w dobie digitalu) jest kolejną dziedziną wiedzy i dostosowanie firmy do RODO na pewno musi obejmować również przegląd wszelkich stosowanych w organizacji metod marketingowych. Tutaj rolą marketera będzie wytłumaczenie prawnikowi, jakich tak naprawdę narzędzi i funkcji używa w taki sposób, aby prawnik mógł te procesy odpowiednio rozpatrzyć z punktu widzenia prawa. Z kolei programista powinien współpracować z marketingowcem, aby móc doradzić, jakie środki techniczne zastosować, by zminimalizować ryzyko nieautoryzowanych operacji na danych osobowych. Tak to – w ogromnym uproszczeniu – powinno funkcjonować.

Czyli podsumowując: informatyk, prawnik i marketingowiec muszą współpracować? Czy przyda się ktoś jeszcze w tej „burzy mózgów”?

Jakiś dobry duszek, który sprawi, że te trzy osoby będą mówiły tym samym językiem. 😉

Serdecznie dziękuję za rozmowę!

Ja również!

Rozmawiała: Katarzyna Zarzecka, Project Manager Fundacji Rozwoju i Ochrony Komunikacji Elektronicznej

 

 

 

 

 

 

 

 

 

 

 

Show Buttons
Hide Buttons