JAK WDROŻYĆ RODO?

Ochrona danych osobowych po 25 maja 2018 r.

Zostaw e-mail, a otrzymasz link z pełną dyskusją ekspertów dot. RODO.

Podczas dyskusji na żywo ekspert odpowiadał na pytania uczestników! Sprawdź wszystkie pytania wraz z odpowiedziami TUTAJ!.

Podaj email i oglądaj!

Regulamin

Z dyskusji dowiesz się m.in.:

Maciej Orłoś - prowadzący

Dziennikarz, gospodarz programów telewizyjnych i konferansjer. Jeden z najbardziej popularnych prezenterów telewizyjnych w Polsce – laureat czterech Wiktorów, w tym Super Wiktora za całokształt dokonań oraz Telekamery. Trener wystąpień publicznych, autoprezentacji i kontaktów z mediami. Najbardziej rozpoznawalny gospodarz Teleexpressu, z którym związany był przez 25 lat. Od 1999 r. prowadzi biznesowe szkolenia z wystąpień publicznych, autoprezentacji oraz szkolenia medialne.

EKSPERCI RODO W APEXNET:

Anna Żmijewska

Trenerka szkoląca administrację publiczną oraz sektor prywatny. Niezależna konsultantka i audytor w zakresie Ochrony Danych Osobowych. Specjalizuje się w obsłudze prawnej przedsiębiorców, w szczególności w zakresie ochrony danych osobowych, prawa autorskiego, prawa własności przemysłowej, e-commerce, prawa umów oraz prawa nieruchomości.

Tomasz Palak

Ekspert ApexNet specjalizujący się w RODO. Publikuje artykuły oraz prowadzi szkolenia z zakresu prawa autorskiego, ochrony danych osobowych, regulaminów. Dyrektor Oddziału Pomorskiego w międzynarodowej strukturze Kancelarii SWWP Świeca i Wspólnicy. Autor najlepszej prelekcji czwartej edycji konferencji "I love marketing”.

Transkrypcja debaty

Dzień dobry 25 maja 2018 roku wchodzi w życie rozporządzenie unijne dotyczące ochrony danych osobowych tzw. RODO. Pojawią się nowe przepisy, nowe obowiązki, ale też zagrożenie w postaci sankcji finansowych. Zmiany jakie do tego czasu muszą wprowadzić firmy są dość poważne, a nad głowami przedsiębiorców wisi widmo, być może nawet wielomilionowych kar. Czy to rozporządzenie jasno mówi o tym co i jak należy wdrożyć, co trzeba zmienić we własnej firmie, aby działać zgodnie z prawem? Będę właśnie o tym rozmawiał z moimi gośćmi Ekspertami w tej dziedzinie, prowadzącymi na co dzień szkolenia w zakresie wdrażania RODO. Z przyjemnością przedstawiam państwu naszych ekspertów: są to Anna Żmijewska- niezależny konsultant i audytor w zakresie ochrony danych osobowych- Witam panią oraz pan Tomasz Polak, radca prawny, prowadzący szkolenia z zakresu prawa autorskiego i ochrony danych osobowych.
Jeszcze zanim zaczniemy rozmowę chciałbym zachęcić was do zadawania pytań podczas naszego programu, ekspert ApexNet będzie odpowiadał na wasze pytania.
No to zacznijmy pani Anno pytanie podstawowe: co to jest RODO? Jak wdrażać? Kiedy wdrażać?

Rodo jest aktem prawnym, rozporządzeniem Parlamentu Europejskiego i Rady Unii Europejskiej z 27 kwietnia 2016 roku, które zacznie być stosowane od 25 maja obecnego roku. Kiedy wdrażać? Już wdrażać, nie czekać na polską ustawę. Zdecydowanie uważam że trzeba zacząć wdrażać już, bo na tego 25 maja teoretycznie musimy być gotowi.
I jeszcze jak wdrażać?
Skutecznie, czyli według na ten moment naszej najlepszej wiedzy na temat tego jak stosować RODO. Jeżeli my wdrażamy RODO to wchodzimy w takie etapy jak audyty, to jest pierwsza rzecz którą powinno się w naszej ocenie robić, analiza ryzyka- absolutna podstawa RODO, przyjęcie odpowiednich rozwiązań na tej podstawie, a następnie wdrożenie i zawarcie i w odpowiednich procedurach i na końcu przeszkolenie osób które mają mieć kontakt z danymi osobowymi.
Panie Tomaszu czy RODO rzeczywiście wymaga skomplikowanych zapisów?
Ja myślę, że wręcz przeciwnie, RODO na przykład jeżeli jesteśmy rekrutowani i wysyłamy CV, w tej chwili spotykamy się z tym, że wysyła się tą klauzulę że “zgadzam się na przetwarzanie danych” no większość pewnie przedsiębiorców bierze pierwszy wynik z internetu z góry, nie do końca go prawdę mówiąc rozumiejąc i tam mówi że na podstawie ustawy której nie znam nie rozumiem z 97’ roku  te wszystkie fragmenty będą zbędne. RODO wręcz nalega na to żeby te zapisy były prostsze niż dotąd właśnie bez tego rocznika, tego dziennika ustaw i tak dalej, wręcz niemalże dążące do: zgadzam się na przetwarzanie moich danych, w tym przypadku na potrzeby rekrutacji bo trzeba podać cel no i oczywiście co tej osobie się należy.
W kontekście RODO mówi się o wysokich karach, mam takie wrażenie nawet że RODO może się niektórym kojarzyć z takim zagrożeniem. Jeżeli nie wdrożę RODO odpowiednio, nie dopełnię pewnych regulacji i tak dalej, to czekają mnie wielomilionowe kary wręcz prawda, jak jest naprawdę?
To jest w ten sposób, że oczywiście do nas, przypuszczam że pani Anna się zgodzi, często też trafiają również przedsiębiorcy z obawy przed tą karą, a co tu kryć, po prostu te karty są wykorzystywane przez podmioty które usiłują przez to trochę zarobić i eskalują jakby trochę te kary a jednocześnie w rzeczywistości finalnie te kary mają być uciążliwe dla dużych podmiotów, dlatego są takie duże i chodzi tu o to żeby taki powiedzmy Facebook nie mógł sobie wpisać w budżet jakiejś drobnej stosunkowo, procentowo kary i powiedzieć: no to my się nie przejmujemy tymi danymi osobowymi tylko jeżeli to jest procent rocznego, światowego obrotu to to zaboli nawet Facebooka.
Tak żeby wskutek analizy ryzyka nie doszedł do wniosku że bardziej mu się opłaca niewdrożenie RODO.
Tak, że po prostu wrzuci sobie w budżet tą karę jakąś drobną.
Tak, bo są tego rodzaju praktyki kiedy mówimy, nie wiem, o kwestiach dotyczących ochrony dóbr osobistych, że niektóre firmy sobie tam sobie wpisują w budżet i już mają to odfajkowane, czyli nie straszymy karami. Pani Anno, pani Anna się zgadza?
Tak, te kary są oczywiście, ale my się na przykład nie skupiamy na karach, polecamy naszym klientom żeby się nie na nich nie skupiali tylko na obowiązkach wynikających z RODO.

No dobrze, ale jeżeli coś by się nie udało ktoś by coś coś źle wdrożył, nie dopełnił jakiegoś obowiązku wynikającego z RODO to ta kara rzeczywiście gdzieś tam wisi nad głową takiego przedsiębiorcy?
To jest pytanie w którym najlepiej byłoby zastanowić się przede wszystkim nad potencjalną skalą, na przykład wycieku i tego co przedsiębiorca nazwijmy to potocznie nabroił. Nie będą to miliony jeżeli powiedzmy zdarzyło mu się wypuścić maile do większej liczby osób niż planował i widzą nawzajem swoje adresy mailowe i to jest jakaś jednoosobowa działalność i 50 e-maili i poszło. Przecież to nie będzie te słynne 20 000 000 €, bo to by było po prostu paranoiczne, więc finalnie dopasowana jest to do skali problemu, do skali wycieku i do skali tego jak przedsiębiorca się przygotował, jeżeli trafił się ten fuckup krótko mówiąc, to będzie mógł się bronić tym że, właśnie jak pani Anna wspominała, dokonał audytu, wdrożył procedury, przeszkolił  kogo trzeba no i że po prostu nie był w stanie zapobiec bo trzymało się to po prostu wspólnie całości.

Tym bardziej, że nie oszukujmy się, RODO samo wskazuje że należy mierzyć i testować te środki które się wdrożyło, czy one są skuteczne, a środki dotąd są skuteczne dokąd nie zawiodą. Jeżeli dołożyło się należytej staranności to uważam, że nie oznacza to od razu że dostanie się karę, tym bardziej, że są to również środki administracyjne, czyli nie koniecznie kary, ale na  przykład upomnienia, albo inne nakazy. No w tym bardziej dotkliwe czyli zakazanie przetwarzania.
No tak, ale no właśnie upomnienia czyli tak jak z policjantem drogówki, może się uda że się skończy na pouczeniu nie obiecujemy, ale jest taka możliwość.

To jest dobra analogia do świata motoryzacji bo przyszło mi do głowy, że z tymi karami to jest trochę tak jak w niektórych krajach z mandatami, że wysokość mandatu zależy od skali zarobków.
No dokładnie.
No tak, gdzieś w Skandynawii.

W związku z nową regulacją prawną RODO zarówno osobie, której dane dotyczą, ale również organom nadzorczym przyznano szereg uprawnień, które pozwalają na ukaranie podmiotu, który przetwarza dane osobowe nie zgodnie z RODO. Ciągle o tych karach. Jak to się odbywa?
Nie wiem do kogo?
Do Pani Anny.
Do mnie.
Powiem tak faktycznie przyznano nowe uprawnienia osobom, których dane dotyczą, w tym bardzo słynne prawo do bycia zapomnianym, natomiast nie powiedziałabym że jest to forma ukarania, chyba, że mówimy o fakcie, że musimy taką osobę poinformować, której dane dotyczą, o tym że będzie mogła no zwrócić się do organu nadzorczego, złożyć odpowiednią skargę na nas, że przetwarzamy jej dane nie zgodnie z RODO, na przykład nie zrealizowaliśmy jej prawa do bycia zapomnianym. To taka możliwość będzie istniała, natomiast ja cały czas byłam za tym żebyśmy się skupili w tym momencie na tym jak właściwie wdrożyć w naszej instytucji te prawa osób których dane dotyczą, trzeba się dowiedzieć jakie mamy dane, gdzie my my mamy te dane łącznie z tym, gdzie my mamy backupy i jak w razie czego usuniemy tą osobę z tych backupów, bo jeżeli już będzie zasadne żądanie o realizację prawa do bycia zapomnianym to będziemy musieli to zrobić. No i zastanówmy się jakie będziemy mieli podstawy ewentualnie do odmówienia realizacji tego prawa, bo to nie jest prawo absolutnie, nie przysługuje zawsze i wszędzie. W RODO w artykule 17 są też przewidziane sytuację takie, kiedy możemy odmówić, na przykład przepis prawa, także każda branża, każdy przedsiębiorca powinien się zastanowić: kiedy mogę to zrobić i wpisać to w procedurę, wręcz stworzyć odpowiednie szablony.
Kiedy mogę to zrobić, czyli kiedy mogę odmówić?
Kiedy muszę zrobić, a kiedy mogę odmówić, kiedy mogę odpowiedzieć tej osobie: przykro mi bardzo, ale z uwagi na taki i taki przepis prawa ja jeszcze jestem uprawniony do przetwarzania twoich danych i nie usunę cię w związku z tym.
A kiedy tak można powiedzieć, a kiedy nie można tak powiedzieć?
No na przykład mamy obowiązek przechowywania danych, mamy terminy przedawnienia w przepisach prawa podatkowego. Jeżeli dzisiaj skończyła się umowa, jutro ktoś do mnie przychodzi i mówi zapomnij mnie, to po pierwsze no jeszcze mógłby w trakcie okresu przedawnienia wystąpić do mnie z roszczeniami- to jest jedna z podstaw, a druga z podstaw jest właśnie taka że nie mogę, bo jak organ podatkowy ode mnie zażąda żebym mu okazał dokumenty to się po prostu nie da.
To bardzo prosty przykład.
Tylko warto przewidzieć to na zapas, że właśnie potencjalnie jest możliwość odmówienia w naszej własnej procedurze i tak jak tutaj pani Anna wspomniała, z tych praw osób w sposób taki nieco lustrzany powinny wynikać nasze obowiązki, nasze wewnętrzne procedury, jak umożliwimy tym osobom przetwarzanym no realizację właśnie prawo do bycia zapomnianym i inne analogiczne.
Panie Tomaszu a co znosi RODO, jakie likwiduje obowiązki?
Likwiduje liczne obowiązki. Zacznę od tego w większości takie, które już teraz nie były przestrzegane i które są ulugą dla przedsiębiorców albo nawet uświadomieniem, że w ogóle istniały, na przykład ewidencjonowanie osób upoważnionych do przetwarzania, czy nadawanie im upoważnień do tego przetwarzania na piśmie, co oznacza, że teoretycznie w swojej firmie każdy przedsiębiorca powinien mieć Excela, przy tym Excelu powinny być listy, że ten pracownik ma dostęp ten, ten, ten i tak dalej, no więc dla mnie też troszkę generowanie tylko danych, które tym bardziej mogą wiedzieć, no i nadawanie upoważnień na piśmie więc jakieś segregatory wszystkie o tej samej treści: ja, Tomasz Palak powiedzmy, jeżeli to jest mój pracownik, nadaje upoważnienie tobie taki i taki żebyś zajął się aktami Macieja Orłosia.
Dziękuję.
Proszę bardzo, no i finalnie generuję taką papierologię. Zniknie, zniknie też obowiązek posiadania dwóch dokumentów, które w praktyce też nie nie często się pojawiały, mimo obowiązku, czyli Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym, chodź no sugerowałbym w to co dotąd było w nich zawarte trochę wpleść swoje wewnętrzne procedury i zniknie obowiązek zgłoszenia zbioru danych osobowych do GIODO, który też w sumie, główną motywacją tego zgłaszania było to że lista jest jawna i że nasz konkurent mógł zobaczyć, że nas na niej nie ma i donieść gdzie trzeba.

RODO, GIODO i jeszcze JODO. A JODO to jest co?

JODO, czyli inspektor ochrony danych to będzie taki podmiot, który zastąpi nam ABI, który dotychczas był dobrowolny, inspektor ochrony danych w niektórych przypadkach będzie obowiązkowo w niektórych organizacjach. To będzie taka osoba, która będzie nadzorowała czy w organizacji dane osobowe są przestrzegane. Co do zasady powinna być przede wszystkim niezależna i mieć możliwość sprawdzania w jaki sposób administrator przestrzega i pracownicy administratora rozporządzenia o ochronie danych.

Chciałbym wam przypomnieć, że można zadawać pytania na czacie teraz właśnie, a nasz ekspert ApexNet będzie odpowiadał na wasze pytania także bardzo prosimy. Rozmawiamy o różnych aspektach dotyczących RODO z Anną Żmijewska i z Tomaszem Palakiem. Anna Żmijewska- niezależny konsultant i audytor w zakresie ochrony danych osobowych, Tomasz Pawlak radca prawny prowadzące szkolenia z zakresu prawa autorskiego i ochrony danych osobowych.
Kolejne pytanie: jaka jest rola analizy ryzyka w RODO Pani Anno.
Rola analizy ryzyka jest kluczowa, jest to kwestia zasadnicza ponieważ zmieniło się podejście właśnie nie wszyscy muszą mieć to samo, tak jak było do tej pory, czyli jest ustawa, jest do niej rozporządzenie, które mówi co ile należy zmienić hasło, tylko RODO mówi: administratorze dobierz w odniesieniu do tego co się u ciebie dzieje w firmie, jakie masz ryzyka dla bezpieczeństwa danych, dla poufności integralności, dostępności, właściwe środki organizacyjne i techniczne. Czyli nie jest tak, że wszyscy muszą mieć szafki zamykane na klucz, tylko trzeba się zastanowić czy tutaj w tym wypadku jest to z jakiegoś powodu zasadne.
Bo tak domyślnie chodzi o to, żeby to się też nie zestarzało, no bo już coraz rzadziej w praktyce mamy papiery i dotyczy nas to ile kluczyków musi bronić tych nieszczęsnych segregatorów. No ja na przykład mój prywatny komputer nie odblokowuje hasłem wpisywane, które musiałby zmieniać tylko dotykają, smyrając, że tak powiem po ekranie w odpowiedniej kolejności, więc tak w odpowiedniej kolejności więc no finalnie też teoretycznie okazałoby się, że być może nie przestrzegam tych przepisów, a przecież to jest nieracjonalne, jak najbardziej mój komputer jest chroniony, tylko przepisy się starzeją, a praktyka idzie do przodu. Nie wiadomo jak za 5-10 lat będziemy chronić swoich danych.

No ale takie rzeczy będzie trzeba updatować w jaki sposób.
Tak, RODO na nas nakłada taki obowiązek.
A poza tym RODO nie skupia się tak bardzo na środkach i właśnie nie mówi a to ile kluczyków, a to ile znaków hasło i tak dalej, tylko mówi narzuć sobie tę procedurę sam, updateój tak jak Pan wspomina, no i żeby po prostu było to spójne krótko mówiąc.

Czyli nie da się zrobić raz segregatora i zapomnieć, absolutnie.
Dokładnie.

W serwisach internetowych często wyrażamy zgodę na przetwarzanie danych osobowych, no wszyscy użytkownicy to znają. Czy ta zgoda to jest jedyna podstawa, która umożliwia przetwarzanie danych osobowych jak tę zgodę reguluje RODO?

Absolutnie nie jest to jedyna podstawa przetwarzania danych osobowych. Tych podstaw jest zdecydowanie więcej, jest ich od a do f w artykule 6 i chyba w artykule dziewiątym który dotyczy danych szczególnych kategorii jest ich jeszcze więcej, chyba nawet 10 i za każdym razem powinniśmy się zastanowi, jaka podstawa nas dotyczy. Bo na przykład może jest to umowa, wcale nie koniecznie zgoda i absolutnie zawierając umowę, czyli na przykład akceptując regulamin nie powinna na stronie jeszcze się znajdować zgoda, która pozwoli temu administratorowi na przetwarzanie danych w celu wykonania umowy. Taką analizę należy przeprowadzić i zastanowić się, która podstawa jest właściwa

Panie Tomaszu, niech Pan coś jeszcze dopowie.

No ja się absolutnie tutaj zgadzam z tym, że nie dajmy się zwariować.

Nie dobrze, tak ciągle liczę, że pan się nie zgodzi z panią Anną.

Postaram się.

Że Pani Anna się nie zgodzi z Panem.

Nie dajmy się zwariować krótko mówiąc. Te zgody niejednokrotnie będą potrzebne, być może ich treść się trochę wydłuży jako taki, bo po prostu wydłuży się katalog praw jakie osoby przetwarzane mają, ale to niekoniecznie znaczy, że zwiększy się ich liczba jako taka, tak metaforycznie to przekładając na checkboxy na przykład na stronie, tak, na tej kwadraciki. Pewnie nie będzie samych kwadracików więcej, tylko być może będą miały ciut dłuższą treści, o parę słów dających więcej praw, natomiast zgadzam się absolutnie z Panią Anną, że nie ma tutaj zawsze tej konieczności i może warto się przyjrzeć właśnie na etapie audytu czy jest to po prostu konieczne.

A jakie dane trzeba zabezpieczać, co trzeba usunąć, z jakich nośników trzeba usunąć i tak dalej?

No cóż tutaj wchodzimy na zasadę privacy by default.

Jeszcze raz?

Privacy by Default zdefiniowaną w RODO, która to plus minus, w dużym uproszczeniu, mówi, że powinniśmy zbierać tylko takie dane, które są nam potrzebne, a ewentualnie być również w stanie wykazać, że są potrzebne. Czyli jeżeli na przykład ja się melduje w hotelu i proszony jestem o numer dowodu osobistego, to w gruncie rzeczy jestem zdania w tej chwili, że to nie jest potrzebne. No bo po co hotelowi, żeby jakkolwiek mnie zameldować i zrealizować te usługę? Może poproszą mnie jeszcze, nie wiem, o panieńskie mojej mamy i teoretycznie jest to bez sensu i prawdopodobnie gdybym audytował tę firmę to odpowiedzieć na to pytanie: dlaczego te rzeczy tam są brzmiałaby: to już tak byle przyszedłem. To jest tak od zawsze. No a pomyślmy, że na przykład osoba na recepcji jest nie nieprzyjemna, spojrzała że płacę kartą, dzwoni do mojego banku, chcę zrobić kredyt, oni oczywiście weryfikują ją, mówią: proszę podać numer dowodu- ona ma, proszę podać panieńskie matki- ta osoba ma, bierze na mnie kredyt i sytuacja jest oczywiście mocno ekstremalna, ale no nie taka trudna do wyobrażenia, a finalnie dochodzimy do sytuacji, w której no cóż no przez to, że za dużo zbieranych było danych krótko mówiąc, wyciek był większy i bardziej szkodliwy dla mnie jako osoby przetwarzanej, więc ja bym tutaj skupił się właśnie na tej zasadzie zgodnie, z którą w momencie przykładowo rejestracji powinienem mieć minimum danych, podawać, lub ewentualnie mieć możliwość dowiedzenia się z jakiego powodu dane są potrzebne.

Ja jako klient, konsument i jestem bardzo „za”, bo nie od dzisiaj irytuje to, że tyle w tylu miejscach pytają mnie o tyle danych.

No moim właśnie ulubiony przykładem jest numer dowodu osobistego często nie do końca wiedzą te osoby po co, być może myślał, że to pomoże na przykład jeżeli ktoś nie zapłaci, ale myślę że pani Anna jako prawnik się zgodzi, że tutaj raczej przyda się do pozwu bardziej PESEL.

PESEL zdecydowanie.

Ale PESEL dla mnie jest jeszcze bardziej irytujący. To ja już zdecydowanie wolę podać numer dowodu niż PESEL.

Ale PESEL się przyda administratorowi, a numer dowodu niekoniecznie.

Numer dowodu zaraz się zmieni, będzie nic nie warty tak naprawdę.

A skoro już jesteśmy przy takich konkretnych przykładach, to czy coś powinno się zmienić w działalności windykatorów? Czy windykator dzwoni żeby porozmawiać na temat zaległej raty kredytu załóżmy, no i taki windykator zawsze robi identyfikację klienta, czyli zaczyna od adres tam PESEL, nie wiem coś jeszcze, coś jeszcze, imię panieńskie, nazwisko matki właśnie. Czy w tym zakresie coś się zmieni?

Myślę że będą nieco trudnej, bo będą musieli trochę mocniej też to weryfikować, żeby po prostu nie nastąpiła sytuacja w której ktoś do mnie dzwoni i źle trafia, ale ja na przykład dowiaduje się wskutek tej rozmowy, że ktoś, mój sąsiad ma jakieś kłopoty krótko mówiąc windykacyjne.

Czy RODO gwarantuje nam prawo do bycia zapomnianym?

To pani Anna już zaczęła także myślę że…

Tak, to jest to co ja powiedziałam, że z jednej strony nam gwarantuje, z drugiej strony są wyjątki, które umożliwiają i to są racjonalne wyjątki na odmówienie realizacji prawa do bycia zapomnianym. To są między innymi kwestia istniejących jeszcze roszczeń i między innymi jest to kwestia właśnie przepisów na które możemy się powołać, że jeszcze jesteśmy zobligowani do przetworzenia tych danych.

No to to jest to o czym mówiliśmy. Ale z perspektywy zwykłego konsumenta, takiego statystycznego Polaka powiedzmy, który ma już dosyć tej inwigilacji w jego rozumieniu. Co on może zrobić, gdzie on może pójść i powiedzieć: słuchajcie, proszę mnie zapomnieć, ja już mam ja, nie chcę żebyście gdzieś tam przetrzymywali moje dane, nie chcę już tego udostępniać. To jak to się odbywa, się zmieni?

To może się zgłosić do administratora, tzn. w ogóle nie było do tej pory prawa do bycia zapomnianym, ono pojawiło na podstawie orzeczenia ETS to bodajże 2013 roku, natomiast w ustawach takiego przepisu nie było. W tym momencie będzie to możliwe na podstawie właśnie artykuł 17 RODO i taka osoba powinna się zwrócić do administratora, że chce zrealizować prawo do bycia zapomnianym. I my mamy niezwłocznie, nie później niż w terminie miesiąca, a w przypadku skomplikowanych spraw lub kiedy tych żądanie jest mnóstwo w terminie trzech miesięcy, odpowiedzieć jakie czynności podejmiemy w związku z tym faktem. Dlatego tak jak ja sugeruję, dobrze jest wiedzieć jakie dane i gdzie się je trzyma, żeby tak, żeby później nie było paniki w oczach, gdzie są jego dane, jakie jego dane, a przecież mogą być jakieś dane w plikach Cookie, co to są zadane. W związku z czym na prawo do bycia zapomnianym należy się przygotować, zweryfikować systemy informatyczne i będziemy je w stanie zrealizować. Może w ogóle ktoś przetwarza w Excelu i będzie w stanie tą osobę wyszukać ręcznie. A może ma taki zestaw w którym trzeba go zmodyfikować żeby to było w ogóle realne.

A jak do tego wszystkiego mają się pliki cookie, Big Data i to wszystko co się dzieje, co ma związek z nowoczesnymi technologiami, z siecią i jakby to powiedzieć z badaniem klienta i dostosowaniem ofert pod danego klienta. No to się po prostu dzieje. Czy RODO coś zmieni w tym zakresie?

To jest ciekawa sprawa, bo to nie będzie akurat RODO, tylko wchodzące wraz z nim inne rozporządzenie e-privacy, które często jest pomijane w sumie no bo łatwiej zapamiętać jeden skrót. No cóż to jest właśnie tak jak mówię wchodzące jednocześnie i pobocznie i może przez to pomijane i tam są regulowane na przykład zasady telemarketingu, czyli nie może bezpośrednio danych, ale również cookie i cookie w mojej ocenie zmieni się na lepsze, bo myślę, że nie przepadamy za komunikatami o cookies pojawiającymi się na stronach internetowych, a w tej chwili będzie to robione na poziomie przeglądarki. Mam tu na myśli to rozwiązanie w którym, no ja sobie ściągnę przeglądarkę internetową i ona na początku spyta mnie jak bardzo lubię ciastka i sobie na tym suwaków gdzieś tam ustalę, czy wszystkie ciastka są OK, nie pasują mi ciastka które mnie śledzą, nie pasują mi ciastka które wypełniają za mnie formularze, nie pasują mi ciastka, które są zapisywane na moim komputerze, i tak dalej, i tak dalej- aż do nie pasują mi żadne ciastka. Oczywiście ten suwak jest teraz trochę przeze mnie improwizowany, ale plus minus, i jeżeli wchodzę na jakąś stronę, i ona to tylko takich cookies używa, no to nie dostanę komunikatu, jeżeli potrzebuje jeszcze jakiegoś- zapyta.

E-privacy wchodzi w tym samym momencie? 25 maja?

Tak. Utrudni też życie telemarketerem bo będziemy w stanie zidentyfikować, że to oni do nas dzwonią i tej sprawie.

Czyli można powiedzieć, że dużo się zmieni, że właściwie, czy możemy mówić o rewolucji w tym zakresie, czy to była przesada?

Raczej o ewolucji.

Ewolucji?

Tak, bo to jest spowodowane faktem, że technologie się rozwijają i trzeba było prawo, które tak naprawdę nie było do nich dostosowany zmienić.

A co by Państwo powiedzieli osobie, która bardzo boi się nadejścia RODO, tych zmian, nie wie, co się wydarzy, nie wie czym to się je, ma obawy, że będzie więcej komplikacji, że to skomplikuje działalności przedsiębiorców. Jakby państwo odpowiedzieli takiej osobie na tego typu wątpliwości?

Ja bym się starał ją przede wszystkim uspokoić, bo tutaj mamy do czynienia z istocie z sytuacją, w której te osoby mogą być krótko mówiąc naciągane. Pojawiają się właśnie symulowane takie jakby postawienie na szali z jednej strony tej wielkiej kary, powiedzmy 20 milionów euro, tak, a z drugiej jakiegoś nie wiem ebooka za 40 zł, który niewiele pomoże no ale stara się tutaj zarobić tylko mówiąc. A to są często Ci ludzie, którzy teraz w odkryli, że wchodzi zmiana, nie mając o tym kompletnie pojęcia. Ja na przykład dostałem taki mail w którym firma twierdziła że zna się na tym od dawna i tak dalej i tak dalej, a jednocześnie zobaczyłem adresy e-mailowe pozostałych 500 osób, więc myślę, że nie jest to dobry przykład. Albo innego razu dowiedziałem się od znajomego który z kolei dostał takiego ebooka, który był płatny tam chyba 40 zł, że w treści tego ebooka są no ukradnięte wprost mówiąc rzeczy, które u mnie na blogu są za darmo. Więc to są tego typu raczej sytuacjie. Ja bym uspokajał taką osobę, twierdził żeby przede wszystkim nie dała się naciągnąć, że da się tutaj w takiej kolejności: audyt, procedury, szkolenie może jeszcze jakaś tam weryfikacja w postaci udawanej kontroli czy jakiegoś tajemniczego klienta, ale to już dobrowolnie, że w tej strukturze da się to na spokojnie nazwijmy to ogarnąć.

Żeby wyjaśnili tę kwestię, kiedy Pan mówi o naciąganiu i o niebezpieczeństwie naciągania, to mówi pan o takich sytuacjach, kiedy ktoś strasząc RODO proponuje jakąś ofertę komercyjną?

Tak, no my sobie zdajemy sprawę, że po prostu większość przedsiębiorstw słyszał tym kontekście kar, a te kary z kolei są tak eskalowane przez tych, którzy próbują właśnie tak jak to porównałem, mam nadzieję trafnie, postawić to na szali: wielka kara, ajakieś grosze za książkę.

Poza tym to jest szansa dla organizacji na uporządkowanie swoich procesów biznesowych, też poznanie samej siebie. Myślę, że należałoby ją po prostu wykorzystać.

To jest ciekawe podejście, że jest ta szansa.

To prawda. Ja na przykład, jeżeli mam okazję wdrażać w jakichś większych podmiotach, to niejednokrotnie okazuje się, że wdzięczni są mi członkowie poszczególnych działów, bo nagle na przykład dział IT po wielu latach doprosił się o tę niszczarkę, pod pretekstem nie jako trochę RODO, bo nagle pani na sekretariacie, która wiecznie była oskarżana o to, że na biurku leży poczta i ktoś może zabrać, za moim pośrednictwem w końcu miała okazję wytłumaczyć na przykład zarządowi, że ona krótko mówiąc nie jest głupia, tylko nie mam gdzie tego schować, nie ma szuflady. No i to brzmi może jakby banalnie, ale to też są te procedury z których nagle może wyniknąć, że sekretariat ma chować do szuflady, a szuflada jest. Więc firmy nie jednokrotnie rzeczywiście robią sobie trochę porządku czasem w rzeczach niekoniecznie dotyczących wprost danych osobowych, tylko nie wiem, obiegu dokumentów i są z tego zadowolone, gdy okazuje się że to była dobra okazja.

Ustalmy sobie pewne sprawy. Co to są dane osobowe?

Dane osobowe, to są takie informacje, które pozwalają na zidentyfikowanie osoby fizycznej, przy użyciu prawdopodobnych środków przy niewielkim nakładzie czasu lub kosztów organizacyjnych. Mając jakąś informację za każdym razem musimy się zastanowić, czy ona może stanowić z daną osobową. Poza tym musimy mieć na uwadze postęp technologiczny, ponieważ ona dziś może nie stanowi danej osobowej, a za pół roku pojawi się technologia która po tej informacji umożliwi nam właśnie przy nakładzie niewielkich kosztów czasowych, organizacyjnych na zidentyfikowanie tej osoby i będzie to sposób prawdopodobny.

Jakiś przykład? Żeby to sobie wyobrazić?

Już podaję. Najprostszy przykład kwestia numeru karty miejskiej. Dla jednej osoby będzie daną osobową, dla drugiej nie. Jeżeli ja dostanę cudzy sam numer karty miejskiej ten to musiałabym się bardzo postarać żeby tą osobę zidentyfikować. Natomiast jeżeli w ZTM mają numer karty miejskiej poradzą sobie bez problemu.

Moje odciski palców mogą być danymi osobowymi?

Ależ oczywiście jeżeli służą do zidentyfikowania osoby fizycznej są to dane biometryczne, dane szczególnych kategorii.

Zabezpieczenie systemów informatycznych. RODO w IT krótko mówiąc. Jak to wygląda?

No wygląda to tak, że znowu w gruncie rzeczy układamy to po swojemu, tak jak najwygodniej. Jeżeli jesteśmy w stanie oczywiście uzyskać akceptację osób przetwarzanych. No wiadomo. że mile widziane, że tak powiem, są wszelkiego rodzaju hasłowania, szyfrowania tego rodzaju działanie, natomiast no finalnie ma to ja myślę akurat w ciągu najbliższych lat praktyce się to nie zdarzy, ale doprowadzi do sytuacji że nie wiem, za 7, 12 lat, jeżeli kupuję sobie marynarkę, tak na przez internet, i mam do wyboru tą samą marynarkę, w tej samej cenie i tak dalej, to przewagę konkurencyjną jednej z firm będzie to, że będę mógł sprawdzić sobie jakie dane ode mnie biorą i w jaki sposób o nie dbają i wybiorę wówczas tę lepszą. To też ma w pewien sposób być no po prostu urynkowione.

Co się dzieje z na przykład z mailingiem ze Stanów Zjednoczonych?

Czyli, że współpracujemy z firmą zewnętrzną, która nam mailing robi tak?

Tak, która jest gdzieś na świecie.

Ze Stanów to akurat najtrudniejszym przypadek. Może zacznijmy od nieco łatwiejszego. Po kolei może tak. Jeżeli jest z Unii i objęta jest RODO, to mamy najłatwiej ta firma więc warto zweryfikować, zapytać czy sprawdzić w regulaminie, umowie. Są też państwa, które zostały uznane przez RODO za mające inne przepisy, ale o tej samej nazwijmy to jakości, czyli Kanada, Argentyna, jest dostępna lista w google, bardzo łatwo sobie można, ale nie Stany Zjednoczone. Stany Zjednoczone mają z kolei firmy, które przestrzegają i wewnętrznego USA standardu, który nazywa się privacy Shield, i jeśli firma jest na tej liście takim ISO, takim Teraz Polska, teraz Stany, no to jest ok, krótko mówiąc i firmy te które powszechnie kojarzymy ze Stanów najczęściej po prostu na tej liście są, czyli właśnie te mailingowe, te chmury, ale no oczywiście należy do zweryfikować. Tak trochę też instynktownie, chodzi o to, żeby nasze dane nie trafiały do takich jak to się mówi państw krzak, takich jakiś źle rozumianych rajów podatkowych, czy czegoś takiego, gdzie możemy po prostu być zaniepokojeni.

Jaka jest zasadnicza różnica, czy też są zasadnicze różnice, w zakresie wdrażania RODO w małych i dużych przedsiębiorstwach?

No taka, że te małe przedsiębiorstwa mają inną strukturę organizacyjną, inne potrzeby niż te duże. W dużych przedsiębiorstwach mamy na przykład 50 stacji roboczych, w których każdą trzeba zabezpieczyć. W jednoosobowej działalności gospodarczej zazwyczaj jest to jeden komputer, który trzeba zabezpieczyć, ewentualnie jeszcze jeden telefon który trzeba zabezpieczyć, no i takie rzeczy które zdarzają się w obu przypadkach, czyli ewentualnie zalanie, pożar jeżeli przetwarzamy dane osobowe szczególnie w formie papierowej, to należałoby je również zabezpieczyć. Podmioty małe najczęściej też korzystają z tak zwanych procesorów. Procesor to jest taki podmiot, który świadczy na naszą rzecz jakieś usługi, na przykład firma hostingowa, na przykład chmury. Z takimi podmiotami należy zawrzeć umowy o powierzeniu i administrator powinien zadbać o to, żeby założyć z takim procesorem, który gwarantuje odpowiedni poziom ochrony i za chwilę po 25 maja ja myślę, że dużo z tych podmiotów przejdzie proces certyfikacji na to że są zgodne z RODO, szczególnie te większe i wówczas po stronie takiego administratora, który jest jednoosobową działalnością najbezpieczniejsze będzie korzystać z certyfikowanych procesorów.

To jeszcze dopytam w imieniu ludzi którzy prowadzą jednoosobową działalność gospodarczą, przed chwilą mówiliśmy o tym, co to właściwie znaczy, że taka osoba ma zabezpieczyć swój komputer i swój telefon komórkowy.

Ja rekomendowałabym zaszyfrować dysk, ponieważ jeżeli ktoś tam ukradnie ten komputer, to on nie musi się logować do naszego komputera, żeby się dostać do jego zawartości dysku, tylko będzie mógł sobie ten dysk wyjąć, przełożyć do innego komputera i już ma wszystko. Jeżeli przetwarzamy dane na komputerze, tak jak ja na przykład, przetwarzam dane swoich klientów, sugeruję mieć szyfrowany dysk. No i na przykład telefon zabezpieczony co jest bardzo powszechne daną biometryczną w postaci kciuka, tak więc nawet jak ktoś tam ukradnie ten telefon to też będzie się musiał bardzo natrudzić, żeby się do niego dostać.

Panie Tomaszu ostatnie słowo jeszcze może chciałby pan coś dodać?

W tym temacie? No myślę, że tak naprawdę jedno kluczowe jest wyobrażenie sobie sytuacji że ktoś jednak, jakimś cudem nazwijmy to, jeżeli już nie szyfrujemy ma na myśli sytuację, jednak siada przed tym komputerem i dostał się do poziomu pulpitu nazwijmy to metaforycznie i wtedy też zrobić sobie krótko mówiąc rachunek sumienia, czy mail jest zahasłowany, czy CRM jest zahasłowany, czy zahasłowany jest na przykład dysk zewnętrzny, jakaś chmura i tak dalej. Bo idealną byłaby sytuacja, że nawet jeśli zdobył bym dostęp do komputera, to z poziomu pulpitu nadal nic bym nie osiągnął, bo są kolejne hasła.

Dziękuję bardzo. Rozmawialiśmy o RODO, ale przy okazji poruszyliśmy też wątek e-privacy. 25 maja tego roku to jest ten dzień kiedy te nowe regulacje zostaną wdrożone. Anna Żmijewska- niezależny konsultant i audytor w zakresie ochrony danych osobowych oraz Tomasz Pawlak- radca prawny, który prowadzi szkolenia z zakresu prawa autorskiego i ochrony danych osobowych to moi i wasi goście. Bardzo wam dziękuję.

Podsumowując, z jednej strony musimy być świadomi zmian, które nas czekają, jak i obowiązków z nimi związanych, ale z drugiej strony można śmiało powiedzieć: nie takie RODO straszne jak ja malują. Szkoląc się i przyswajają nową wiedzę można w pełni zrozumieć intencje RODO. RODO dotyczy każdej branży, każdego człowieka i ma za zadanie chronić jego dobro, które do tej pory było mniej widoczne, nieco zapomniane. Chronimy swoje nazwisko, numer telefonu, mail, czyli tak naprawdę chronimy swój wizerunek. RODO otwiera przed nami kolejne drzwi do większej świadomości, odpowiedzialności, ale też większego bezpieczeństwa. Ustawa RODO jest bardzo złożona, Dlatego tak ważne jest by na bieżąco aktualizować wiedzę. konieczna jest stała edukacja, potrzebne są szkolenia podczas których wasz głód wiedzy Będzie zaspokajane przez ekspertów i trenerów RODO. W ślad za naszą rozmową otrzymacie pigułki wiedzy stworzone przez naszych ekspertów, które przybliżą wam zagadnienia związane z ochrona danych osobowych, a także pozwolą szerzej spojrzeć na kwestie związane z wdrożeniem RODO w waszej firmie. Dziękuję bardzo za udział w tym programie, do zobaczenia.

Rozwiń pełny tekst