FO 051 I co to RODO dało? Czy jest czego się bać?
wrz 11

FO 051 I co to RODO dało? Czy jest czego się bać?

To już 3. rok RODO. Czemu 3.? No, bo rok przed straszono nas RODO, rok wejścia RODO to wiadomo, że rok RODO, a teraz mamy rok po RODO. No trochę paniki z tym RODO było i mnie ona też dotknęła, toć RODO to RODO no nie? 😉
A tak całkiem serio i przechodząc do tematu podcastu, czyli zgadnij czego 😉 pomyślałam, że przypomnę wam przypomnę, że RODO wiecznie żywe jest i trzeba się z nim zaprzyjaźnić, bo uciec raczej nie uciekniemy. O tym jak wygląda świat ponad rok po wdrożeniu RODO rozmawiam z Tomaszem Palakiem, który pomaga firmom w tym temacie.

Przeczytaj transkrypcję odcinka „I co to RODO dało? Czy jest czego się bać?” tutaj >>

Podczas nagrania słychać było miasto, ale mam nadzieję, że to nie będzie Ci przeszkadzać w słuchaniu naszej rozmowy, bo naprawdę warto!

 

 

W odcinku “I co to RODO dało? Czy jest czego się bać?” mówimy o:

  • Co zmieniło RODO?
  • Czy wdrożenie RODO sprawiło, że nasze dane są lepiej chronione?
  • Można ufać gotowcom i szablonom dokumentów RODO?
  • Czy panika związana z RODO jest uzasadniona?
  • Czy wymagane są checkboxy przy zapisie do newslettera – czyli zgody na marketing i kontakt?
  • Jak się mają polskie ustawy: ustawa o świadczeniu usług drogą elektroniczną i ustawa związana z prawem telekomunikacyjnym do RODO?
  • O czym należy pamiętać mając dane klientów?
  • Czy jeśli nasze dane osobowe wypłyną to dowiemy się tego?
  • Jakie informacje należy przekazywać klientom odnośnie przetwarzania ich danych osobowych?
  • Czy RODO wymaga dokumentacji?
  • Jakich dokumentów wymaga RODO?
  • O co chodzi z przenoszeniem danych osobowych klientów i czego to dotyczy?
  • Czy były już kontrole RODO?
  • Jakie były kary RODO w Polsce?
  • Jak znaleźć kompetentnego prawnika od RODO?
  • Czy konieczne są na stronach okienka z informacją o plikach cookies?
  • Czy RODO wymaga polityki prywatności na stronie internetowej?
  • Czym jest rozporządzenie e-privacy?
  • Czy w RODO coś się zmieniło od jego wejścia w życie?

Jedni mówią RODO srodo, inni RODO jak rodeo, a ja mówię – RODO trochę nabroiło, ale i wiele dobrego zrobiło. Po pierwsze uporządkowało pewne sprawy, po drugie zwiększyło świadomość ludzi o tym, że powinni dbać o swoje dane osobowe, a po trzecie – firmy zaczęły do ochrony danych osobowych podchodzić poważniej.

 

Nie mówię, że RODO mnie nie wkurza czasem, bo wkurza. Ale dużo rzeczy nas wkurza, a musimy je zaakceptować 😉 Dbajmy o dane osobowe, bo naprawdę cyberprzestępczość nabiera na mocy, zresztą nie tylko w Internecie nasze dane są świetnym kąskiem do różnych przekrętów.

Niebawem opublikuję rozmowę z Piotrkiem Koniecznym o zagrożeniach jakie na nas czyhają więc bądź czujny. A tymczasem odsyłam Cię do cyklu Tomka RODO jak rodeo, gdzie dowiesz się jeszcze więcej na temat tego rozporządzenia.
Pamiętaj, dzieląc się linkiem do tego odcinka z innymi robisz dobry uczynek – dobra treść niesie się dalej!
Trzymaj się, pa!

 

 

Linki

Tomasz Palak w sieci

Strona internetowa tomaszpalak.pl
Tomasz Palak na Linkedin
Tomasz Palak na Facebooku

 

Skąd możesz pobrać podcast Firma On-line?
Podcast dostępny jest :

Zapisz się także na mój newsletter by być na bieżąco, a przy okazji otrzymać fajne prezenty.

A jeśli spodobał Ci się ten odcinek będę wdzięczna za komentarz i podzielenie się tym odcinkiem z innymi osobami, którym jego treść może być przydatna. Będzie mi też miło jeśli poświęcisz chwile i zostawisz krótką ocenę podcastu w iTunes – dzięki temu inne osoby łatwiej dotrą do tego podcastu.

Oceń podcast Firma On-line >>

  • użytkownicy systemu IOS – iPhone, iPad i komputery Mac – wejdź do iTunes i kliknij w sklep, tam wyszukaj FiRMA ON-LINE. Możesz ocenić dodając gwiazdki, a także zostawiając komentarz. Dziękuje!
  • użytkownicy systemu Windows – zainstaluj na swoim urządzeniu aplikację iTunes, kliknij w niej w sklep, tam wyszukaj FiRMA ON-LINE. Możesz ocenić dodając gwiazdki, a także zostawiając komentarz. Dziękuje!
  • użytkownicy systemu Android – wejdź do Google Play, pobierz aplikację Apple Music i kliknij w niej w sklep, tam wyszukaj FiRMA ON-LINE. Możesz ocenić dodając gwiazdki, a także zostawiając komentarz. Dziękuje!

co to rodo dało

Trzymaj się ciepło i do usłyszenia niebawem 🙂

——————————————————————————

Transkrypcja odcinka I co to RODO dało? Czy jest czego się bać?

Cześć Tomku, powiedz co dobrego u Ciebie?

Wszystko w porządku, cieszę się bardzo, że będzie okazja sobie porozmawiać o aspektach prawnych.

RODO, to jest taki temat, którym cała Polska żyje. Nie wiem jak inne kraje.

Jesteś chyba już ostatnią z atłasów, która nie zniechęciła się jeszcze do RODO.

Miałam trochę z tym przyjemności i czytałam o tym dużo i pisałam artykuły, ale teraz wciąż tak naprawdę jestem zielona w tym temacie i jest jeszcze tyle niewiadomych dla mnie, mimo że faktycznie czytałam tą ustawę, myślałam, że rozumiem, wdrażałam też, tak wiesz, nie jako prawnik, tylko mówiłam klientom co powinni zrobić, ale cały czas jest fajny ten temat. Nim przejdziemy powiedz w kilku zdaniach coś o sobie. Jeżeli ktoś Cię nie zna, to będzie miał taki background.

Jasne. Jestem Tomek Palak. Jestem radcą prawnym, prowadzę bloga o „finezyjnej” nazwie TomaszPalak.pl [śmiech]. Na tym blogu opowiadam o tym jak prawo, a Internet mogą sobie pomagać, a niekoniecznie przeszkadzać, tak jak wielu osobom się wydaje. Blog jest czytany nie tylko przeze mnie, ale przez stosunkowo sporo osób, więc chyba się to podoba. Zdarza mi się być chwalonym za to, że właśnie te trudne aspekty prawnicze w przejrzysty sposób przekazuję. Dużo też występuję, szkolę, no bo właśnie i lubię i potrafię to prawo ułatwiać.

Tak, ja bardzo mocno Cię kojarzę właśnie z RODO, bo miałeś nawet taką serię chyba 3 lata jeszcze przed wejściem RODO.

Tak, zanim to było modne.

Właśnie i to już w sumie 3 rok mamy rok RODO, bo przed wdrożeniem, wdrożenie i teraz już rok po. Twoim zdaniem to powiedz mi, czy coś się zmieniło? Tak namacalnie. Czy możemy powiedzieć, że na przykład faktycznie nasze dane są lepiej chronione, czy też jest jakieś lepsze podejście przedsiębiorców do tego, czy to po prostu taki szał, nowa młoda?

Wiesz co, przede wszystkim tak poza prawem na pewno zmieniło się to, że przez tą panikę, przez ten łatwo zapamiętywalny skrót, w ogóle temat jest znany. Doszło do tego, że ludzie rzeczywiście zastanawiają się co się dzieje z ich własnymi danymi osobowymi. Już wcześniej mieli możliwość zapytać się firmy: „a co się dzieje z moimi danymi?”, ale kto tam trzy lata temu w praktyce to robił, żeby zapytać, dowiadywać się, a z drugiej strony, gdyby takie pytania zadać trzy lata temu, to w większości firmy byłaby odpowiedź, że nie mam pojęcia, sam nie wiem.

Z drugiej strony, już tak bardziej przechodząc prawnie, też uważam, że się zmieniło, bo firmy przynajmniej dowiedziały się, że mogą się tego pytania spodziewać, być na nie przygotowanym i co najmniej zastanawiać się z lepszym lub gorszym skutkiem, po prostu zaczęli się interesować w swoich działalnościach obrotem danych osobowych. A ci, którzy zrobili to jak należy, zrobili to, aby sami wiedzieć jak to należy prowadzić i umieć reagować.

Obserwuję to RODO tak naprawdę mocno nie różni się od tego wcześniejszego GIODO, tam trzeba było tylko papierki zrobić i z tego co widzę, kupowało się szablony, wypełniało i wystarczyło to mieć, a teraz jest już takie zainteresowanie typu: Co to jest? Co to oznacza? Po co mi to?

Tak, często te poprzednie regulacje były bardziej wymagające w wielu miejscach, często były w ogóle nie przystające do realiów, bo bardzo się skupiały na środkach przy pomocy, których trzeba było chronić te dane. Tam była nawet historia na ile kluczyków trzeba segregatory zamykać itd. A teraz coraz częściej firmy nie mają już żadnych segregatorów i żadnych kluczyków, więc w RODO też trochę chodziło o to, żeby tak bardzo nie skupiać się na środkach, żeby te środki sobie przedsiębiorca sam wykombinował i też właśnie dlatego, że sam musiał wykombinować bez żadnych gotowców, musiał sobie przeprowadzić rachunek sumienia, czy ja tego nie trzymam za długo, czy to odpowiednio przechowuję, a jak już zrobił ten rachunek sumienia to warto było to gdzieś spapierzyć.

Kluczowe jednak byłoby to zastanowienie się i zwrócenie uwagi na to, że to nie jest jednak taka bagatelna rzecz. W międzyczasie RODO wspomogło kilku afer typu Cambridge Analytica, gdzie też jakby temat danych osobowych nagle się okazał nie taki banalny, więc ja uważam, że RODO + Cambridge Analytica zdecydowanie w porównaniu ze stanem, nie powiem rok temu, bo rok temu to już było, ale tak półtorej roku temu, to jest znacznie większa świadomość, a ta świadomość u tych, którzy mają takie obowiązki przekłada się jednak na jakieś tam formy wdrożenia, a u tych, którzy nie mają obowiązków, przekłada się na najprostsze rzeczy, że jak dzwoni telemarketer potrafią go bardziej „spławić”.

A gdybyś jeszcze rozwinął temat Cambridge Analytica, bo nie każdy musi wiedzieć, to chodziło o to, że Facebook sprzedawał dane osobowe, tak?

Doszło do tego, że dane z Facebooka trafiły do firmy zewnętrznej, rzekomo bez zgody i wiedzy Facebooka, w co mało kto wierzy, a z pewnością bez zgody i wiedzy tych osób, których dane przeszły w ten sposób. Te dane były wykorzystywane były do robienia takich modeli psychologicznych, gdzie na podstawie tych profili te osoby były targetowane odpowiedniego rodzaju reklamami. Personalizowane, dopasowane do konkretnych osób reklamy. Dużo się o tym mówi, ja osobiście prywatnie w to wierzę, że te dane też stały za tym, że dobrze poszło w kampaniach Donaldowi Trumpowi i brexitowcą.

Ok. To jest fajny temat jak jesteśmy manipulowani w Internecie i w sumie tak naprawdę nasze dane osobowe są dla każdego na wyciągnięcie ręki i czasem wystarczy po prostu mieć umiejętności włamywania się na różne konta, a czasem po prostu pieniądze, albo to i to, to już w ogóle jest super. [śmiech]

[śmiech] To już jest najlepszy mix dla tego kogoś, kto chciałby manipulować. Tak, świadomość była nieduża, nadal nie jest jakaś ogromna, ale teraz świadomość wzrosła, a przez ten brak świadomości ludzie powierzali swoje dane różnym podmiotom, co najmniej nazwijmy to – podejrzanym. Dawały na przykład dostęp do mikrofonu aplikacjom, które służyły do obróbki zdjęć itd.

Dochodziło, więc do sytuacji takich, gdzie absolutnie bezmyślnie sami sobie to robiliśmy, nie zdając sobie z tego niejednokrotnie sprawy, a w międzyczasie trochę również przy pomocy RODO i wynikających z niego zasad, np. w kontekście tej aplikacji byłoby to Privacy By Default, z której wynika, że obowiązkiem jest zbierać te dane, które są potrzebne lub umieć uzasadnić że są potrzebne i właśnie chociażby z takich powodów zostało to posprzątane.

Pamiętam nawet, że miesiąc, czy dwa miesiące temu dostałem komunikat od Google, że ze sklepu Google wylecą wszystkie aplikacje, które nie mają uzasadnione dlaczego o każdą z poszczególnych rzeczy proszą. Faktycznie zrobili czystki, dzieje się to gdzieś w tle, ale jednak to RODO się przydaje.

Super. A z Twojego punktu widzenia osoby, która zna się na temacie, czy ta ogromna panika odnośnie RODO i te absurdy, które się działy, które w Internecie można było czy to przeczytać, czy też jakieś to żarty były. Tych absurdów trochę się pojawiało. Jak Ty na to patrzyłeś? Czy rzeczywiście to było takie straszne dlatego wszyscy panikowali, bo to było tak przedstawione, jakby rzeczywiście tego 25, czy 26 miała jakaś katastrofa nastąpić. [śmiech]

Kary za RODO mogą być duże, bo górne widełki dotyczą takich firm jak Google czy Facebook

Wiesz co, bo po prostu byli tacy, którym się opłacało mówić, że to będzie katastrofa i skalować temat, że kary mogą być duże. Te kary, zawsze to mówię na szkoleniach czy gdzieś wypowiadając się, te kary mogą być duże, ale górne widełki dotyczą raczej Google, Facebooka, natomiast po prostu byli tacy, którzy wywietrzyli swoją szansę, zaczęli straszyć tym RODO, a jednocześnie żerować na tym, że rzeczywiście ludzie oczekiwali wzorów, w związku z tym pojawiły się jakieś średniej jakości gotowce, a w RODO, tak jak mówiliśmy na samym początku, nie chodziło o to, żeby zrobić sobie parę gotowców, a pojawiły się gotowce, książki, które nie specjalnie pomagały, więc te kary z jednej strony robiły wrażenie, z drugiej strony byli jeszcze tacy, którzy jak to się mówi „podbijali bębenek”, z trzeciej strony pomimo, że na to były dwa lata to wszyscy się obudzili w maju i po prostu działo się dużo i to się wszystko nakładało.

To co ja prywatnie miałem w ostatnie tygodnie przed wejściem to była masakra, bo ja w zasadzie co chwilę odpowiadałem różnym osobom na te same pytania. Chciałem pomóc i dawałem z siebie wszystko, potem musiałem wyjechać na tydzień, bo nie mogłem już na to patrzeć.

W zasadzie nie było jednoznacznych komunikatów, jednego spójnego miejsca, w związku z czym ta panika narastała i zadając pytanie można było się spotkać z różnymi odpowiedziami w zależności od tego co kto sobie ubzdurał (mówią wprost), co sobie ktoś wyczytał, albo co sobie ktoś nawet uważał, że mu się opłaca, bo czasem odpowiedź na pytanie czy coś mi jest potrzebne, brzmiała „tak”, a w tle stało „kup to coś ode mnie”.

Tak. Wczoraj rozmawiałam z Niebezpiecznikiem – Piotrkiem Koniecznym. Też w sumie o kilku rzeczach myślałam, że są obowiązkowe, a tu się okazuje, że nie są obowiązkowe, tylko ja coś gdzieś „łyknęłam”, przeczytałam i zaczęłam w to wierzyć. Wydaje mi się, że wciąż nie ma tego zrozumienia odnośnie RODO, zabrakło tej edukacji.

Nie było z tym najlepiej. Tutaj pochwalę Niebezpiecznik – Piotra i jego ekipę. Czytam ich regularnie, nie tylko dlatego, że to są dobre wpisy, ale przede wszystkim ze względu na własne bezpieczeństwo i to jest bardzo dobry pomysł, aby być regularnym czytelnikiem Niebezpiecznika.

Świetną też robili robotę zadając kilka pytań do organów i zmuszając ich do interwencji. Potem, po jakimś czasie obowiązywania RODO zrobili taki artykuł, ile tak naprawdę było zgłoszeń, ile naruszeń, to też było ciekawe, więc Niebezpiecznik tu fajną robotę robi. Tutaj nie Niebezpiecznik miałem na myśli mówiąc o tym, że ludzie próbują coś swojego na tym RODO ugrać, Niebezpiecznik po prostu fajnie się zachowuje i zachęcam, żeby tam zaglądać.

Tak, my dwie godziny rozmawialiśmy w sumie.

Chętnie posłucham.

[śmiech] Dam Ci znać. Myślałam, że jak faktycznie będzie wyciek danych osobowych to ta firma, od której te dane wyciekną ma obowiązek poinformować, że dane wyciekły. Niebezpiecznik mnie uświadomił, że jeżeli to są rzeczywiście jakieś takie istotne dane, ale to czy to jest istotne, niebezpieczne to decyduje o tym ta firma, od której te dane wypłynęły. O istotności, o bezpieczeństwie.

Pojawia się tam taki temat: „ryzyko naruszenia praw lub wolności osób”, więc trzeba ewentualnie zrobić wycenę, czy istnieje takie ryzyko i patrzymy, czy rzeczywiście to następuje, warto się wesprzeć kimś zewnętrznym i dzięki temu dojdziemy do wniosku, że na przykład zginął komputer, ale nie jest w stanie nikt się do niego dostać, albo zginął komputer, ale tam są imiona nazwiska i nic więcej.

Piotrek to argumentował na przykładzie artykułów i firm, o których oni pisali. Faktycznie gdyby oni tego nie opisali, to by tak naprawdę to nie wyszło i to jest ciekawe. Wyszłam z założenia, że odkąd to RODO weszło to słyszy się coraz częściej w Internecie, czy u nich się czyta o jakiś wyciekach danych i on mi uświadomił. My o tym piszemy, ale ktoś kto nas nie czyta, niekoniecznie musi o tym wiedzieć, bo zwykle firma nawet o tym nie wie.

Poza tym dotąd nie było wprost takiego obowiązku przyznania się i teraz to jest dobra zmiana z RODO, że narzuca się tę konieczność, więc Niebezpiecznik czuwa, pewnie go też czytelnicy o tym informują. Natomiast to też wynika z tego, że Niebezpiecznik się fajnie rozrasta, bo jest o czym pisać, ponieważ jest obowiązek przyznania się.

Faktycznie, tak jak już wspomniałam, nasze dane są na wyciągnięcie ręki i mam wrażenie, że ludzie sobie nie zdają z tego sprawy. Nawet prowadząc sprzedaż, sklep internetowy to są tam takie dane, ludzie potrafią zapisywać karty kredytowe. Czy to jest bezpieczne czy nie, nie wiem, nie znam się, ale dla swojego spokojnego snu nie zapisuję już wszystkiego. Nie ma tego zrozumienia, są prowadzone jakieś rejestry, czy muszą być checkboxy przy zapisie do newslettera czy nie? Rzeczywiście ja się spotkałam z podejściami, że muszą być, że nie muszą być i tak naprawdę sama nie wiem.

Tu rzeczywiście mało kto wie, każdy trochę inaczej do tego podchodzi, bo niezależnie od tego, że istnieje RODO, które powinno ten temat wyczyścić, to jeszcze równolegle z tym istnieją nadal polskie ustawy, które swoje zdanie na ten temat mają. To jest ustawa o świadczeniu usług drogą elektroniczną, albo ustawa „Prawo telekomunikacyjne” i one wymagają zgody na informację marketingową, na używanie tzw. urządzeń końcowych, co sprowadza się najczęściej do telefonu, komputera. Sprowadza się to całe do tego, czy te zgody się nawzajem pokrywają.

Niektórzy twierdzą, że tak, inni, że nie. Ci bardziej rygorystyczni twierdzą, że trzeba mieć zgodę z jednej ustawy, zgodę z RODO i zgodę z drugiej. Inni mówią, że nie trzeba mieć zgody, że to się pokrywa, że to jest bezsensu, zróbmy jedną, albo zróbmy dwie. Dlatego właśnie tutaj jest ta wątpliwość w zakresie liczby tych checkboxów. Jest też taka szkoła, która mówi, że wyrażenie zgody na otrzymywanie newslettera może nastąpić po prostu poprzez sam fakt, że ktoś wpisał maila i kliknął OK i że nie trzeba w ogóle checkboxować. To jest w mojej ocenie dość bliskie duchowi RODO, bo tam jest często powiedziane, że da się osiągnąć zgodę tylko przez to, że ktoś dokona jakiejś czynności, to oczywiście trzeba móc udowodnić, ale na przykład kiedy on się wpisuje i jest to tzw. Double-Opt-In, czyli jeszcze potem klika w maila, że zgadza się otrzymywać newsletter, tym samym to jest jedyna metoda, żeby ten adres mailowy trafił na listę, więc to chyba można uznać, że klikający się zgodził.

Tutaj jednak mówię „chyba”, bo szkoły są różne, my prawnicy nabijamy się z tego. Jeszcze na studiach słysząc sformułowanie „spór w doktrynie” to znaczy, że są dwaj prawnicy i trzy opinie, to jest niestety taka sytuacja. Prawnik byłby w stanie sam z sobą się pokłócić, gdyby bardzo chciał, a wszystko wynika z tego, że te polskie ustawy jakby wtrącają się w paradę z RODO.

Szkoły na temat checkboxów są różne. Jedni twierdzą, że są potrzebne 3 zgody, inni w ogóle nie używają checkboxów

Prawnicy nie wiedzą, dlaczego więc prawnicy muszą to interpretować, a nie osoby, które te ustawy tworzą? Dlaczego to jest taki absurd? Powinna być jakaś interpretacja od tego, skąd to wychodzi.

Pozwolisz, że sprostuję – prawnicy nie, że nie wiedzą, ale każdy uważa inaczej, bo są różne szkoły. Odpowiadając jednak na główną część Twojego pytania to prędzej, czy później pojawi się jakaś jednoznaczna interpretacja, czy to sądu, czy urzędu ochrony danych. To jednak będzie później niż prędzej i na razie żyjemy w oczekiwaniu.

Jestem ciekawa co dalej będzie, bo tak jak mówisz, samo Double-Opt-In i ktoś wpisze Twój adres mailowy to i tak ty go musisz potwierdzić.

No to go nie otrzyma, prawda?

Faktycznie. Odchodząc już od tego RODO, chociaż nie wiem czy się da, bo to jest jednak mocno powiązane z bezpieczeństwem w sieci i ogólnie z ochroną danych osobowych i prowadzeniem biznesu. O czym jeszcze powinniśmy pamiętać oprócz tych okienek, checkboxów, o czym pamiętać prowadząc sklep internetowy i mając dane użytkowników, klientów?

Tutaj tak naprawdę to się dzieli na dwa obszary: ten, który klient widzi i którego nie widzi, w uproszczeniu. Jeśli chodzi o ten, który widzi, klient powinien móc się dowiedzieć jak te jego dane są obrabiane, jeśli mogę to tak brutalnie nazwać, czyli jakiś dokument polityki prywatności, fragment regulaminu, oczywiście odpowiednie treści zgód na te polityki, newslettery. Na przykład treści checkboxów.

I jest jeszcze druga warstwa, która prawdopodobnie została pominięta wśród tych, którzy wdrażali RODO na szybko. To, co działa gdzieś w środku, czyli jak te dane między działami w firmie przechodzą, jakie są wdrożone w tym zakresie procedury, kto ma te dane, jak długo trzymać, kto ma do nich dostęp, czyli krótko mówiąc taka dokumentacja wewnętrzna. To jest drugi aspekt, gdzie RODO nie oczekuje opierania się na jakiś wzorach, chociaż nie mówię, że jeśli ktoś z jakiegoś wzoru skorzystał to jest złe, ale tak na 99% to nie jest wzór z RODO, bo w RODO nie ma wzorów.

Warto jednak byłoby poruszyć takie aspekty, o których wspomniałem, w szczególności kto ma dostęp do danych, komu ma prawo przekazać i na jakich warunkach. To są takie pytania, które warto sobie zadać, a potem gdzieś to sformalizować w formie jakiś dokumentów i w razie gdy klient o to zapyta, aby udzielić mu odpowiedzi, a tym bardziej jeśli (odpukać) odwiedzi nas kontrola.

RODO nie ma konkretnych wzorów. Warto poruszyć aspekty takie jak: osoby, które mają dostęp do danych, komu mogą je przekazać i na jakich warunkach

RODO przecież mówi, że nie trzeba mieć papierków. To GIODO wymagało papierki.

Papierki ja to nazwałem umownie, ale to może być w formie elektronicznej, jeśli o to chodzi. Natomiast, jeśli nie spiszemy sobie kto ma dostęp do czego tylko będzie to „na gębę” to raczej się nie uda. Przyjdzie pięciu nowych pracowników i nikt nic znów nie będzie wiedział.

To trochę było zaczepne z mojej strony pytanie, bo spotkałam się z takim sformułowaniem, że RODO nie wymaga papierologii i jest mniej rygorystyczny, bo w RODO są takie dwa dokumenty, które warto mieć, czyli takie rejestry przetwarzania danych osobowych. To co powiedziałeś, jeśli nie spiszemy to nie będziemy wiedzieli. Z mojej obserwacji wynika jednak, że jak ktoś usłyszał, że nie trzeba mieć to już sobie odpuścił. Miałam taki przypadek z życia, gdzie pomagałam małemu sklepowi dostosować na tyle ile mogłam, nie będąc prawnikiem te różne zabezpieczenia. Oni nie rozumieli, po co mają spisywać niektóre rzeczy. Powiedziałam: „żebyście mieli, gdy ktoś się spyta, żebyście wiedzieli, zawsze można zajrzeć do tego”.

Tak, to jest pewne minimum, bo teraz powiem z własnego doświadczenia – widzę jak panika opadła, to zgłaszają się do mnie firmy i chcą teraz na spokojnie zrobić to, co trzeba było zrobić już dawno. Przychodzą i mówią: „OK, udało nam się obronić przed tą datą wprowadzenia RODO, jakoś to przypudrowaliśmy, zrobiliśmy na pałę, żeby to jakoś wyglądało, a teraz zróbmy to tak jak trzeba, pomału i od początku do końca”, więc ja mam niejednokrotnie usługę pt. “OK, zdrap puder i zróbmy to jeszcze raz”, albo niestety teraz bardzo częstą usługę pt. „Zrobił nam to jakiś oszołom, albo zrobiliśmy na wzorach i trzeba nam to odkręcić”.

Doskonale wiem o co chodzi. Teraz mi przyszło do głowy takie pytanie – w RODO jest coś takiego, że możemy jako konsumenci przyjść do jednej firmy i powiedzieć: „Przekażcie moje dane kolejnej firmie” to tak w wielkim skrócie. Czy to też działa w sklepach internetowych, że ja przychodzę do sklepu A i proszę o przeniesienie danych do sklepu B? Czy już popłynęłam fantazją?

Nie, wydaje mi się, że możemy się tego pytania spodziewać. Pewnie znalazłyby się wyjątki dla konkretnych sklepów, ale zasadniczo pewnie o to w tym chodzi, że ta osoba może sobie przerzucić te dane w jakiś taki znormalizowany sposób i stosunkowo wygodny w zasadzie w każdych okolicznościach.

Robota przerzucenia danych, czyli założenie konta jest przerzucana na sklep?

Niekoniecznie. Założenie tylko na przykład wysłania w PDF tych danych, które ma, czyli przeklejenie z PDF to dalej Twoja robota. Zejdę trochę ze sklepu internetowego, bo to są takie historie, że jeżeli zmieniasz ubezpieczyciela z jednego na drugiego i trzeba sprawdzić historię Twojej wypadkowości, albo bezwypadkowości, albo jeśli chcesz przejść z jednego operatora telefonu komórkowego do drugiego i potrzebny jest do tego biling to też o takie kwestie chodzi.

Najczęściej jednak w praktyce, to nie jest tak, że ktoś tego żąda na złość, tylko po prostu w tych sytuacjach nie są to takie podstawowe dane. Jeśli chodzi o adres i numer telefonu, to raczej bardziej będzie się opłacało wpisać to od zera, chyba że na złość któremuś sklepowi. Mogą to być aspekty głębsze, widziałem kiedyś takie przeniesienia np. w branży medycznej, że ktoś zmienia przychodnię i cała historia choroby musi tam przejść. To są takie głównie problemy.

To wtedy nie może być płatne?

Nie.

Pytam, bo kiedyś też była taka możliwość, ale ja jednak kiedyś za przeniesienie z przychodni do drugiej musiałam zapłacić. Były już jakieś kontrole, o których słyszałeś? O jednej osobiście słyszałam, ale to nie była moja branża. Czy są czasem masowe kontrole?

Kontrolami się jednak ludzie nie chwalą, bardziej jednak karami. Słyszałaś o karach?

Tak, o jednej.

W Polsce były dwie kary dotyczące RODO. W Unii było ich 120

W Polsce były dwie. Jedna za niewypełnienie obowiązku informacyjnego, czyli za niepoinformowanie ludzi, że się trzyma ich dane i obraca nimi. Natomiast jest to kara kontrowersyjna, bo urząd twierdził, że trzeba wysłać listy fizyczne do tysięcy, milionów osób. Tamta firma, która tego nie dokonała też się powoływała na przepis, który jest w RODO, że jeżeli wiąże się to z niewspółmiernymi kosztami to nie trzeba. Oni, więc uznali, że to są niewspółmierne koszty i cała kara rozbijała się o to, czy te koszty są współmierne czy niewspółmierne, w związku z tym od tej kary się odwołano i jeszcze nie jest ostateczna, uznana za dość kontrowersyjną w środowisku tych co się RODO zajmują.

I druga za kontrowersyjną nie była uznana i bardziej chętnie się o niej opowiada. Związek Piłki Nożnej na stronie internetowej miał dane sędziów piłkarskich włącznie z PESELami i adresami, więc niepotrzebnie absolutnie i za to dostali karę, ale pomimo zwrócenia uwagi nic z tym jeszcze nie zrobili. To są dwa przykłady kar, które nastąpiły w Polsce. Dużo nastąpiło w Unii, zauważyłem, że zapomina się o tym, że RODO jest w Unii. W całej Unii już tych kar jest koło 120. Najwięcej w Niemczech, bo jakże by inaczej.

Nasi zachodni sąsiedzi jak zwykle są dość rygorystyczni, ale to są kary np. w Austrii za zbyt duży obszar monitoringu fizycznego, w sensie kamer, czyli kręcenie czegoś, co nie jest potrzebne. Na Węgrzech, w Rumunii i w Bułgarii dostali kary za to co w praktyce w Polsce się nadal zdarza i czekam aż ta kara padnie, czyli że podaję w banku numer telefonu w sprawie wzięcia kredyty, a wydzwaniają na ten numer zupełnie z czymś innym. Tak samo z mailem.

Gdzieś na Cyprze bodajże zrobili tak, że na zdjęciu osoby prowadzonej do więzienia dało się rozpoznać policjantów. W Belgii kandydat na burmistrza w jakimś niedużym miasteczku zaczął spamować: „głosujcie na mnie” do ludzi, którzy absolutnie nie w tym celu podali mu maile, bo to był dotychczasowy burmistrz, czyli do swoich kontrahentów, więc za to dostał. Dzieje się wbrew pozorom, tylko trzeba patrzeć na to szerzej i więcej się pytać o kary, za co się dostało. Jeszcze taki przykład w szpitalu w Portugalii lekarze, którzy już nie pracowali w tym szpitalu mieli nadal dostęp do danych pacjentów. A to wrażliwe dane, medyczne. Za takie, więc rzeczy kary wpadają i z tego się więcej można nauczyć. W ramach tej serii o RODO będę teraz więcej o tym pisał.

RODO jak rodeo, prawda? [śmiech]

Tak, RODO jak rodeo, dokładnie. Będziesz jej częścią. [śmiech] Zaczęłaś pytaniem czy są kontrole. No oczywiście, że są, bo są kary. Natomiast do samej kontroli, która jeszcze nie wiadomo czym się skończyła, albo zamknęła się jakoś po cichu, to jeszcze nikt się tym dokładnie nie pochwalił. Możemy się jeszcze dowiedzieć jakie są oczekiwania jeśli będziemy wsłuchiwać się za co, kto dostał karę i jeśli będziemy pamiętać, a widzę, że mało się pamięta, że te kary są nie tylko w Polsce, bo tylko o tych dwóch się mówi, a jest ich zdecydowanie więcej państw w Unii.

Pytam o Polskę, o kontrole, dlatego, że przy GIODO nie baliśmy się. Znam biznesy, sklepy internetowe, które latami nie wiedziały w ogóle co to jest GIODO, bo nie było tych kontroli. Istniały sobie ogromne bazy subskrybentów i nikt się tym nie przejmował.

Niespecjalnie czuwali. Wiem o co chodzi. Faktycznie w swojej praktyce nie słyszało się o tym, że te kontrole się odbywają, natomiast teraz znowu to się trochę zmienia, z tego powodu chociażby, że RODO jest głośne i ludzie jednak słyszą, że ktoś tam dostał karę. Niby jedna firma, niby dwie, ale no jednak ktoś i czemu nie miałbym to być następny ja.

W mojej ocenie może być tak, że największe ryzyko mają ci, którzy dostali od urzędów jakieś instrukcje, bo są dokumenty, które na przykład precyzują w zakresie monitoringu, w zakresie rekrutowania, w zakresie medycznym, czyli szpitale itd., dla szkół. Oni dostali to już jakby na talerzu i nie wykręcą się od tego, że nie wiedzieli, więc wydaje mi się, że najbardziej powinni zwrócić uwagę ci, którym urzędnicy już pomogli jak się dało. Jeśli się dowiedzą, że nie wiedziałem, albo nie zająłem się to na pewno nie będzie to dla nich usprawiedliwienie.

Czy możemy dostać karę, za to, że dane wyciekły, bo nasz pracownik wysłał w korespondencji otwartej jakieś tam wiadomości, np. informacje o konferencji, imię i nazwisko, adres mailowy ludzi i wszyscy inni widzieli te adresy. Czy to też podchodzi pod jakieś wykroczenie?

To zależy jakie tam były dane, bo jeśli to były tylko maile, to na ich podstawie nie zawsze można stwierdzić kto to jest, bo jeżeli ktoś ma maila: buziaczek, słodziaczek, to znów wchodzimy w kontrowersję w zakresie tego, czy dane są zawarte w adresie mailowym, bo raz jest, a raz nie.

Jeśli ja mam maila Tomasz Palak i jest tam nazwa firmy to myślę, że jest. Ogólnie za takie coś można dostać karę, ale to jest znów kwestia wyceny tego ryzyka, naruszenia praw i wolności. Czy duże jest ryzyko naruszenia, jeśli z dziesięciu uczestników na konferencji, są to osoby z dziesięciu firm z działów marketingu i adresy tych osób widnieją na stronach. Nie chcę mówić, że kary nie będzie, nie mogę obiecać, ale to jest inna zupełnie sytuacja niż tak jak wspominałem, gdy można dostać się do bazy danych medycznych szpitala i sprawdzić czy sąsiadka jest zdrowa czy choruje wenerycznie, no bez przesady.

Ciężko po mailu stwierdzić czy dane tam zawarte są prawdziwe. Jest to kwestia wyceny ryzyka, naruszenia praw i wolności

Chodziło mi właśnie o adresy mailowe, takie dane imię i nazwisko, w tym sensie pytałam, ale faktycznie, jeśli to jest na stronie, to nie ma tematu

Trochę bym sobie ulżył, jeżeli to jest same imię i nazwisko to nie będzie to danymi osobowymi, bo dane osobowe są zdefiniowane w ten sposób, że jest to zestaw cech, który pozwala zidentyfikować konkretną osobę, a Janów Kowalskich jest dużo, więc potrzebny jest jakiś trzeci czynnik, aby zidentyfikować konkretną osobę. Być może mail, być może adres, być może PESEL, ale najczęściej jest tak, że jeśli mamy tylko imiona i nazwiska to jest duża szansa, że to jeszcze będzie się dało próbować jakoś tam bronić. Jednak, jeśli na przykład będzie wiadomo, że to jest imię i nazwisko i że to był klient tego sklepu to trochę inaczej.

Czytając Niebezpiecznika pewnie słyszałeś o Morele.net. Wyciek danych. Powiedz mi, bo to jest całkiem spory sklep, który ma przemiał ludzi, klientów. Sama jestem klientką. Czy na podstawie tego case, gdzie faktycznie te dane wyciekły i prawdopodobnie dwa razy, czy jako przedsiębiorca, który trzyma je online i te dane mogą wycieknąć, możemy jakieś wnioski dla siebie wyciągnąć, co można byłoby zrobić lepiej niż Morele.net? Jak się zabezpieczyć?

Tutaj temat był jednoznaczny, że nastąpiły jakieś tam zaniedbania. Polecałbym, nie tylko sklepom, ale też zwykłym ludziom sprawdzić sobie, jest taka stronka https://haveibeenpwned.com/ gdzie wpisuje się swojego maila i ona mówi, czy ten mail już nie zdążył wyciec, a przede wszystkim, jeśli zdarzy się nowy wyciek, tak mi się zdarzyło tydzień temu, że dostałem od niej maila, że mail, na który się rejestrowałeś na portalu takim i takim, bardzo możliwe, że gdzieś „były jaja” ponieważ portal ogłosiła. Przecież ja nie wchodzę na każdy z tych portali, żeby sprawdzić. Forma takiego newslettera informującego o tym, że mogło nastąpić gdzieś jakieś zagrożenie i tym sposobem co najmniej, jeśli miało się takie samo hasło do portalu i do maila, który tam był podany to żeby to hasło chociaż zmienić.

O ile się nie mylę, to my nie znamy powodów dla których ten wyciek nastąpił. Mogę się jedynie posłużyć wskazówkami, żeby zabezpieczać jak najlepiej, dawać jak najmniejszej ilości osób, pilnować czy ktoś się nie włamał, reagować na to jeśli ktoś twierdzi, że ma dane. To jest właśnie ciekawe, bo zauważyłem, że bagatelizowane to jest, a często ktoś się odzywa i mówi, że zauważył, że mamy tutaj błąd, poprawcie to, a firmy to „olewają” i potem ten ktoś, bo się zezłości, albo ten ktoś, bo próbował najpierw lekkiego szantażu, albo ktoś inny, kto po prostu znajdzie ten sam błąd robi im nieprzyjemność.

Dla chcących założyć sobie firmę, nawet ja prowadząc taką jednoosobową działalność gospodarczą przetwarzam te dane, przetwarzam klientów i dzięki RODO dowiedziałam się, że ja nie mogę mieć Gmail’a zwykłego, tylko na przykład G suite’a powinnam mieć, bo to jest niezgodne z regulaminem Google, żeby firma miała. Dobrze na tym wyszłam, bo mniej płacę. Potrzebowałam dużo przestrzeni, więc płaciłam trochę za Drive’a, teraz mniej płacę i działam zgodnie z prawem, więc polecam. Powiedz mi jednak, jeśli ja chcę założyć firmę i chcę spróbować chociaż być trochę zgodna z prawem i przetwarzać te dane po bożemu, to jak wybrać prawnika, radcę prawnego, osobę która mi wdroży? Na co zwracać uwagę? Pytam, bo załóżmy, że jak się wybiera specjalistę SEO można zrobić sobie checklistę czy gościu jest kompetentny czy nie. Czy w tym kontekście możemy poszukać dobrych doradców?

W sensie, żeby był dobry z RODO zacząłbym od tego czy on się tym nie zajął od miesiąca czy od roku, bo co tu kryć, był wysyp specjalistów, którzy na RODO zaczęli się znać w momencie kiedy wyczuli w tym korzyść finansową. Trzeba zatem zbadać jak długo tematem się zajmuje, sprawdzić czy zajmował się wcześniej zanim te rzeczy RODO się zdarzyły, popatrzeć czy jest polecany, być może ma rekomendacje od kogoś na Google, na swojej stronie internetowej i przez kogo jest rekomendowany, od kiedy się tym zajmuje i czy jest aktywny (czy widać, że np. szkoli w tym zakresie, czy ta zakładka RODO nie pojawiła się wczoraj itd.), da się przecież sprawdzić jak wyglądały strony internetowe wcześniej, są te wszystkie web archive. Można zerknąć, że jakaś zakładka pojawiła się znikąd.

Myślę, że to takie podstawowe rzeczy, oczywiście nie zaszkodzi także wymienić parę słów, bo też zdarzało mi się być wybieranym, gdzie osoba (mój przyszły klient) nie ukrywała, że rozmawiała z innymi prawnikami i chciała zapytać co ma zrobić, jakie jest jej zadanie i na podstawie tego, co ja mówiłem, w jakich krokach, jakie są możliwości, za jakie pieniądze otrzymałem takie opinie, że ta osoba wybrała mnie, bo dało się wyczuć, że wiem o czym mówię.

To się da wyczuć w rozmowie telefonicznej, czy wymianie maili, że tej osobie temat nie jest obcy, bo będzie wynikać z tych rozmów, że to nie jest jej pierwszy raz. To w zasadzie jest najważniejsze, jeśli chce się mieć pewność, że ten ktoś nie eksperymentuje na twoim przykładzie i wcześniej już poruszał się w obszarze RODO.

Tutaj nie chodzi tylko o RODO, bo ja nie zajmuję się tylko RODO, w moim przypadku także Internetu i prawa. Często się do mnie odzywają klienci, którzy mówią, że mają już specyficzny problem, a ja kojarzę się z tym zakresem.

Szukając kogoś znającego się na RODO warto sprawdzić czym zajmował się wcześniej. Było mnóstwo osób, które chciały się wzbogacić i zostawały “fachowcami od RODO”

Odniosę się teraz jeszcze do tego RODO, bo to się tak bardzo kojarzy z prawem i ze wszystkim. Wchodzi się na stronę i wyskakuje na środku strony jakieś tam okienko o bezpieczeństwie, o przetwarzaniu danych, okienko o cookies. Nie będę ukrywała, że ja nie czytam już tego. Czy te okienka dalej są potrzebne? Czy dalej są potrzebne polityki prywatności na stronach? Polityki plików cookies, polityki bezpieczeństwa? To już same polityki [śmiech]

[śmiech] Te okienka wyskakujące o cookies nie były w gruncie rzeczy potrzebne nigdy. Natomiast zawsze warto te informacje umieścić, umożliwić wyłączenie przede wszystkim tych cookies. Znowu zaczynają się pojawiać spory w tym zakresie czy można założyć, że ktoś umie wyłączyć w przeglądarce, czy trzeba mu to umożliwić jeśli chodzi o cookies i polityki.

Tutaj warto śledzić temat, który nazywa się Rozporządzenie ePrivacy, ono miało pierwotnie wejść razem z RODO, ale jeszcze Parlament Europejski i cała tamta unijna ekipa poczekała z tym, a w ePrivacy temat cookies ma być dopracowany i między innymi jest tam taki pomysł, żeby w momencie wchodzenia na stronę można było sobie wybrać jaki rodzaj cookiesów są dla nas ok, a jakie nie, czyli na przykład jeśli nie przeszkadza mi, że masz cookies statystyczne, ale już bardziej przeszkadza mi, że masz takie, które potem będą do mnie wracać takie z reklamą. To jeśli chodzi o cookies.

Polityka cookies jako odrębny plik, zakładka nie jest potrzebna, ale na pewno trzeba to gdzieś poruszyć. Może to być umieszczone w polityce prywatności i analogicznie polityka prywatności też jako odrębny dokument z żadnego przypisu nie wynika, natomiast ja jako twój klient mam prawo się dowiedzieć kto jest administratorem danych, czyli kto ten mój adres będzie trzymał, co z tym zrobi, jak długo będzie go trzymał, po co, komu innemu da. Te informacje muszą się pojawić, ale może się to pojawić w regulaminie, jeśli ktoś tak woli. Praktyka weszła taka do robienia odrębnych dokumentów polityki prywatności, bo to jest po prostu obszerny dość fragment regulaminu i może tak jest przejrzyściej, to po pierwsze, a po drugie ludzie, których to obchodzi zaczynają szukać tej zakładki, a nie chce im się w samym regulaminie grzebać.

Podobnie wyodrębniony jest dokument odnośnie polityki cookies, ale to jest tym mniej konieczne to wyodrębnianie, jak wyodrębnianie polityki prywatności. Padło jeszcze w twoich pytaniach słowo „polityka bezpieczeństwa”. To jest raczej dokument wewnętrzny, czyli procedury, wyśmiewane przeze mnie liczba zamków i segregatorów, to są właśnie te dokumenty, więc nie ma obowiązku posiadania dokumentów o takiej nazwie, ale znów warto mieć to gdzieś rozpisane, że np. do serwerowni ma dostęp tylko ten pan, który się na tym zna i nikt inny, bo by nabroił, albo są określone dostępy poziomów do CRM, jedni mają większe, inni mają mniejsze, jedni mają dostęp tylko do danych marketingowych, albo napisać sobie gdzieś, że do MailChimpa, FreshMaila ma dostęp tylko ten ktoś, kto rozsyła newsletter itd., określić też jak długo i w jakich warunkach zostanie to usunięte, czyli że taka osoba ukryta za mailem musi o to poprosić i w jakich warunkach to się odbywa itd.

Mówiąc o tym kto ma dostęp, do kiedy będzie miał ten dostęp to w RODO jest coś takiego, że nie możemy przetrzymywać danych, jeżeli już z nich nie korzystamy, jeśli nie są nam już do niczego potrzebne, czyli gdy np. nie potrzebujemy już daty urodzenia, to nie musimy już o nią prosić. Jeżeli już nie wykorzystujemy, to powinniśmy te dane usunąć. Co w sytuacji, jeśli ja załóżmy na pół roku decyduję, że wstrzymują wysyłkę newslettera i po tym czasie ja zastanowię się czy do tego wracam, czy nie? Mam wtedy obowiązek usunąć te dane i później od nowa zbierać?

Okienka o cookies nie były nigdy potrzebne

Nie, według mnie nie. To jest co prawda do doprecyzowania jeszcze, może gdzieś to trzeba doprecyzować, ale na tę chwilę jak pytasz to według mnie nie masz obowiązku tego natychmiast usuwać, jeżeli tylko przyjdzie ci do głowy taki pomysł. Chociażby z tego powodu, że znam takich zawodników, którzy rozsyłają newsletter raz na pół roku.

Mam takie podejście, że a nóż przestanę w ogóle rozsyłać. Oczywiście teraz tutaj szukam zaczepnych punktów, ale to też może być. Co jeśli ja już z tego nie korzystam, ale być może zacznę?

To trzeba sobie w sercu dać jakiś deadline, że w tą, albo drugą stronę to zrobię. Najczęściej w politykach prywatności czy dokumentacji wewnętrznej pojawia się zapis odnośnie newslettera, że ten adres mailowy będzie przetwarzany tak długo, aż ta osoba sama się nie wypisze, albo tak długo aż newsletter nie przestanie być rozsyłany, więc to jest kwestia żeby samemu sobie ustalić co zdecyduję za te pół roku.

Jasne. Jeszcze mam takie jedno pytanie odnośnie tego ePrivacy, o którym mówiłeś. Kiedy to w ogóle wejdzie? Pamiętam, że miało wejść i zatrzymało się, coś wiadomo na ten temat?

Chyba nie. Te prace zostały przyćmione przez inne, np. przez słynne Akta 2, pojawił się ten temat w międzyczasie, więc o ile się nie mylę to nie jest określony konkretny deadline, że to się pojawi, a chociażby z tego powodu, że jeszcze nie jest ustalony ostateczny kształt i te wszystkie rzeczy, np. to co mówiłem o tych cookies wciąż raczej opowiadam na zasadzie projektu, pomysłu, idei.

A czy RODO w jakiś sposób jest teraz modyfikowane? Zazwyczaj coś wdrażamy, ma postać pierwotną, działa sobie i zwykle w takim idealnym świecie, albo takim jaki powinien być my to optymalizujemy, dostosowujemy, sprawdzamy, testujemy. Czy tutaj też się tak dzieje? Czy po prostu jest?

Tak, to znaczy wdrożenie RODO to nie jest jednorazowa czynność. RODO wdraża się cały czas i z tego też powodu jakieś rachunki sumienia, wewnętrzne czy zewnętrzne audyty się przeprowadza. Teraz jestem na etapie audytowania firm, w których już RODO robiłem, ale teraz patrzymy co po tym roku się wydarzyło, czy coś nie jest warte zmienienia itd.

Bycie dopasowanym do RODO to jest działanie nieustanne. Z tego też powodu ja zniechęcam, aby to było na papierze, bo to są papiery, potem są zamknięte u prezesa na klucz i gdyby przyszła kontrola to się wyjmie, ale to nie o to tutaj chodzi, ale o to, żeby cały czas, nieustannie doprowadzać do modyfikacji na lepsze tej dokumentacji.

Zdaję sobie sprawę, że to nie jest coś czym tylko przedsiębiorcy żyją, żeby tak sobie mówić: „o dzisiaj sobie znowu dopasujemy RODO”, ale chodzi o to, że jeśli zdecydowaliśmy, że przenosimy się z naszym newsletterem do innej firmy, to żeby się zastanowić co w związku z tym, albo jeśli na przykład zdecydowaliśmy się, że będziemy rozdzielać naszą działalność na dwa produkty i te produkty będą sprzedawane pod różnymi domenami, inaczej będą się ludzie rejestrować, być może znów coś z tego wynika, albo na przykład zmieniliśmy siedzibę fizyczną i tam w tej poprzedniej były drzwi antywłamaniowe i był ochroniarz, a tutaj nie ma, więc być może też warto było się zastanowić co i jak.

Może właśnie takie warto sobie czasem zadać pytania, jeżeli jest okoliczność, a jeśli tej okoliczności nie ma to ustalić sobie, że raz na jakiś czas ktoś z zewnątrz przychodzi i zawraca głowę i zadaje pytania, których nikt nie zadał, bo to przecież było dla nas oczywiste. To jestem często ja, osoba która przychodzi z zewnątrz i zadaje pytania, które często tylko teoretycznie są głupie.

A samo RODO też coś się zmieniło? Czy zostało wdrożone i już takie jest, i nie musimy śledzić ewentualnych zmian?

Dosłowny dokument jakim jest RODO prawdopodobnie nie będzie zbyt mocno się zmieniał i raczej się to nie stało i nie stanie, ponieważ to jest dokument dość ogólny. To jest tak jak np. konstytucja, która siłą rzeczy nie jest zmieniana co drugi dzień, bo ma stanowić taką bazę.

Natomiast na przykład w międzyczasie w Polsce pojawiły się pewne zmiany, bo pojawiła się w maju tego roku ustawa, która parę rzeczy precyzowała. Zmieniono kodeks pracy, więc te wszystkie aspekty, które dotyczyły przetwarzania danych pracowników zaczęły się trochę zmieniać, przy czym to nie były zmiany, ale nazwałbym to doprecyzowaniem. Tak samo pojawiły się wytyczne w zakresie monitoringu, czy poszczególnych branż. Po prostu to RODO zaczęło w poszczególne aspekty być wkładane i czasem powodowało to konieczność zmiany.

Teraz kiedy audytuję firmy, w których wdrażałem RODO wcześniej i mam okazję do spotkania z działem kadr, HR to pytam czy państwo wiedzą, że była tutaj zmiana w maju. To jedno z pierwszych pytań jakie zadaję, bo jeśli nie wiedzą to jest już praktycznie pewne, że będzie trzeba trochę zaingerować, a jeśli wiedzą to pytam co z tym zrobili i wtedy się okazuje czy trzeba ingerować, czy nie. W paru jeszcze takich innych aspektach, jednym z nich, jak w końcu wejdzie jest też ePivacy, dla działów marketingu i tego typu i to co z jego pojawienia się wyniknie na rynku przepisów lokalnych.

Mamy się na to szybko szykować, czy to raczej jeszcze można odetchnąć i dopieszczać RODO?

Wiesz co, to się nie wyklucza, ja bym to RODO dopieszczał, a to kiedy wejdzie nie jest jednoznacznie określone, bo po drodze wystąpił czynnik, który namieszał, czyli wybory do Europarlamentu. Europarlamentarzyści teraz trochę okrzepli, mieli wakacje, a typowa regularna praca dopiero się zacznie i zobaczymy na ile będzie sprawnie szła.

Dziękuję Ci bardzo za mnóstwo wiedzy. Powiedz jeszcze skąd czerpać wiedzę, oprócz oczywiście Twojego bloga, który ja oczywiście podlinkuję i do tej całej serii RODO jak rodeo i do jeszcze innych miejsc w sieci. Gdybyś jeszcze tak miał powiedzieć czy są jakieś takie miejsca jak podcasty, youtube, czy książki, gdzie faktycznie osoby, które chcą to zrozumieć mogły szukać informacji.

Masz na myśli aspekty te RODO, czy szerzej prawne?

RODO.

Fajne wpisy o RODO są na blogu Wojtka Wawrzaka – to też jest radca prawny, blog nazywa się praKreacja. Fajnie też te aspekty RODO od strony bardziej technicznej porusza nie tylko Niebezpiecznik, ale też Sekurak czy Zaufana Trzecia Strona. Z podcastów to polecam Małą Wielka Firma, tam jest mnóstwo ciekawej wiedzy nie tylko z tego aspektu, aczkolwiek jeśli chodzi o RODO i Mała Wielka Firma to tam było spotkanie ze mną, więc wracamy do punktu wyjścia [śmiech], ale tam też chyba była jeszcze rozmowa z kimś innym.

Jeśli natomiast chodzi konkretnie o E-commerce to zaprosił mnie kiedyś Rahim Blak z edrone, żeby też o tym porozmawiać, więc jest z tego live. Myślę co jeszcze, ale najtrudniej jest mi odpowiedzieć na ten aspekt, który spytałaś – o YouTube, bo ja sam na YouTube w roli naukowej nie bywam, bo niekoniecznie oglądam obraz, albo czytam, albo słucham robiąc coś innego, na przykład zmywając naczynia, więc YouTube u mnie najrzadziej występuje w roli źródła konkretnej wiedzy i tak naprawdę w kontekście RODO nie wiem czy są jacyś youtuberzy, którzy mogliby się tutaj przydać.

Z dużym wyjątkiem w postaci osoby, która była odpowiedzialna w Polsce za wdrożenie RODO czyli pana Macieja Kaweckiego, który pracował w Ministerstwie Edukacji i dokładnie teraz przestał być za to odpowiedzialny, a został dziekanem WSB powstającego w Warszawie. On po prostu z pozycji osoby, która musi przełożyć RODO na Polskę miewał live, wywiady, też na stronie urzędu są transmisje, wiec to jest osoba, która bezapelacyjnie na temacie się zna, a jednocześnie co jest ważne, nie była to osoba, która miałaby jakikolwiek interes w tym, że miałaby kogoś nastraszyć itd. To nie był ten typ osoby, o którym mówiłem na początku, bo to po prostu był urzędnik, więc też warto się zapoznawać z jego livei i tego rodzaju rzeczami.

Właśnie, jeszcze bardzo dobrym źródłem informacji i wyjątkiem wśród polskich urzędów jest po prostu strona Urzędu Ochrony Danych Osobowych, gdzie są wytyczne o monitoringu wspomniane przeze mnie, gdzie są podpowiedzi dla rekruterów, gdzie te dokumenty są napisane przejrzyście, gdzie są transmisje, właśnie jakiś konferencji itd., sam z tego czerpię wiedzę i warto tutaj korzystać.

Pan Kawecki zrobił dobrą robotę. Właśnie czytałam, że zmienia swoją ścieżkę kariery, ale faktycznie on to rozszerzył świadomość tego w społeczeństwie, również te wszystkie absurdy próbował wyjaśniać, wytłumaczyć.

Dokładnie, on właśnie robił tę robotę, że irytowało go jak niektóre rzeczy były bezsensownie interpretowane i on po pierwsze uspokajał przed tą paniką, a po drugie jak już pojawiała się panika i absurdy to uspokajał i mówił jak to wygląda w rzeczywistości. Przypomniało mi się jeszcze, że jest strona GDPR.pl, bo RODO to po angielsku właśnie GDPR i na tej stronie jest stosunkowo proste rozwiązanie, bo najpierw jest treść RODO, a później jest wytłumaczone o co chodzi w każdym przepisie, więc taki jakby komentarz do każdego przepisu, to się też może przydać.

Super, na pewno podlinkuję, spiszę w notatkach. Jeszcze raz bardzo Ci dziękuję i życzę dalszych sukcesów we wdrażaniu RODO i innych prawnych aspektach.

Dziękuję Ci bardzo. Do zobaczenia.

Dzięki. Cześć.

Zapisz się do newslettera i bądź na bieżąco

’;

O Autorze

Od 13 lat związana z e-commerce. Swoje doświadczenie zdobywała w pracy zarówno po stronie Klienta, jak i agencji, współpracując m.in. z takimi firmami jak Praktiker, Willsoor, LokalnyRolnik.pl czy SuperKoszyk.pl. Wciąż się uczy i uwielbia dzielić się zdobytą wiedzą oraz doświadczeniem. Po pracy zapalona blogerka, która edukuje na www.achmielewska.com i prowadzi podcast FIRMA ON-LINE.

Leave a reply

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *