Rozmowa Piotra Ślusarczyka, eksperta netPR.pl, z dr. Maciejem Kaweckim, koordynatorem prac nad reformą ochrony danych osobowych, dyrektorem Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, na temat stosowania przepisów RODO.Piotr Ślusarczyk: Podstawą prawną do przetwarzania danych osobowych w kontaktach z mediami może być prawnie uzasadniony interes administratora. Czy daje to stuprocentową gwarancję bezpieczeństwa w przypadku wysyłki informacji prasowej do mediów?
Dr Maciej Kawecki: Po pierwsze trzeba powiedzieć, że nowe przepisy unijne wprowadzają przesłankę tzw. prawnie uzasadnionego interesu, przez który rozumie się również marketing. Marketing usług administratora oraz podmiotów trzecich. To jest bardzo istotne, że również reklamowanie usług podmiotów trzecich rozumiane jest jako marketing. To, czy informacje prasowe będą mogły być uznane za marketing, zależy od ich treści. Jeżeli informacje prasowe służą informowaniu o jakiejś rzeczywistości, nie służą reklamowaniu jakichś konkretnych produktów i usług, to w mojej ocenie nie są informacją marketingową. I dużo bezpieczniej byłoby odebrać od osoby, której takie informacje wysyłamy, zgodę na ich kierowanie. Natomiast jeżeli mają one charakter stricte marketingowy, co pewnie występuje o wiele, wiele rzadziej, wtedy możemy uznać, że jest to tzw. prawnie uzasadniony interes administratora.
PS: Czy w przypadku mniejszych podmiotów, jakimi często są agencje PR (to nie są zwykle duże podmioty, ale na danych osobowych pracuje wielu konsultantów) oprogramowanie nie byłoby dobrym rozwiązaniem, gdy nie śledzimy zmian w jednym pliku, tylko tych plików jest wiele na różnych komputerach?
MK: Zdecydowanie tak, natomiast dopatrywałbym się w czym innym problemu związanego z technicznym aspektem realizowania prawa do bycia zapomnianym czy w ogóle RODO. Musimy pamiętać o tym, że bardzo wielu przedsiębiorców prowadzi tzw. backupy, kopie zapasowe, gromadzi dane dla celów archiwalnych. Bardzo często roszczenia przedawniają się po paru latach, w związku z tym dane te są długo składowane. Nierzadko okres, kiedy możemy je gromadzić, już dawno upłynął, a one są nadal przechowywane gdzieś w naszych zasobach. Mało tego, bardzo często nie możemy do tych danych dojść, ponieważ po latach nakładają się one na siebie. W związku z tym nie są w żaden sposób usystematyzowane, są nie do znalezienia, nie do odkrycia. W efekcie, jeżeli ktoś żąda usunięcia danych osobowych albo zażąda np. prawa dostępu do swoich danych lub prawa do ich zaktualizowania, robimy to w bazie podstawowej, zasadniczej, ale już nie realizujemy tego w tych bazach archiwalnych, backupowych. Na tym polega cały problem. I tutaj rzeczywiście stworzenie specjalistycznego oprogramowania, które pozwalałoby „naznaczać” określoną osobę, kiedy gromadzę jej dane, i widzieć je w bazach backupowych czy bazach archiwalnych w momencie, kiedy usuwam te dane np. z bazy podstawowej, było rozwiązaniem bardzo cennym.
PS: A jakie jeszcze funkcje oprogramowania moglibyśmy wymienić, jeśli chodzi o pomoc w realizacji rozliczalności?
MK: Rozliczalność to możliwość wykazania wszystkiego, co robimy z danymi. Jeżeli udostępniamy je innemu podmiotowi, jeżeli je aktualizujemy, jeżeli je multiplikujemy, czyli tworzymy kopie danych, wreszcie jeżeli je usuwamy, powinniśmy móc to wykazać. To pierwsza kategoria wymogów, które muszą spełniać oprogramowania. O drugiej sekundę temu powiedziałem – oprogramowanie ma zapewniać dostęp do całego zasobu danych, którymi dysponujemy. W prawie ochrony danych osobowych mówi się o autonomii informacyjnej. Jest to prawo do decydowania o sobie samym. Ja jako osoba, której dane dotyczą, mam prawo decydować, dysponować swobodnie moimi danymi osobowymi zawartymi we wszystkich bazach przedsiębiorcy. Czasami mamy trudność z dotarciem do tych danych. Oczywiście mówimy cały czas o przetwarzaniu danych w systemach informatycznych.
PS: Chciałbym jeszcze dopytać o prawo do bycia zapomnianym. Czy ono w praktyce nie oznacza czegoś takiego jak prawo do bycia zapamiętanym na zawsze? Chodzi mi tutaj o sytuację w agencji PR, gdy jednego dnia dziennikarz zgłasza prawo do bycia zapomnianym, a na drugi dzień przez konsultanta, który o tym nie wiedział, zostaje dopisany do bazy. Czy system powinien w jakiś sposób takiego dziennikarza rozpoznać i zapobiec takiemu dopisaniu?
MK: Muszę dopytać, jak następowałoby dopisanie do bazy. Na żądanie dziennikarza?
PS: Mówimy tutaj o tej drugiej sytuacji, czyli bez wiedzy dziennikarza, Rozumiem, że jeżeli dziennikarz ponownie, na drugi dzień, zgłasza zainteresowanie, żeby w tej bazie być, to nie ma problemu.
MK: To drugie działanie uznałbym za bezprawne. To nie jest działalność polegająca na tworzeniu materiałów prasowych, w związku z tym Rozporządzenie znajduje pełne zastosowanie. Jeżeli dane gromadzone są w jakiejkolwiek bazie w jakimkolwiek celu z wyjątkiem przypadku, gdy przepisy prawa czy interes publiczny wprost uzasadniają gromadzenie takich danych, powinna być na to udzielona zgoda. Natomiast nie do końca widzę związek pomiędzy tym a prawem do bycia zapomnianym. Prawo do bycia zapomnianym to jest prawo, które trochę więcej obiecuje, niż daje. Jeden z mitów, które związane są z RODO – a pojawia się ich coraz więcej, niestety – dotyczy właśnie prawa do bycia zapomnianym. To jest nic innego jak prawo żądania usunięcia danych osobowych, które od 20 lat w polskim systemie prawnym istnieje. Jeżeli nie ma podstaw prawnych do przetwarzania naszych danych osobowych, to wtedy mamy prawo zażądać ich usunięcia. Natomiast reforma wprowadza przypadki, w których prawo do bycia zapomnianym nie przysługuje. Między innymi bardzo ważna w działalności PR czy w ogóle w obszarze mediów jest wolność wypowiedzi, działalność prasowa. Jeżeli przetwarzanie danych jest konieczne do korzystania z wolności wypowiedzi, działalności prasowej, to wtedy mamy prawo odmówić zrealizowania prawa do bycia zapomnianym. Mówiąc wprost: jeżeli np. na jakimś forum internetowym, którego prowadzenie jest działalnością prasową, widnieje moje nazwisko i skorzystam z prawa do bycia zapomnianym, to forum ma prawo odmówić mi usunięcia moich danych, dlatego że ich udostępnienie jest związane z wolnością wypowiedzi, z której ktoś korzysta, w tym przypadku dziennikarz czy autor tekstu.
PS: A technicznie? Jeżeli dziennikarz zgłosił chęć skorzystania z tego prawa, czy oprogramowanie może w jakiś sposób zapamiętać, że to był ten konkretny kontakt, który chciał być usunięty z bazy?
MK: Nie powinno. Artykuł 11 Rozporządzenia, który jest jednym z ważniejszych elementów RODO, mówi bardzo istotną rzecz: nawet zasada rozliczalności nie może zobowiązywać do gromadzenia nadmiarowych danych. Czyli nie gromadzimy danych osobowych tylko po to, żeby wykazać, że zrealizowaliśmy obowiązek wynikający z RODO. Mówiąc jeszcze inaczej: jeżeli dziennikarz skorzysta z prawa do bycia zapomnianym, powinniśmy oczywiście dysponować informacją, że w dniu takim i takim rekord usunęliśmy, ale już nie – informacją o tym, jakie konkretnie dane osobowe, ponieważ to byłoby zdecydowanie nadmiarowe.
PS: Dziękuję bardzo za odpowiedź.
MK: Dziękuję bardzo.
Rozmowa Piotra Ślusarczyka, eksperta netPR.pl, z dr. Maciejem Kaweckim, koordynatorem prac nad reformą ochrony danych osobowych, dyrektorem Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, na temat stosowania przepisów RODO
dostarczył InfoWire.pl
Leave a Reply