Iza: Witam Cię Wojtku bardzo serdecznie w moim podcaście i dziękuje za przyjęcie zaproszenia.
Wojtek: Cześć Iza. Cała przyjemność po mojej stornie.
Iza: Dzisiaj chciałabym z Toba porozmawiać na temat RODO, które urosło już wręcz do legendarnego w internecie i wszyscy się boją tych milionowych kar. Chciałabym, żebyś Ty tak trochę nas uspokoił i wytłumaczył z czym to RODO się je.
Wojtek. Czy uspokoję, to zobaczymy, ale spróbujmy.
Iza: To jakbyś był tak uprzejmy i wytłumaczył nam na początku, czym właściwie RODO jest i w jaki sposób pomaga w ochronie danych?
Wojtek: Fajnie, że pytasz w ogóle od razu od tej strony, jak pomaga, bo większość klientów pyta, jak bardzo utrudni im biznes. Od razu Twoje pytanie mi się podoba. Natomiast, czym jest RODO? RODO jest rozporządzeniem. Od razu mówię, że nie jest ustawą, jak często spotykam się z błędnym przekonaniem. Nie jest ustawą krajową. Jest rozporządzeniem i to rozporządzeniem europejskim, czyli jest takim aktem prawnym, który w obrębie wszystkich państw członkowskich jest stosowany bezpośrednio. Tak naprawdę bez żadnej dodatkowej ustawy w każdym z krajów możemy stosować RODO i mieć jednolity poziom ochrony danych osobowych, co nie oznacza oczywiście, że krajowe ustawy o ochronie danych osobistych znikają, bo one nadal są. One jak gdyby są takimi aktami doprecyzowującymi, dającymi więcej szczegółów, czy też korzystającymi z pewnych możliwości, jakie daje rozporządzenie w zakresie samodzielnego decydowania o pewnych kwestiach. Nasza polska ustawa o ochronie danych osobowych też zdążyła być na czas. Więc mamy RODO, czyli to unijne rozporządzenie, oraz mamy polską ustawę o ochronie danych osobowych. Jak to wszystko pomaga chronić dane? To samo w sobie nie pomaga chronić danych. To rozporządzenie ma na celu skłonienie przedsiębiorców i inne podmioty, które przetwarzają dane, żeby rzeczywiście o te dane dbać. Rozporządzenie pojawiło się dlatego, że mieliśmy ten problem, że w każdym państwie członkowskim Unii Europejskim było inne prawo i Ci przedsiębiorcy, którzy działali na skalę więcej niż jednego kraju, mieli problem, które przepisy stosować, jak je stosować i jak się odnaleźć w tej rzeczywistości wielopaństwowej. Teraz tego problemu nie ma. Mamy jedno rozporządzenie, uniwersalne zasady dotyczące wszystkich krajów. Też prawda była taka, że te przepisy, szczególnie polskie, dotyczące ochrony danych osobowych, czyli nasza polska ustawa, która przestała obowiązywać wraz z wejściem RODO w życie, wraz z rozpoczęciem stosowania RODO. Ona była przestarzała i RODO jak gdyby jest takie mądrzejsze i fajniejsze od tej ustawy, dlatego, że ono nie daje żadnych jednoznacznych wskazówek, co z tymi danymi robić, jakie środki bezpieczeństwa stosować. Ono daje bardziej ogólne sformułowania, że te dane muszą być bezpieczne, a to my sami musimy zadecydować, jakie możliwości na dany moment daje nam technologia, jakie środki możemy wdrożyć i tak dalej.
Iza: Z jednej strony ono nie daje takich jasnych wytycznych, co trzeba zrobić, żeby spełnić te warunki. To z jednej strony jest fajne, ale z drugiej strony dla osób, które tym się nie zajmują albo nigdy wcześniej nie poświęcały na to czasu, to może być trochę trudne. Więc w jaki sposób RODO nakłada na takie jednoosobowe działalności gospodarcze obowiązki?
Wojtek: Takie pytanie, to moglibyśmy rozmawiać do jutra rana, bo podręczniki i komentarze na temat RODO są tak obfite i tych obowiązków jest na tyle dużo, że można by było o nich opowiadać długo. Natomiast postaram się wybrać jakąś taką esencję szczególnie dla małych przedsiębiorców, tych jednoosobowych czy zatrudniających niewielką ilość pracowników czy też po prostu jakichś małych spółek. Generalnie RODO kładzie nacisk na to, żebyśmy się w pierwszej kolejności zastanowili się w ogóle jakie dane mamy, gdzie one się znajdują, po co nam one, w jakich celach je przetwarzamy. Często jest tak, że my sobie nawet nie zdajemy sprawy, że przetwarzamy jakieś dane osobowe. Przykładowo, często nie zdajemy sobie sprawy, że komentarze na blogu to już są dane osobowe. Już przetwarzane dane osobowe tych osób, które komentują u nas na blogu. Jeżeli chodzi o newsletter, to jest już standard i najczęściej zdajemy sobie sprawę z tego, że jest to przetwarzanie danych. Na przykład mamy dane na fakturach, również tych zakupowych, gdzie są imiona i nazwiska osób fizycznych, ich adresy, numery NIP, to wszystko są dane osobowe, to są wszystko procesy przetwarzania danych osobowych. Więc w pierwszej kolejności musimy się zastanowić, gdzie te dane u nas są i co my z nimi robimy. W drugiej kolejności powinniśmy się zastanowić, jakie są zagrożenia związane z przetwarzaniem przez nas tych danych. Takim podstawowym zagrożeniem oczywiście jest to uzyskanie do nich dostępu przez osoby nieuprawnione. Więc musimy się zastanowić, co możemy zrobić, żeby te dane ochronić. Podstawowe środki to na przykład hasło do komputera, hasło do systemu informatycznego, w którym mamy dane, dwuskładnikowe logowanie. Czyli na przykład, jeżeli logujemy się do naszego systemu sklepowego, to nie tylko wystarczy podać nazwę użytkownika i hasło, ale również wprowadzamy drugi factor, czyli na przykład przychodzi nam sms z kodem, który musimy wprowadzić, by móc się zalogować. Takim środkiem ochrony, którym każdy przedsiębiorca może dysponować, jest na przykład szyfrowanie dysków twardych, na którym przechowywane są dane. Wprowadzenie jakichś mechanizmów kontroli dostępu do sprzętu firmowego, z którego to sprzętu pracownicy korzystają i jakie mają uprawnienia. Generalnie tutaj tematów jest sporo do poruszenia. Natomiast trzeba trochę podchodzić do tego zdrowo rozsądkowo, czyli zastanowić się co ja, dysponując swoimi środkami, mogę zrobić, bo często spotykam się z tymi klientami najmniejszymi, którzy nawet nie zdawali sobie sprawy, że istnieje konieczność zahasłowania dostępu do systemu, komputera. Wydaję się to oczywiste, ale jednak nie dla wszystkich. To też nie może być hasło pod tytułem moje imię i cyferka, tylko silne hasło. Więc jeżeli my już myślimy o RODO, to warto po prostu sobie wszystko to, co dotychczas robiliśmy, przeanalizować, zastanowić się czy rzeczywiście nie można czegoś zrobić lepiej, czy nie można dodać jakichś dodatkowych środków ochrony, które pozwolą nam te dane bardziej bezpiecznie przechowywać. To jest taka kwestia wewnętrzna, czyli tego, co my robimy z tymi danymi u siebie. To jest jedna sfera RODO – należyte zabezpieczenie danych tak, żeby były bezpieczne. Druga sfera RODO to jest sfera informacyjna, czyli poza tym, że o te dane dbamy, chronimy je, zabezpieczamy, to również musimy informować osoby, których dane przetwarzamy, między innymi o tym, co my z tymi danymi robimy, jakie mają uprawnienia i generalnie zrealizować cały obowiązek informacyjny, o którym mówi RODO. Może nie będę już w tej chwili wchodził w szczegóły, bo teraz ta moja wypowiedź stała się taki długim blokiem. Natomiast jak będziesz miała jakieś dodatkowe pytania. pewne kwestie sobie uszczegółowimy.
Iza: Zdecydowanie tak, bo słuchaczami tego podcastu w gruncie rzeczy są architekci, architekci wnętrz, projektanci, osoby, które pracują na co dzień z klientami i przetwarzają te dane na różne sposoby, ale zanim Cię jeszcze o to zapytam, to chodzi mi po głowie taka myśl. Z jednej strony RODO mówi nam o tym, że te dane osobowe są ważne i należy je chronić. Z drugiej strony nie mówi w jaki sposób mamy je chronić, pozostawia nam tutaj bardzo dużą dowolność. W jaki sposób ktoś będzie oceniał czy to, co zrobiliśmy, czy teczka na gumkę z umowami czy z fakturami, którą trzymamy w szufladzie zamykanej na kluczyk, to jest wystarczająca ochrona danych osobowych, czy nie dopełniliśmy tutaj tego obowiązku?
Wojtek: Tutaj niestety jesteśmy zdani tak naprawdę na ocenę dokonaną przez ewentualnego kontrolera, czyli Inspektora, który by prowadził w naszej organizacji kontrolę. Natomiast też nie ma co tych kontroli tak się przerażać i od razu snuć czarne scenariusze. Ja bym na własną logikę zastanowił się jak to powinno być zrobione. Przykładowo, jeśli my mamy biuro w naszym mieszkaniu, nie przychodzą do nas klienci, w naszym mieszkaniu jesteśmy tak naprawdę tylko my, bądź też jakieś osoby nam bliskie, to wtedy taka teczka na gumkę zamykana na klucz w szufladzie, prawdopodobnie będzie wystarczająca. Ale jeżeli przykładowo mamy biuro i do tego biura przychodzą klienci z zewnątrz, nie daj Boże zostawiamy jeszcze tego klienta w tym pomieszczeniu, bo gdzieś tam wychodzimy na chwilę, to oczywiście taki środek bezpieczeństwa w postaci gumka na teczce i włożeniu do szuflady, może nie być wystarczającym. Jak gdyby RODO celowo poszło w tą stronę, żeby nie wskazywać konkretnych środków, żeby każdemu dać elastyczność, żeby nie każdy musiał mieć pancerną szafę czy też sejf, ale by mógł zadecydować, że w jego konkretnym przypadku zamykana szuflada na klucz będzie OK, a w innym przypadku nie. Natomiast nie ma żadnej jak gdyby metody weryfikacji odgórnej, która da nam pewność, że nasze środki są wystarczające. My jak gdyby musimy dokonać tak zwanej analizy ryzyka, zastanowić się jakie są realne zagrożenia związane z tym, że przetwarzamy dane i dopiero podjąć decyzję jakie środki będą właściwe. I to na nas ciąży ten ciężar. Nikt za nas tego nie zrobi i potem będziemy poddani ewentualnej ocenie w trakcie kontroli. Natomiast oczywiście, kontroler może mieć inne zdanie od nas, ale warto żebyśmy byli w stanie nasze zdanie uzasadnić. Czyli jeżeli przeprowadzimy cały ten proces myślowy, a najlepiej go sobie jeszcze spiszemy, to będzie to naszą wewnętrzną analizą ryzyka, to zawsze będziemy w stanie z tym kontrolerem o czymś rozmawiać i o czymś dyskutować. Bo w RODO chodzi tęż o to, żeby dokładać należytej staranności, czyli robimy wszystko, żeby na wypadek kontroli nie zastała nas sytuacja, że wchodzi kontroler i pyta co robimy z danymi, a my mówimy, że w sumie nie wiemy. Mamy dokumentację, zastanowiliśmy się, jesteśmy w stanie przekazać to, co zrobiliśmy. Jeśli kontroler stwierdzi, że coś jest niewystarczające, to my zadeklarujemy oczywiście wolę wdrożenia tego. Czyli też nie ma co popadać w przesadę, ale rzeczywiście trzeba się do tego racjonalnie przygotować, przemyśleć i spisać
Iza: Rozumiem, że to jest taka trochę subiektywna ocena tego kontrolera, ale faktycznie gdy my się do tego przygotowujemy, to będziemy mieć jakieś argumenty w garści. Jestem sobie w stanie wyobrazić jak fizycznie mogę zabezpieczyć umowy czy faktury, ale mam problem z takim zabezpieczeniem danych, które przechowuje w komputerze, w chmurze, przesyłam drogą e-mailową czy korzystam jeszcze z jakichś innych platform do kontaktu z klientem i wtedy w zasadzie nie mam wpływu na to, czy będą one obiektem ataków na przykład hakerów. Co w takiej sytuacji zrobić?
Wojtek Pewien wpływ jednak masz. To znaczy, na początku zaczyna się od wyboru usługodawców. Wybierasz chmurę, wybierasz dostawcę hostingu, wybierasz usługę pocztową i tutaj na Tobie ciąży taki obowiązek, żeby wybrać te podmioty należycie. Czyli jeżeli decydujemy się na przykład na usługę hostingową, na której będzie nasza skrzynka e-mailową, a w konsekwencji na serwerze będą przechowywane dane zawarte w ramach korespondencji, to warto zapytać tego naszego hostingodawcę, w jaki sposób przygotował się do RODO, poszukać na jego stronie czy ma jakąś dedykowaną zakładkę z informacjami na ten temat, bo coraz więcej podmiotów tak rzeczywiście robi, zapytać o możliwość zawarcia umowy powierzenia i w ten sposób jesteśmy w stanie w pewnym zakresie zweryfikować rzetelność takiego dostawcy. Bo to nie jest tak, że jeśli ja wybieram dostawcę, to ten dostawca za wszystko odpowiada. Ja, jako administrator danych, mam obowiązek wybrać takiego dostawcę, który w sposób odpowiedni podchodzi do ochrony danych i ja jak gdyby ponoszę za tą odpowiedzialność. Więc pierwszą metodą, najprostszą, to jest weryfikacja podmiotów z których usług korzystamy. Jeżeli chodzi o chmury, to tutaj problem jest specyficzny, ponieważ większość tych bezpłatnych usług chmurowych już w regulaminie ma zawarte, że one są dedykowane na potrzeby prywatne, co więcej w regulaminie googlowskim znajdziemy postanowienia, że Google zachowuje prawo do skanowania zawartości wszystkich dokumentów Google Dogs, naszego Google Drive, na potrzeby tworzenia jakichś profili użytkowników i potem wykorzystywania tych profili w celach marketingowych. Więc na przykład, darmowe usługi Google w przypadku działalności gospodarczych nie są wskazane, natomiast Google też daje pakiet dedykowany biznesowi, czyli tam każdy użytkownik firmowy może sobie wykupić taki pakiet, taki dostęp i korzystać z usług googlowskich z innym regulaminem oraz możliwością zawarcia umowy powierzenia i znowu wtedy wchodzimy na kolejny poziom/ Gdyby nam się przydarzyła kontrola, to możemy powiedzieć, owszem korzystamy z Google Drive, owszem korzystamy z poczty Gmail, ale nie korzystamy z bezpłatnego narzędzia dla celu prywatnych, ale mamy narzędzie płatne, nota bene nie bardzo płatne, bo to kosztuje bodajże 4 dolary za użytkownika, więc nie jest to majątek i jesteśmy w stanie wykazać, że właściwie podchodzimy do tej ochrony danych. Zawarliśmy z Google umowę powierzenia i jesteśmy bezpieczni. To dotyczy tych wszystkich zewnętrznych podmiotów, które mają jakiś kontakt z danymi, które przetwarzamy. Natomiast jest też oczywiście kwestia zabezpieczenia własnego komputera i tutaj, tak jak mówiłem, takim standardem minimum powinien być użytkownik i hasło do logowania do systemu komputera. Ja na przykład wprowadziłem również oddzielne hasła do programu pocztowego, do programów, w których przetwarzam danych, czyli do Excela, Worda i to pozwala mi mieć dalej idącą kontrolę nad tym, co się dzieje na moim komputerze, gdyby ktoś nie daj Boże uzyskał do niego dostęp. W związku z tym polecam po prostu zastanowić się jak ja mogę swój komputer bardziej zabezpieczyć. Jeżeli na komputerze, na dysku komputera przechowuje dane, to powinienem ten dysk szyfrować. To znowu brzmi strasznie, ale jest już masa programów, które pozwalają bezpłatnie taki dysk zaszyfrować. O co chodzi? Chodzi o to, że jeśli nam ktoś ukradnie komputer to i tak nie uzyska dostępu do naszych danych, bo nie będzie znał hasła do rozszyfrowania dysku. Wiec w taki sposób możesz zadbać o swoją infrastrukturę, przy wykorzystaniu której przetwarzasz dane.
Iza: To jest dla mnie zrozumiałe, choć brzmi dosyć komplikowanie. Natomiast zastanawiam się co w sytuacji, kiedy dołożyliśmy wszelkich starań do tego, żeby te dane zabezpieczyć i w sposób fizyczny i podpisując umowy z naszymi dostawcami, ale jednak w jakiejś sytuacji te dane wyciekły, ktoś się do nich włamał, ktoś je przetworzył w jakiś niezgodny sposób, czy my za to odpowiadamy, mimo tego, że odłożyliśmy starań? Czy to już spoczywa na barkach dostawców?
Wojtek: Również my za to odpowiadamy. Natomiast w umowie takiej profesjonalnej pod katem RODO, zawieranej z dostawcą, powinny znaleźć się postanowienia, w jaki sposób ten dostawca uczestniczy w procesie, można powiedzieć, naprawienia ten błąd. Chodzi o to, że teraz w RODO mamy taki obowiązek informowania organu nadzorczego o naruszeniach. Oczywiście jeżeli korzystamy z usług podmiotów trzecich, to nie jesteśmy w stanie zawsze sami stwierdzić, że do naruszenia doszło. W związku z tym w umowie powierzenia powinniśmy mieć postanowienia, mocą których ten nasz usługodawca zobowiązuje się nie tylko dołożyć wszelkich starań dotyczących ochrony tych danych, ale również poinformować nas o ewentualnym ataku, sporządzić raport, przewidzieć jakie środki zostały podjęte, w jaki sposób te dane zostały zabezpieczone na przyszłość i jak generalnie wygląda procedura przy realizowaniu tej obsługi po tym ataku. W związku z tym zawsze ta odpowiedzialność ciąży na nas i powinniśmy my interesować się tym, w jaki sposób ten nasz usługodawca będzie realizował ewentualne działania w takim zakresie i ja zdaje sobie sprawę, że to jest takie bardzo wybieganie w przyszłość i snucie czarnych scenariuszy, ale tak to trochę w tym prawie jest, że my najczęściej tworzymy rozwiązania na wypadek przykrych sytuacji, a nie pozytywnych. Zabezpieczamy się na ich wypadek, więc musimy się zastanowić co złego może nam się wydarzyć i postarać się, chociażby w umowach, zawrzeć postanowienia, które pozwolą nam w jakiś sposób z tego wybrnąć.
Iza: Czy mógłbyś w takim razie powiedzieć nam, jakie takie podstawowe procedury czy dokumenty powinniśmy posiadać prowadząc jednoosobową działalność gospodarczą i korzystając z takich podstawowych narzędzi jak poczta Gmail, chmura, kontakt z klientami przez jakieś platformy.
Wojtek: Powinniśmy zacząć od tej analizy ryzyka. Ja wiem, że to znowu brzmi tajemniczo i strasznie. Jeśli na przykład znamy specjalistę od zarzadzania ryzykiem, to on nam za chwilę powie, że jest kilka, kilkanaście metod szacowania ryzyka, różnych sposób wyceniania tego ryzyka, minimalizowania i tak dalej, ale na potrzeby naszej indywidualnej działalności, my po prostu możemy sobie tą analizę ryzyka zrobić w sposób opisowy, czyli przeprowadzamy ten cały proces myślowy w naszej głowie, identyfikujemy na przykład ryzyko wykradzenia danych i opisujemy, w jaki sposób zabezpieczyliśmy się przed tym wykradzeniem, czyli, że na przykład, pomieszczenie, w którym są nasze dane, czy w którym przetwarzamy dane, jest zabezpieczone drzwiami zamykanymi i dane są w szafie zamykanej na klucz i nikt nieuprawniony nie ma dostępu. Idąc dalej, kolejne zagrożenie. Na przykład zagrożenie zniszczenie danych w postaci pożaru, co zrobiliśmy? Można chociażby kupić głupią gaśnicę i już wskazać, że już mamy kolejny środek. Jakie jeszcze może być zagrożenie? Może być na przykład zagrożenie ataku informatycznego i znowu w tej analizie ryzyka wskazujemy, widzimy takie zagrożenie, jak się zabezpieczyliśmy, mamy oprogramowanie antywirusowe, mamy Firelola, mamy silne hasło, mamy szyfrowanie dysku, logujemy się do systemów, nie pozwalamy uzyskiwać dostępu osobom nieuprawnionym i generalnie tworzymy taki dokument opisowy, w którym znajdują się te wszystkie postanowienia. Ja dla przykładu w swoim pakiecie RODO, który sprzedaje za pośrednictwem swego bloga, przygotowałem taką przykładową opisową analizę ryzyka, która pozwala nam w sposób podstawy taką analizę przeprowadzić i zapisać. Bo oczywiście, jeżeli ktoś chciałby mieć taką profesjonalną analizę ryzyka, to musiałbym się liczyć w dużym kosztem, bo znowu trzeba zatrudnić specjalistę, który tylko ryzykiem się zajmie. Czyli zaczynamy od analizy ryzyka i tworzymy taki dokument. To może być napisane własnymi słowami, byle odzwierciedlało cały ten proces myślowy związany z myśleniem o bezpieczeństwie danych. To jest pierwszy dokument, analiza ryzyka. Drugi ważny dokument to jest rejestr czynności przetwarzania. Znowu brzmi strasznie, natomiast chodzi po prostu o taką tabelkę w której wypiszemy wszystkie cele przetwarzania danych. Przykładowo stwierdzamy, że przetwarzamy dane naszych klientów, bo zawierają z nami umowę, wiec my musimy przetwarzać te dane, żeby tą umowę zrealizować. To mamy w tabelce cel, obsługa klienta i dalej stwierdzamy, że przetwarzamy je w takich celach, zapisujemy dane tutaj i tutaj, w taki i w taki sposób je chronimy, nikomu nie udostępniamy, ale powierzamy przetwarzanie jakichś tam podmiotów, które uczestniczą w wykonaniu usługi. Inny cel przetwarzania, na przykład wysyłka newslettera i znowu w tabelce mamy kolejny cel, czyli wysyłkę newslettera i wszystkie te informacje, które trzeba zawrzeć. Na stornie tego Urzędu Ochrony Danych Osobowych możemy znaleźć w tej chwili wzór rejestr czynności przetwarzania i z niego skorzystać. Oczywiście w moim pakiecie taki wzór się również znajduje. Jeśli ktoś ma ochotę skorzystać z płatnej opcji, to ma taką możliwość. Zatem mamy analizę ryzyka, mamy rejestr czynności przetwarzania. Do tego dochodzą oczywiście te umowy powierzenia, które powinniśmy zawrzeć ze wszystkimi podmiotami, które potencjalnie mają dostęp do danych, które gromadzimy, czyli hostingodawcami, biuro rachunkowe, dostawca systemu mailingowe, jakiś system CMR, jeśli z takiego korzystamy i tak dalej, dalej. I to są takie trzy podstawowe dokumenty, które powinniśmy mieć w wariancie minimum. Oczywiście tych dokumentów można stworzyć dużo więcej, bo można stworzyć politykę ochrony danych, instrukcje zarzadzania systemami informatycznymi, wzory upoważnień, różnego rodzaju ewidencje, ewidencje na przykład naruszeń, ewidencję tak zwanej obsługi żądań podmiotów przetwarzanych, gdzie ewidencjonujemy wszystkie zgłoszenia, które do nas spłynęły w związku z tym, że my przetwarzamy dane. Tych dokumentów można naprawdę stworzyć więcej, natomiast jeśli ktoś nie ma budżetu i chce działać samodzielnie, a jednocześnie dołożyć należytej staranności, to zacząłbym od tych trzech podstawowych: analiza ryzyka, rejestr czynności przetwarzania oraz umowa powierzenia. Jeśli ktoś chciałby skorzystać z takiego kompletu przykładowych dokumentów, to może właśnie chociażby skorzystać z tego mojego pakietu RODO dla małych firm i tam dostanie około 23 bodajże przykładowych dokumentów do wypełnienia i dostosowania do siebie. Tak to wygląda z mojej strony.
Iza: Fantastycznie. Na końcu tego podcastu na pewno dodamy link do Twojego bloga i strony, na których można ewentualnie zakupić taki pakiet, który będzie zgodny z RODO. Teraz mam takie pytanie odnośnie klientów, z którymi będzie taki architekt chcieć współpracować lub współpracuje, czy te przepisy RODO w jakiś sposób nakładają na nas obowiązek informowania czy uzyskania zgody od klientów, z którymi podpisaliśmy umowę przed 25 maja tego roku?
Wojtek: To na pewno nie. Bo to jest ogólna zasada, wynikająca z tego, że jeżeli my świadczymy komuś usługę na podstawie umowy, to nie musimy mieć zgody na przetwarzanie danych, ponieważ wystarczającą podstawą jest sam fakt zawarcia umowy. Czyli nie zawieramy w naszych umowach postanowienia pod tytułem: usługobiorca wyraża zgodę na przetwarzanie jego danych w związku ze świadczeniem usługi, bo jest to zbędne. Zgodę musielibyśmy odbierać w sytuacji kiedy chcielibyśmy w przyszłości wykorzystywać te dane klienta do celów marketingowych. Wtedy owszem, musielibyśmy od niego odebrać oddzielną zgodę, ale na potrzeby realizacji umowy zgoda nie jest potrzebna. Natomiast oprócz zgody jest jeszcze ten obowiązek informacyjny. I tutaj RODO mówi, że musimy go realizować przy pozyskiwaniu danych. W związku z tym ja uważam, że nie musimy obowiązku informacyjnego realizować w stosunku do klientów, których dane już kiedyś zabraliśmy. U nas w Polsce poszło to w złą stronę i wszystkie podmioty na emaila spamuja informacjami, że mają nasze dane. Natomiast to jak gdyby w ogóle odnosi odwrotny skutek. Ludzie klikają, że to jest spam, nie chcą tego czytać. Jeżeli my mamy dane tylko dotychczasowych klientów, którzy zawarli z nami umowy i jakby tych danych w ogóle nie wykorzystujemy, bo na przykład nie realizujemy żadnych kampanii marketingowych, to ja bym tych klientów dotychczasowych nie informował, bo oni sami sobie doskonale zdają sprawę, że jeżeli zawarli z nami umowę, to my tą umowę będziemy przez określony czas przechowywać. Natomiast do klientów, którzy są nowi, zawierają z nami umowę, korzystają z naszych usług, już powinniśmy w stosunku do nich zrealizować ten pełen obowiązek informacyjny, czyli na przykład dołączyć do umowy dokument, w którym przekażemy wszystkie informacje, jakich powinniśmy dostarczyć, to znaczy nazwę administratora danych, czyli nazwę naszej firmy, dane kontaktowe naszej firmy, cel przetwarzania danych, podstawę prawną przetwarzania danych, odbiorców danych, czyli na przykład podmioty, którym powierzamy dane w celu realizacji usługi oraz poinformować tego użytkownika o wszystkich jego uprawnieniach związanych z przetwarzaniem danych. Czyli krótko mówiąc, musimy sporo informacji temu klientowi przekazać. Najłatwiej to zrobić właśnie poprzez taki dodatkowy dokument, który sobie drukujemy i klientowi wydajemy wraz z kopią umowy. Możemy sobie otworzyć artykuł 13 RODO, tego rozporządzenia i zobaczyć jakie informacje musimy przekazać. Oczywiście w tym pakiecie, o którym wspomniałem, przygotowywałem dla klientów szablon takiego obowiązku informacyjnego, który mogą swoim klientom udostępniać. Także tak to wygląda. W stosunku do klientów z przeszłości, których danych już nie przetwarzamy, a w zasadzie nie tyle nie przetwarzamy, co nie wykorzystujemy na bieżąco, tylko przechowujemy, możemy nie realizować tego obowiązku informacyjnego. Natomiast w stosunku do nowych klientów już tak.
Iza: Rozumiem, to jest dla mnie jasne. Jeszcze mam takie pytanie odnośnie przekazywania tych danych w postaci, na przykład, projektów, na które są zawarte informacje o adresie, imieniu i nazwisku klienta czy numerze telefonu, na przykład podwykonawcom czy do drukarni, czy do urzędu chociażby, takie podstawowe rzeczy, które mają miejsce w pracy każdego architekta
Wojtek: Nie trzeba na to uzyskiwać zgody, bo to jak gdyby mieści się w realizacji umowy. Przekazujemy te dane dlatego, że realizujemy umowę dla klienta. Natomiast musimy go o tym poinformować w ramach tego obowiązku informacyjnego i tam wspomniałem o tych odbiorcach danych. Te wszystkie podmioty będą właśnie odbiorcami danych, czyli musimy poinformować, że dane, które klient przekazał nam w związku z zawarciem umowy, mogą być również powierzane do przetwarzania naszym podwykonawcom, czy też innym podmiotom, które mogą uzyskiwać do nich dostęp w celu realizacji umowy i sama taka informacja wystarczy. Zgody na to być nie musi.
Iza: Rozumiem, to w związku z klientem, a jeśli chodzi o podwykonawców, to z nimi powinnam zawrzeć jakąś umowę, tak jak z moim hositngodawcą?
Wojtek: Tak, jeżeli oni przetwarzają dane Twoich klientów w celu realizacji usługi jako podwykonawca dla Ciebie, to z nimi również powinniśmy zawrzeć umowę powierzenia. Ta umowa może być oddzielna, a możemy na przykład te postanowienia dotyczące powierzenia danych wtłoczyć do umowy podstawowej z podwykonawcą.
Iza: Ale jak miało by to wyglądać w praktyce? Bo przypuśćmy, że dany projekt z danymi klienta przesyłam do sklepu, na przykład z glazurą czy z płytkami, czy z panelami i proszę o ofertę na dostarczenie materiału dla tego klienta. Sklep zazwyczaj potrzebuje chociaż rzutu tego mieszkania, żeby wycenić taką usługę. Czy ja, zanim wyślę ten projekt i zapytam o tą ofertę czy poproszę o fakturę proforma z danymi mojego klienta, powinnam zawrzeć każdorazowo z takim sklepem umowę powierzenia danych?
Wojtek: W tej konkretnej sytuacji zawarcie takiej umowy będzie po prostu niepraktyczne i wręcz niemożliwe, bo na potrzeby jednorazowej współpracy nikt tego nie będzie chciał zrobić. I teraz, tak teoretycznie byłoby najlepiej, natomiast można to rozwiązać w taki sposób, że po prostu wraz z przekazaniem tych danych zawieramy jakąś klauzulę pod tytułem, że obowiązujemy do zachowania ich poufności, tamta strona zobowiązuje się je usunąć po zrealizowaniu dla nas tego, o co ją prosimy. Generalnie musimy w jakiś sposób, przynajmniej postarać się zapewnić, że tamta strona rzeczywiście dochowa tej poufności i na przykład tych danych sobie potem nie wykorzysta w jakimś niecnym celu, na przykład kontaktując się telefonicznie z klientem i informując go po roku, że teraz mają świetną nową ofertę promocyjną.
Iza: OK. Czyli rozumiem, że to może być gdzieś w stopce e-maila, czy chociażby na tym projekcie informacja na temat klauzuli poufności.
Wojtek: Najlepiej. Nie wiem czy to będzie jakaś umowa z tym podmiotem, bo chyba nie będzie żądnej umowy. Będzie pewnie jakaś umowa pod tytułem, że wysyłam e-maila i czekam na odzew, wiec można w tym e-mailu w jakiś sposób zawrzeć taką informację, ewentualnie można rozwiązać to w drugi sposób, czyli jak gdyby w umowie z klientem jednak oprzeć to na zgodzie w tej konkretnej sytuacji i stwierdzić, że klient zgadza się, by przekazać jego dane określonym podmiotom i wtedy można byłoby sobie w pewien sposób opuścić zobowiązywanie do poufności tej strony, bo jak gdyby ta druga strona stawałaby się niesamodzielnym administratorem tych danych na podstawie tego, że klient zgodził się jak gdyby w imieniu przekazać te dane tamtej drugiej stornie. Więc może jednak w tym konkretnym przypadku rzeczywiście łatwiej będzie oprzeć to na zgodzie na przekazanie danych niż na zawieraniu powierzenia. Także na tą potrzebę życiową może fajnie byłoby to rozwiązać w ten sposób.
Iza: A co w sytuacji, kiedy klient kontaktuje się z nami po raz pierwszy, na przykład poprzez naszą stronę internetową, formularz czy chociażby przez adres e-mail i pyta nas o cenę projektu, chce dowiedzieć się szczegółów oferty projektowej, czy za nimi odpowiemy mu na to zapytanie, powinniśmy zapytać o jego zgodę na przetwarzanie danych?
Wojtek: I to znowu jakbyśmy poszli taki teoretycznym rozumowaniem, ortodoksyjnym to byśmy do takich wniosków doszli. Natomiast ja zalecam zdroworozsądkowe podejście i przyjęcie, że jeżeli klient się z nami kontaktuje w celu poznania oferty, to ta zgoda na przetwarzanie jego danych wynika właśnie z tego, że się kontaktuje. W związku z tym nie trzeba uzyskiwać zgody, natomiast trzeba zrealizować obowiązek informacyjny. Ja na przykład przyjąłem taką taktykę, że po prostu z stopce e-maila podlinkowuje tak zwaną politykę prywatności dotycząca korespondencji e-mail. Jest to takie miejsce na mojej stornie, gdzie ta polityka prywatności dotycząca kontaktów e-mailowych się znajduje i jeżeli ktoś rzeczywiście chce sobie tam zerknąć, to klika sobie w stopkę e-mail i się tam przenosi. Natomiast nie odbieram żadnych zgód, bo ta zgoda, tak jak powiedziałem wynika z samego faktu, że ktoś w jakimś celu w końcu się do mnie zwrócił.
Iza: Czy taki Check Box, który byłby gdzieś umieszczony w tym formularzu, podczas którego odbiorca wyrażałby zgodę na przetwarzanie danych osobowych wystarczyłoby też w tej sytuacji?
Wojtek: Tak. Jeżeli mamy formularz kontaktowy, możemy dodać Check Box, natomiast tak jak powiedziałem, na samo przesłanie formularza kontaktowego z prośbą o jakiś kontakt zwrotny uważam, że taki check box nie jest niezbędny, aczkolwiek można go dodać. Natomiast pod formularzem kontaktowym na stornie zawsze warto dodać krótką informację, na przykład dane podane w formularzu będą przetwarzane tylko w celu obsługi twojego zapytania, szczegóły znajdziesz w polityce prywatności. Natomiast czasem zdarza się tak, że klienci chcą ten formularz kontaktowy wykorzystać również do budowania jakiejś bazy, na przykład marketingowy, w związku z tym oczywiście w formularzu musi pojawić się check box, czyli ktoś może przesłać formularz kontaktowy z prośbą o jednorazową prośbą, a ktoś może również zaznaczyć dodatkowy check box i wskazać, że chce również otrzymywać na przykład newsletter, czy też godzi się, żeby w przyszłości telefonicznie się z nim kontaktować w celach marketingowych. Natomiast na sam taki jednorazowe przesłanie formularza kontaktowego zgoda może być, moim zdaniem,, dorozumiana z tego samego faktu, ze ktoś przesyła ten formularz.
Iza: OK. To już mamy pełną jasność jeśli chodzi o dokumenty, które powinniśmy posiadać prowadząc taką działalność gospodarczą. Wiemy już, jak informować naszych klientów na temat tego w jaki sposób ich dane będą przekazywane, na przykład, podwykonawcom i wiemy, co powinniśmy zrobić, kiedy ktoś zgłasza się do nas z zapytaniem o ofertę. Ostatnio taką kwestią, która budzi moje wątpliwości, moje i czytelników bloga Prosty Plan, to są sytuacje w których zatrudniamy inne osoby, po prostu pracowników czy zlecamy wykonanie jakiejś usługi, na przykład wizualizacji na potrzeby naszej pracy. Jak zrobić i co zrobić w takiej sytuacji, kiedy zatrudniamy inne osoby, żeby to też było w zgodzie z przepisami RODO?
Wojtek: I zakładam, że te osoby będą właśnie miały dostęp do danych naszych klientów, tak?
Iza: Zdecydowanie tak.
Wojtek: To teraz zależy sytuacja od tego, jaka jest to podstawa zatrudnienia. Jeżeli my zatrudniamy jakiegoś zleceniobiorcę, pracownika, wykonawcę umowy o dzieło, który jest osobą fizyczna i nie prowadzi działalności, to jest takim typowym pracownikiem. To my tutaj bazujemy na tak zwanym upoważnieniu do przetwarzania danych. To jest taki dokument, w którym upoważniamy konkretną osobę do przetwarzania danych w konkretnym celu i taka osoba wykazywana jest w ewidencji osób upoważnionych. Natomiast w sytuacji, w której przykładowo współpracujemy z innym przedsiębiorcą. Co więcej on jest z innego miejsca, nie mamy realnej kontroli nad tym, jak on pracuje z tymi danymi, które mu przekazujemy, to w takiej sytuacji należałoby z takim podmiotem zawrzeć właśnie umowę powierzenia bądź wtłoczyć postanowienia z tej umowy do naszej umowy podstawowej o współpracy. Tak trzeba się kierować takim kryterium. Jeżeli mamy realną kontrolę nad tym, jak ten ktoś przetwarza dane, bo na przykład przetwarza pod naszym nadzorem, jest naszym pracownikiem, zleceniobiorcą, to upoważnienie będzie wystarczające, ale jeżeli jest to niezależny podmiot, działa całkowicie niezależnie od nas, to warto byłoby zawrzeć umowę powierzenia.
Iza: To brzmi logicznie i powiem Ci szczerze, że bardzo mnie uspokoiłeś swoim argumentami na temat ORDO, bo do tej pory jawiło mi się jako coś naprawdę bardzo strasznego, natomiast Twój uspokajający ton i to w jaki sposób Ty rozumiesz te przepisy, są mi bardzie bliskie, bo dobrze rozumieć tą ustawę, czy te zapisy w taki sposób, że one raczej pomagają chronić te dane, a nie wymuszają na nas instalacji sejfu, czy jakiejś tam szafki pancernej w naszym biurze
Wojtek: Trzeba sobie uczciwie powiedzieć, że po prostu wiele podmiotów dostępnych na rynku stwierdziło, że na RODO zrobi sobie biznes. RODO czyli sejfy dostosowane do szafki, jakieś nakładki na komputery, Bóg wie co jeszcze, to wszystko nie jest niezbędne, owszem w niektórych przypadkach jakichś dużych korporacji, gdzie dane są przetwarzane na masową skalę, to środki ostrożności będą dalej idące, natomiast w ramach takiej naszej jednoosobowej działalności, prowadzonej na niewielką skalę, naprawdę nie ma co szaleć. Tak jeszcze odnosząc się do tego jak rozumieć RODO, to ja myślę, że przede wszystkim problem wynika z tego, że wielu przedsiębiorców nie robiło nigdy wcześniej nic z danymi osobowymi. W takim znaczeniu, że nigdy nie interesowali się tą ochroną danych i dla nich rzeczywiście to RODO to jest jakaś rewolucja, jakiś grom z jasnego nieba i bardzo duża dawka do przyswojenia, ale to wynika z tego, że już wcześniej były pewne zaniedbania. Jeśli ktoś wcześniej dbał o dane osobowe, postępował w zgodzie z tą ustawą o ochronie danych osobowych dotychczasową, to RODO nie jest jakaś rewolucją. Także ja naprawdę uspokajam. Nawet tych, którzy wcześniej nic nie robili, to jest dobry moment, żeby sobie teraz wszystko przemyśleć, rozpisać, zaplanować, chociażby po to, żeby nie musieć się tym przejmować w przyszłości przy okazji kolejnych doniesień medialnych jakie to kary gigantyczne grożą za nieprzestrzeganie przepisów. Owszem kary są, ale to nie będzie tak, że każdy przedsiębiorca będzie karany 20 milionami. Każdy jednoosobowy przedsiębiorca jego zadaniem jest nałożenie należytej staranności i zrobienie czegokolwiek, przygotowanie się tak daleko jak może i jestem przekonany, że to będzie dla niego wystarczające, żeby nawet w razie ewentualnej kontroli móc wykazać, że on profesjonalnie podszedł do tematu i o to też chyba chodzi, żebyśmy patrzyli na tą ochronę danych osobowych jako element naszego profesjonalizmu, bo też klienci zaczynają na to zwracać uwagę i też zaczynają dopytywać i też chcą czuć się bezpiecznie, bo ta prywatność i nasze dane osobowe stały się dla nas coraz bardziej cenne.
Iza: W Twojej ocenie zapisy RODO działają na plus czy raczej na minus jeśli chodzi o ochronę tych danych osobowych?
Wojtek: Zdecydowanie na plus, chociażby dlatego, że w końcu doszliśmy do tego modelu, że rozporządzenie wykonawcze nie mówi konkretnie każdemu co ma robić, czy jest małą firmą, czy jest dużą, musi robić to samo. Teraz nie, teraz każdy administrator ma zastanowić się sam i dzięki temu jest to bardziej elastyczne, więc ta ochrona ma szanse bycia realną ochroną, bo do tej pory to wyglądało tak, że każdy słyszał tylko o ogłoszeniu zbioru do GIODO, składał jakiś wniosek, a dane nadal walały się po biurkach, nie były w żaden sposób chronione. RODO ma pomoc, żeby to było realnie rzeczywiście coś robione w kontekście tej ochrony danych. Więc jak dla mnie jak najbardziej na plus.
Iza: Super. Wojtku bardzo dziękuje Ci za tą rozmowę i za to, że nas trochę uspokoiłeś, wyjaśniłeś łopatologicznie na czym to wszystko polega. Jestem pewna, że wielu moich słuchaczom rozjaśniło się w głowie i wiedzą przede wszystkim już z czym się to je, że nie taki diabeł straszny jak się maluje. Także jeszcze raz serdecznie dziękuje Ci za rozmowę.
Wojtek: Ja dziękuje za zaproszenie i cieszę się, że mogłem pomóc.
To była rozmowa z Wojtkiem Wawrzykiem, z bloga prakreacja. Mam nadzieję, że mocno rozjaśniła Ci w głowie, jeśli chodzi o przepisy RODO. Zapraszam Cię również do odsłuchania pozostałych odcinków podcastu na stornie www.prostyplan.pl/podcast oraz o pozostawienie swojej oceny tego podcastu w serwisie iTunes. Dziękuje serdecznie za przesłuchanie tego podcastu i do usłyszenia wkrótce.
41 min
