RODO: Zgody nie można domniemywać. Jedna zgoda – jeden cel

RODO: Zgody nie można domniemywać. Jedna zgoda – jeden cel

Rozmowa Agnieszki Studzińskiej, redaktor prowadzącej Fundacji internetPR.pl, z dr. Maciejem Kaweckim, koordynatorem prac nad reformą ochrony danych osobowych, dyrektorem Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, na temat stosowania przepisów RODO.

Agnieszka Studzińska: Panie doktorze, czy mnie jako dziennikarza po 25 maja będą obowiązywały te same zasady, jeżeli chodzi o kontakt z ekspertami?

Dr Maciej Kawecki: Ekspertami, czyli jak rozumiem, gośćmi wywiadów.

AS: Tak.

MK: Jeżeli kontaktujemy się z ekspertem, z gościem, z osobą, z którą chcemy rozmawiać na określony temat, celem stworzenia materiału prasowego, potem wykorzystania w nim danych i udostępnienia ich w szeroko rozumianych mediach – niezależnie od tego, jakim kanałem, czyli o jakim medium mówimy, czy radiu, czy telewizji, czy prasie – to w takim zakresie Rozporządzenie będzie znajdowało bardzo ograniczone zastosowanie. Między innymi nasze przepisy krajowe ograniczają zastosowanie przepisów o obowiązku informacyjnym. Natomiast zawsze będzie konieczny do spełnienia obowiązek zabezpieczenia danych. Czyli jeżeli zgromadzimy dane, wykorzystamy je w wywiadzie i ten wywiad znajdzie się na stronie internetowej, musimy odpowiednio zabezpieczyć serwer, na którym zostanie on umieszczony, tak żeby te dane były bezpieczne, mimo że są bardzo często powszechnie dostępne. Więc trzeba pamiętać o tym, że znaczna część obowiązków w typowej pracy dziennikarskiej nie będzie znajdowała zastosowania ze względu na to, że wolność wypowiedzi, wolność prasy, wolność słowa są wartościami w zasadzie takimi samymi jak ochrona prywatności, natomiast zawsze będzie obowiązek należytego zabezpieczania danych.

AS: I to obowiązuje zarówno dziennikarza jako jednostkę, jak i redakcję.

MK: Każdy podmiot, każdą osobę, które tworzą materiały prasowe z punktu widzenia prawa prasowego.

AS: No dobrze, a czy RODO daje mi większą możliwość obrony przed informacjami prasowymi, które nie dotyczą branży, w której się specjalizuję?

MK: Rozumiem, że chodzi tutaj o informacje handlowe, o spam bardzo często, czyli po prostu informacje, których nie chcę dostawać. Bardzo często są one wysyłane drogą elektroniczną. Jeżeli dostaję takie informacje, zawsze mam prawo się temu sprzeciwić. Nierespektowanie takiego prawa do sprzeciwu zapewnianego przez RODO będzie zagrożone bardzo wysoką karą. W związku z tym zakładam, że w tym zakresie będzie to szczelniejsze.

AS: A co jeśli ta informacja pochodzi z adresu, w którym nie ma podanego imienia i nazwiska?

MK: Czyli „biuro@…”. Musimy pamiętać, że czasami nawet taki adres mailowy jest danymi osobowymi. I jest nimi również to, co daje możliwość zidentyfikowania, nie tylko coś, co identyfikuje. Jeżeli mamy adres, do którego przyporządkowana jest w praktyce bardzo duża liczba osób – czyli jeden adres mailowy obsługuje 20 pracowników, np. „sekretariat@…” czy „skargi@…” – to wtedy nie są to dane osobowe, raczej nie powinniśmy tego za nie uznawać. W związku z tym możemy wykorzystywać je stosunkowo swobodnie. Natomiast jeżeli taki adres przyporządkowany jest określonej osobie fizycznej, bez problemu możemy ją zidentyfikować i wtedy traktujemy to również jako dane osobowe.

AS: A co jeśli ktoś domniema moją zgodę, a ja nie wyraziłam sprzeciwu?

MK: Nie ma czegoś takiego jak domniemanie zgody. Zawsze musi być ona wyrażona dobrowolnie, swobodnie. W związku z tym, jeżeli coś było domniemane, to znaczy, że tej zgody nigdy nie było – jest ona obarczona tzw. wadą oświadczenia woli, więc jest nieważna. W przypadku zgody przysługuje mi prawo do jej odwołania, cofnięcia. I to jest coś innego niż prawo do sprzeciwu. Zgoda jest dobrowolna. Jeżeli jej udzielam, zawsze mam prawo ją odwołać. Natomiast prawo do sprzeciwu przysługuje w przypadku, kiedy przetwarzamy dane osobowe na podstawie innej niż zgoda, np. prawnie usprawiedliwiony cel, np. umowa. Wtedy mam prawo wyrazić sprzeciw. Jeżeli przepisy prawa uprawniają dany podmiot do profilowania – przykładowo mamy dzisiaj profilowanie bezrobotnych przez uprawnione organa administracji publicznej – będę miał prawo się mu sprzeciwić.

AS: A co w sytuacji, kiedy chcę wyrazić zgodę dotyczącą np. jednego punktu, ale nie mam możliwości jego wybrania, tylko wymaga się ode mnie zgody – nazwałabym to – „absolutnej”?

MK: Czyli rozumiem, że chodzi o sytuację, w której jedną zgodą udzielam pozwolenia na przetwarzanie danych osobowych w bardzo wielu celach.

AS: Tak.

MS: Zgodnie zarówno z dzisiejszymi przepisami, jak i RODO nie będzie to możliwe. Jedna zgoda – jeden cel. I to musi być dość wyraźnie od siebie odseparowane. W taki sposób, że nie możemy domniemywać zgody. Wyobraźmy sobie, że podmiot A, jakiś przedsiębiorca, przetwarza dane w pięciu celach i ja jako osoba, której dane dotyczą, chcę, żeby przetwarzał te dane w trzech z tych pięciu celów. W jaki sposób miałbym postąpić, jeżeli mógłbym wyrazić albo zgodę na wszystkie, albo nie udzielać jej na żaden? Tutaj mamy pewien problem ze swobodą. Dlatego musimy na to zwracać szczególną uwagę.

AS: Czyli jeżeli taka sytuacja będzie miała miejsce, to – rozumiem, że – mogę to zgłosić właściwym organom.

MK: Tak, to jest naruszenie przepisów – bardzo często przetwarzanie danych osobowych bez podstawy prawnej. To jedno z najpoważniejszych naruszeń w przepisach Rozporządzenia.

AS: Rozumiem. Chciałabym też wiedzieć, czy Pana zdaniem RODO wpłynie na działalność mediów społecznościowych. I jeśli tak, to w jaki sposób?

MK: Oczywiście wpłynie. Po pierwsze ze względu na obowiązki informacyjne, które są dużo bardziej rozbudowane. Po drugie media społecznościowe i wyszukiwarki internetowe są jednym z tych obszarów, co do których prawo do bycia zapomnianym znajdzie dość szerokie zastosowanie – w ich przypadku bardzo często jest się trudno powołać na tzw. prawnie uzasadniony cel w dalszym gromadzeniu danych osobowych. I wreszcie po raz pierwszy na poziomie unijnym regulowane są zasady profilowania. A media społecznościowe bardzo często wykorzystują nasze dane w celach budowania naszych profili i dostosowywania reklam, promowanych treści do nas samych, do naszych preferencji. I tutaj bardzo wyraźnie Rozporządzenie mówi, że tworzenie, wykorzystywanie takich danych będzie możliwe, jeżeli albo przepis prawa na to wskazuje – w przypadku mediów społecznościowych w polskim porządku prawnym takiego przepisu nie będzie – albo jest to konieczne dla wykonania umowy, albo jest na to zgoda. W odniesieniu do mediów społecznościowych musiałaby być to każdorazowo zgoda osoby, której dane dotyczą, czyli użytkownika medium społecznościowego. Mało tego, takie medium, jeżeli chce wykorzystywać dane w celu budowania profili, powinno poinformować o prawie do sprzeciwu (o tym już rozmawialiśmy) – prawie do sprzeciwienia się takiemu profilowaniu.

AS: Wydaje się to żmudnym procesem.

MK: Samo wdrożenie RODO jest żmudnym procesem, bo to jest też zmiana sposobu myślenia o ochronie prywatności. Więc zdecydowanie tak.

AS: Powiedział Pan, że będzie wymagana zgoda tak naprawdę w każdym punkcie, na każdym poziomie. Zastanawiam się, czy to oznacza, że reklamy profilowane znikną, np. z Facebooka.

MK: Ale proszę zwrócić uwagę, że Facebook w styczniu tego roku – bodajże 12 stycznia, nie pamiętam dokładnej daty – zapowiedział zmiany w zakresie promowania komercyjnych stron internetowych i narzucania użytkownikom treści promowanych na naszej tablicy. Ma być to podejmowane w dużo mniejszym wymiarze, tzn. nasza tablica ma zawierać treści dotyczące naszych znajomych. Czyli wracamy do typowego medium społecznościowego, stworzenia pewnej społeczności. Te zmiany były podyktowane m.in. – nie tylko, bo są również wymuszone pewną krytyką, która jest kierowana wobec Facebooka coraz częściej – właśnie reformą ochrony danych osobowych, ograniczeniem budowania profili użytkowników. Więc zakładam, że działalność mediów społecznościowych na pewno się zmieni. Poza tym musimy pamiętać o tym, że dzięki RODO – ponieważ wszystkie państwa Unii Europejskiej wybrzmiały takim samym głosem – jesteśmy w stanie dużo silniej rozmawiać z takimi kolosami jak np. Facebook, bo Unia Europejska to jest jeden z najważniejszych rynków zbytu. Pojedyncze państwo nie ma aż tak silnego głosu w dyskusji z takimi ogromnymi podmiotami, jak w sytuacji, w której wszyscy brzmimy jednakowo.

AS: Rozumiem. Bardzo dziękuję.

MK: Dziękuję bardzo.

Poprzedni artykułŻyj ciekawie, czyli tysiące wydarzeń, w których możesz wziąć udział
Następny artykułmBank Hipoteczny: debiut listów zastawnych na rynku międzynarodowym zakończony sukcesem

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj