Transkrypcja – RODO w aspekcie programów lojalnościowych

KN: Katarzyna Nawrocka, O programach lojalnościowych nocą. Dzisiaj moim gościem dr Maciej Kawecki i będziemy rozmawiać o RODO.

MK: Witam Państwa bardzo serdecznie.

KN: Macieju ja chciałabym na początku bardzo dobrze i dokładnie Cię przedstawić. Wiem, że jesteś dziekanem wydziału Innowacji i Przedsiębiorczości w Szkole

MK: Wyższej Szkole Bankowej w Warszawie, dokładnie tak.

KN: To już mam ustalone, ale jesteś też prezesem Instytutu Lema.

MK: Dokładnie tak, szczególnie ważnego teraz, dlatego bo koordynujemy obchody roku Lema. Rok 2021 jest rokiem Lema w związku z jego setną rocznicą urodzin, więc bardzo ważny element mojego życiorysu dzisiaj.

KN: I taka dzisiejsza ciekawostka.

MK: I taka dzisiejsza ciekawostka.

KN: Chciałabym żebyśmy naszą rozmowę oparli o Twoje doświadczenie zawodowe. Wiem, że w latach 2017-2019 byłeś koordynatorem Krajowej reformy ochrony danych osobowych, ale wiem, że też pracowałeś w Ministerstwie Cyfryzacji, prawda?

MK: Tak, będąc w Ministerstwie Cyfryzacji, kierując departamentem zarządzania danymi rzeczywiście odpowiadałem w Polsce za wdrożenie RODO, za przygotowanie zarówno krajowych przepisów wyrażających te regulacje w rozumieniu ustawy o ochronie danych osobowych, ale też całego konglomeratu aktów prawnych. Jako ciekawostkę można powiedzieć, że to była największa w historii polskiej legislacji zmiana prawna, nowelizacja, zmienialiśmy prawie 180 ustaw, więc do był, to było rzeczywiście ogromne wyzwanie.

KN: No i właśnie Twoje doświadczenie zawodowe najbardziej mi chodzi, dlatego że organizator programów lojalnościowych staje przed wyzwaniem ochrony danych osobowych i odpowiedniego przetwarzania tych danych, jeśli chodzi o uczestników tych programów. I tutaj będziemy opierać się o programy lojalnościowe w naszej rozmowie właśnie opierając się o Twoje doświadczenie zawodowe i o rozporządzenie RODO. To co, zaczynamy?

MK: Jestem do dyspozycji.

KN: W RODO kładzie się nacisk na to, aby każdy z administratorów danych samodzielnie ustalił poziom ryzyka związanego z ich przetwarzaniem i adekwatne do niego sposoby zabezpieczenia danych. Już na początku stajemy przed szeregiem wyzwań i pierwsze pytanie jest tych najbardziej podstawowych: na jakiej podstawie należy przetwarzać dane osobowe uczestników programów lojalnościowych?

MK: Pytanie, tak naprawdę dotyczy tego co jest podstawą przetwarzania danych przez, w ramach szeroko rozumianych programów lojalnościowych. Tak naprawdę mamy dwie możliwe sytuacje, albo odbieramy zgodę osób, których dane przetwarzamy pamiętając, że taka zgoda musi być zawsze wyraźna. Zgoda jest oświadczeniem woli, w związku z tym zawsze odbierając ją musimy ją odbierać wyraźnie, albo podpisujemy umowę. Pamiętajmy, że jeżeli jesteśmy programem lojalnościowym, który tworzy regulamin i przystąpienie do programu wymaga akceptacji takiego regulaminu, to regulamin świadczenia usług drogą elektroniczną jest zawsze umową w związku z tym w momencie kiedy klient akceptuje regulamin, kiedy na stronie internetowej dostarczamy taki check box z okienkiem “zaakceptuj regulamin świadczenia usług drogą elektroniczną” nie odbieramy już zgody na przetwarzanie danych, dlatego ten regulamin, ta umowa jest podstawą do tego, że możemy gromadzić dane, możemy gromadzić informacje, możemy je przetwarzać.

KN: Kolejną ważną kwestią jest ustalenie kto jest administratorem danych. Proszę powiedzieć czy jest to zleceniodawca, czyli sponsor programu, czy też wykonawca, to jest agencja organizująca kompleksową jego obsługę.

MK: To jest bardzo skomplikowane, dlatego bo w bardzo wielu przypadkach mówimy o czymś co nazywamy, mówimy o konstrukcji, którą nazywamy w RODO współadministrowaniem, czyli zarówno sponsor jak i zleceniobiorca, czyli agencja, która rzeczywiście wykonuje zadanie z tego obszaru programów lojalnościowych. Są współadministratorami, czyli mają wspólne cele w gromadzeniu i przetwarzaniu informacji. I to jest bardzo częsta sytuacja ale nie wyłączna. Może być tak, że agencja, pozycja agencji, to typowy podwykonawca, a więc pełną odpowiedzialność za przetwarzanie danych, za przetwarzanie informacji ma sponsor, czyli firma, która zleca przeprowadzenie za organizację takiego programu lojalnościowego. I wtedy to ona jest administratorem a zleceniobiorca jest podwykonawcą i wtedy bardzo ważne jest, musimy pamiętać, że pomiędzy sponsorem a takim, a taką agencją, a takim podwykonawcą musi dojść do podpisania umowy powierzenia przetwarzania danych osobowych, czyli umowy, w której wyraźnie zalecamy tej agencji przetwarzanie informacji, przetwarzanie danych osobowych na naszą rzecz.

KN: Skoro kwestie podstawy przetwarzania danych oraz administratora mamy już omówioną, to przejdźmy do zagadnienia klauzuli informacyjnej. W myśl RODO administrator zobowiązany jest do podania uczestnikowi szeregu informacji. Zazwyczaj jest to kilkanaście linijek i bardzo drobną czcionką tekstu. Jaka jest rola klauzuli informacyjnej? Czy faktycznie musi być ona taka długa, jak spotyka się w większości programów lojalnościowych? Czy trzeba pokazywać całą jej treść, czy wystarczą pierwsze dwie linijki i możliwość rozwinięcia?

MK: Obowiązek informacyjny musimy zrealizować zawsze i to jest bardzo istotne. Natomiast rzeczywiście możemy wykorzystać techniczną możliwość, mamy choćby aplikacje mobilne. Dzisiaj masa usług świadczona jest drogą elektroniczną z wykorzystaniem aplikacji mobilnych i aplikacje mobilne technicznie rzecz biorąc ograniczają, mają ograniczoną przestrzeń. Ciężko sobie wyobrazić, że cały monitor telefonu to będzie obowiązek informacyjny. W związku z tym, rzeczywiście możemy w tym przypadku skorzystać z takiej opcji rozwijania tekstu dając możliwość jego rozwinięcia i co do tego nie mam żadnej wątpliwości. Natomiast musimy pamiętać o tym, żeby ten mechanizm był prosty. Żeby to nie było tak, że domyślnie informujemy tylko o jednej linijce, natomiast ta opcja rozsunięcia tej klauzuli informacyjnej jest gdzieś tam ukryta w meandrach technologicznych, prawda. Na to sobie nie możemy pozwolić, RODO w tym przypadku bardzo restrykcyjnie. Natomiast musimy pamiętać też o jednej ważnej rzeczy, to znaczy, że w przypadku kiedy realizujemy obowiązek informacyjny musimy dostarczyć go w takiej treści, która jest dostosowana do profilu odbiorcy. I bardzo często o tym zapominamy. Jak wchodzimy na jakąkolwiek stronę internetową, to widzimy jakieś elaboratory, o bardzo ciężkich do zrozumienia, trudnych treści prawnych, które kompletnie nie są adresowane do odbiorcy. Jeżeli mamy profil odbiorcy, który nie jest prawnikiem, jeżeli mamy profil odbiorcy, który jest osobą, takim profilem przeciętnego konsumenta w internecie, który jest nieuważny, bo tacy jesteśmy, nasza uwaga w internecie bardzo szybko spada, w związku z tym ten profil przeciętnego konsumenta w sieci, to jest profil konsumenta nieuważnego, nieostrożnego.

KN: Ja tylko dopytam, bo tu chodzi o to, że bardzo często akceptujemy coś, czego nie przeczytaliśmy, prawda?

MK: Dokładnie tak, akceptujemy coś czego albo nie przeczytaliśmy, albo czegoś czego nie zrozumieliśmy. Ponieważ zostało nam dostarczone tak trudnym językiem, że nie byliśmy w stanie do niego dotrzeć. Jeżeli adresujemy treści kierowane do dzieci, to ten język powinien być jeszcze bardziej prosty, jeżeli adresujemy treści, które są kierowane do osób niepełnosprawnych, niewidzących, niedosłyszących, to wtedy forma realizacji takiego obowiązku musi być do nich dostosowana poprzez, czy to możliwość jego odczytania, czy to przez jego prostotę w treści. Dlatego ja zachęcam do tego, żeby konstruując tego typu obowiązki kierować się zasadą prostego języka. To jest zawsze proste, ponieważ prosty język zrozumie i prawnik i przeciętny konsument w sieci, taki profil nieuważnego odbiorcy. W momencie kiedy kierujemy pytanie, obowiązek informacyjny, budujemy go językiem prawniczym, czy językiem prawnym z powoływaniem się na niekończącą się liczbę ustępów, paragrafów, artykułów, to wtedy jest wielkie prawdopodobieństwo, że ta treść, którą chcemy przekazać po prostu nie dojdzie do odbiorcy i gdzieś wydaje mi się jak patrzę na etapie po tych 3 latach, bo RODO weszło w życie 3 lata temu. Jak patrzę na to jego wdrażanie, to gdzieś w tym zagubiliśmy niestety. Patrzymy na tą regulację bardzo literalnie i te obowiązki informacyjne bardzo często odstraszają. Jedna ważna rzecz dla wszystkich państwa. Przepis, który z jakichś względów kompletnie nie wiem dlaczego w Polsce nie przejął, obowiązki informacyjne my możemy uzupełnić grafikami, czyli czymś co jest interesujące. Nie musimy zarzucać nudnymi, odstraszającymi treściami, które obniżają konwersję w Internecie, bo im więcej tekstu, tego typu tekstu, czyli tekstu, który z zasady nie interesuje, tym spadek zainteresowania określoną stroną. Uzupełniamy go ciekawymi grafikami. Wykorzystamy tę możliwość i w ten sposób zainteresujmy tą treścią, a nie odstraszajmy.

KN: A czy klauzula informacyjna powinna dotyczyć tylko osób fizycznych będących uczestnikami programów lojalnościowych, czy również osób fizycznych działających w imieniu przedsiębiorcy, który jest uczestnikiem? Pytanie jest o tyle istotne iż liczba organizowanych programów motywacyjnych skierowanych do przedsiębiorców jest równie duża, co programów lojalnościowych, w których biorą udział osoby fizyczne.

MK: Tutaj zasadnicza różnica, dlatego bo jeżeli pozyskujemy informacje bezpośrednio od osób, których dane gromadzimy, czyli od uczestników programu lojalnościowego, to wtedy oczywiście musimy zrealizować wobec nich obowiązek informacyjny. Musimy zrobić to niezwłocznie na etapie pozyskiwania od nich danych osobowych. Natomiast w momencie, kiedy pozyskujemy dane jakiejkolwiek osoby bez pośrednictwa, czyli jej pracodawca przekazuje nam dane w umowie np. wskazuje ją jako dane kontaktową, jako osobę kontaktową w umowie, którą zawiera, to wtedy taki obowiązek informacyjny możemy zrealizować nawet w pierwszym kontakcie zrealizowanym z taką osobą, gdzieś w stopce maila, może być także w organizacji, do której taka osoba wejdzie, gdzieś ten obowiązek informacyjny jest realizowany na recepcji. Więc po pierwsze ten czas jest odroczony, czyli możemy zrealizować ten obowiązek później, nie musimy tego robić od razu. No i tyle, tak naprawdę.

KN: Czy odpisując na takiego maila, jeśli w stopce jest informacja.

MK: Taki obowiązek informacyjny, tak?

KN: Czy odpisując na tego maila my to potwierdzamy, że przeczytaliśmy? Bo chyba..

MK: Nie musimy potwierdzić odbioru obowiązku informacyjnego. Nie ma takiego obowiązku, to nie jest zgoda, która wymaga jakiejś naszej aktywności, czyli jakiegoś świadomego gestu, działania, musimy wykazać że taki gest ktoś podjął i zaakceptował to okienko, ten checkbox. Przy obowiązku informacyjnym tak nie jest w związku z tym, jeżeli obce maila którego zawsze wysyłamy do osoby kontaktowej danej umowy jest obowiązek informacyjny, tam gdzie na dole np. piszemy “nie drukuj”, prawda, “dbaj o środowisko, nie drukuj” tam spokojnie możemy zamieścić obowiązek informacyjny, to jest to wystarczające.

KN: To jeszcze zamykając kwestię klauzuli informacyjnej, powiedz proszę, czy klauzula taka powinna być częścią regulaminu, czy odrębnym dokumentem.

MK: Nigdy obowiązek informacyjny nie może być zawarty w regulaminie, w umowie w jakimkolwiek innym dokumencie, dlatego bo – i to nie dotyczy tylko RODO. Wszystkie obowiązki, które mają charakter, które muszą trafić bezpośrednio do adresata muszą być zawsze wyciągnięte z treści umów. Dlatego bo uważa się, że w momencie, kiedy chowamy tego typu obowiązki w umowach, w regulaminach one nie są bezpośrednio dostarczane do osoby. Bo my, co do zasady regulaminów nie czytamy, umów co do zasady nie czytamy i ukrycie tego typu treści w takim regulaminie byłoby bardzo proste. W związku z tym, obowiązek informacyjny musi być zawsze wyciągnięty przed nawias.

KN: Skoro kwestię klauzuli informacyjnej mamy omówioną, to przejdźmy do zagadnienia zgód. Jak poprawnie sformułować treść zgody i ile takich zgód należy zebrać?

MK: Nie odpowiem na pytanie ile zgód powinniśmy odebrać, dlatego, bo to zależy od konkretnego stanu faktycznego i nie mogę tutaj pozwolić sobie na wprowadzenie państwa w błąd, bo może być tak że ktoś z państwa nie wiem, oprócz programu lojalnościowego chce wykorzystywać te dane w celach marketingowych np. i wtedy musi odebrać oddzielną zgodę na przetwarzanie danych. Natomiast powiem co w takiej klauzuli zawsze musi się znaleźć. Po pierwsze musi być jeden cel, jedna zgoda, czyli nie możemy w jednej klauzuli prosić o wyrażenie zgody na przetwarzanie danych w różnych celach.

KN: Musimy to rozgraniczyć.

MK: Musimy to zawsze rozgraniczyć. Po drugie zawsze musimy poinformować o prawie do odwołania takiej zgody i zgoda musi być dobrowolna, nie może być wymuszona. Co oznacza, że np. jeżeli konstruujemy klauzulę zgody, to check box który oznaczamy nie może być domyślnie zaznaczony. Musi być pusty. Ktoś świadomie wyraża zgodę, w związku z tym świadomie odznacza taki check box. W momencie kiedy jest on domyślnie zaznaczony, to znaczy, że domyślnie odbieramy zgodę. a ktoś kto nie chce udzielić musi go odznaczyć. A to już jest wada oświadczenia woli, brak pewnej świadomości, ryzyko pomyłki i o tym musimy pamiętać.

KN: Wspomniałeś, że powinna być przede wszystkim dobrowolna i od niczego niezależna. Ja chciałam tutaj dopytać jak taki zwykły szary konsument. Czyli nie powinno być takiej sytuacji, w której informacja zawarta na stronie internetowej chociażby daje mi do zrozumienia, że jeśli nie zaznaczę danej zgody, to nie mogę przejść dalej, nie mogę dokonać zakupu, nie mogę dowiedzieć się więcej.

MK: Dokładnie tak. Jeżeli coś kupujemy, zabieramy umowę kupna sprzedaży, w takiej sytuacji ta umowa kupna sprzedaży jest podstawą przetwarzania danych osobowych i w ogóle nie odbieramy zgody wtedy. Nie możemy również uzależniać od odebrania zgody świadczenia jakiejkolwiek usługi, dlatego bo wtedy uważa się, że zgoda taka jest wymuszona. Podam bardzo prosty przykład odchodząc trochę może od tematu programów lojalnościowych, ale bardzo obrazowy. Wyobraźmy sobie, że jesteśmy w wagonie PKP i który daje dostęp do Internetu i żeby uzyskać taki dostęp musimy udzielić zgody na kilkanaście klauzul. Jednocześnie wagon jest przestrzenią, która bardzo często nie ma dostępu do naszego Internetu, nie możemy skorzystać z naszego Internetu, bo nie mamy zasięgu mówiąc najprościej, a to ze względu na tak zwane białe plamy w Polsce, których cały czas jest niestety bardzo dużo i wtedy co robimy? My czując się przymuszeni udzielamy tego typu zgody, a potem przez miesiące odbieramy tysiące maili marketingowych od przeróżnych podmiotów, bo to jest cały konglomerat i to jest niezgodne z prawem. Ale powiedzenie, że możesz skorzystać nieodpłatnie i bez udzielenia zgody z wolnego Internetu, ale za szybki Internet musisz zapłacić zgodą na przetwarzanie danych w celach marketingowych, już jest zgodne z prawem. Bo dzisiaj mówi się, że 2019 roku dane po raz pierwszy przekroczyły wartość ropy naftowej. Skoro dane są walutą, to możemy nią płacić, ale świadomie i dobrowolnie. I o tej świadomości dobrowolności musimy zawsze pamiętać.

KN: Najważniejsze, że mamy wybór.

MK: Tak.

KN: A jak postąpić w przypadku, gdy chcemy kierować do uczestników inną komunikację niż tę związaną z programem lojalnościowym? Bo skoro zebraliśmy już tak dużo zgód, to mamy większą pokusę, żeby z niej korzystać innych aspektach.

MK: Tak, to znaczy, jeżeli odbierzemy świadomie zgodę na przetwarzanie danych, wyraźnie poinformujemy o odrębnym celu przetwarzania, to wtedy możemy oczywiście te dane przetwarzać. Jeżeli chcemy wykorzystywać dane w celach marketingowych musimy odebrać zgodę. To jest pierwsza zgoda. Jeżeli chcemy móc przekazać te dane podmiotom w grupie, bo jesteśmy np. grupą spółek i chcemy żeby te dane migrowały pomiędzy podmiotami w grupie, to mamy już kolejną zgodę, jaką jest przekazanie danych pomiędzy podmiotami w grupie. Jeżeli chcemy korzystać korzystać z marketingu nie tylko elektronicznego, czyli mailowego, ale również telefonicznego, potrzebujemy na to oddzielną zgodę. Już mamy trzecią zgodę. Więc tych zgód jest jak widać, może być rzeczywiście bardzo dużo.

KN: Większość programów lojalnościowych prowadzone jest przez wiele lat. Niektóre z nich bezterminowo, inne edycjach rocznych. I tu nie sposób pominąć kwestii minimalizacji ilości danych przetwarzanych w ramach tych programów. Czy wiedząc, że za rok będziemy wystawiać niektórym uczestnikom PIT 11 powinniśmy takie dane jak PESEL, czy adres zamieszkania zebrać od wszystkich uczestników w momencie przystąpienia, czy tuż przed wydaniem nagrody? Bo wiemy, że wielu uczestników po otrzymaniu nagrody już niechętnie przekazuje dane.

MK: Tak, zdecydowanie. Jeżeli wiemy o tym, że mamy obowiązek wystawienia PIT-u, czy jakikolwiek inny obowiązek rachunkowy księgowy, powinniśmy na etapie gromadzenia tych danych pozyskać te dane i nie będzie to uznane za naruszenie zasady minimalizmu, która mówi o tym, że za każdym razem przetwarzane dane niezbędne do realizacji celu. Tutaj tym celem jest sprawozdawczości finansowa i obowiązki podatkowe. Bez wątpienia te dane powinniśmy pozyskać.

KN: RODO daje uczestnikowi szereg uprawnień. Pomówimy o tym, jak poprawnie zrealizować żądanie osoby, której dane dotyczą. Jak powinien postąpić podwykonawca zwany procesorem?

MK: W momencie, kiedy ktoś prosi o wycofanie zgody na przetwarzanie danych osobowych, po pierwsze musimy pamiętać o tym, że nie zawsze to żądanie musimy zrealizować. Dlatego, bo może się okazać, że owszem doszło do zaprzestania przetwarzania danych w tym pierwotnym celu, jakim jest świadczenie usługi lojalnościowej, ale z drugiej strony mamy obowiązek wynikający z ustawy o rachunkowości przetwarzania danych przez okres sześciu lat. Albo może się okazać, że potrzebujemy te dane po to, żeby ochronić się przed roszczeniami. Przewidujemy, że z tytułu wykonanej umowy mogą pojawić się w przyszłości roszczenia i wtedy do momentu przedawnienia roszczeń mamy prawo przetwarzać dane osobowe dalej. I to jest dla mnie kluczowe w tym przypadku. Czyli musimy sobie za każdym razem jak, nie możemy tak ślepo realizować żądań usunięcia danych, bo prawo do cofnięcia danych oznacza tak naprawdę, że ktoś żąda usunięcia tych danych naszych systemów. Nie możemy tak ślepo ich realizować, ale w każdym konkretnym przypadku musimy sobie odpowiedzieć na pytanie, czy pojawia się nowy cel w ich przetwarzaniu. Jeżeli mamy taki cel, to odmawiały usunięcia danych. Mówimy “owszem, odebraliśmy od Ciebie zgodę na przetwarzanie danych osobowych i ten cel ustał, ale w związku z tym przetwarzaniem danych świadczyliśmy wobec Ciebie usługę i musimy mieć dowód na to, że tę usługę wykonaliśmy należycie, bo Ty możesz do nas kierować roszczenia”. W momencie kiedy ja te dane usunę ze swojego systemu, to ja nie będę mógł zrealizować tego, czy mogła zrealizować tego obowiązku dowodowego, nie będę potrafił wykazać, czy potrafiła wykazać, że wykonałam należycie czy wykonałem należycie tę umowę.

KN: To ja teraz będę idealnym przykładem osoby, która nie do końca czyta te wszystkie informacje i regulaminy.

MK: Czyli taki przeciętny konsument w sieci.

KN: Zgadza się. Przyznaję się bez bicia i chciałam dopytać o jedną rzecz. Czyli ja zgadzając się na przetwarzanie moich danych osobowych zgadzam się na ten proces na określony czas? Czy bezterminowo?

MK: Różnie. Może być zgoda bezterminowa, może być zgoda czasowa. W momencie kiedy odbieram zgodę na przetwarzanie danych w określonym czasie z chwilą ustania tego okresu zgoda traci ważność. W momencie kiedy odbieram zgodę bezterminowo, większość tych zgód odbiera się bezterminowo zgoda jest ważna do momentu, kiedy taką zgodę odwołam.

KN: To ja jeszcze dopytam, Macieju, bo interesuje mnie całe to zamieszanie, które, przepraszam za kolokwializm, które powstało w momencie, kiedy rozporządzenie RODO zawitało do Polski. Wszyscy mieli nadzieję, że zgody, których udzielili wcześniej zostaną anulowane i nie będą już zasypywani tysiącem maili z reklamami z ofertami, ale nie do końca tak się wydarzyło.

MK: Absolutnie nie, zgody udzielone przed 25 maja 2018 roku, RODO weszło w życie weszło w życie 25 maja 2018 roku, wszystkie zgody udzielone przed tą datą były absolutnie ważne. Administratorzy powinni dodatkowo tylko poinformować nas o tym, że przysługuje nam prawo do odwołania takiej zgody. Wcześniej wymogów takich nie było i dlatego w tym okresie miesiąca od wejścia w życie RODO, państwa mogą nie pamiętać. Nasze maile były pełne różnego rodzaju aktualizacji. polityk prywatności, obowiązków informacyjnych, właśnie dlatego, że administratorzy dochowywali obowiązku uzupełniającego informowania nas o tym, że przysługuje nam prawo do odwołania zgody.

KN: Kolejne pytanie odnosi się do loterii organizowanej w ramach programów lojalnościowych. Czy przetwarzanie danych na potrzeby loterii wymaga odrębnych zgód lub powoływania się na odrębny uzasadniony interes administratora?

MK: Jeżeli organizujemy loterię, loteria najczęściej jest poprzedzone akceptacją regulaminu świadczenia usług drogą elektroniczną i wtedy podstawą przetwarzania danych jest umowa, nie zgoda. Często również mówi się, że loteria jest Przyrzeczeniem publicznym z punktu widzenia prawa cywilnego. Przystępując do takiej loterii, przystępując do takiego konkursu przyjmujemy takie przyrzeczenie publiczne, to również jest umowa w rozumieniu przepisów RODO. Związku z tym tutaj zgód nie odbieramy.

KN: Macieju, i na sam koniec chciałam Cię zapytać o taki temat, który jest bardzo aktualny, dlatego że nagrywamy to w czasie, kiedy cały świat obiegła informacja iż nastąpił pożar w serwerowni OVH i chciałam zapytać jak postępować w takiej sytuacji, jeśli chodzi o utracenie tak wielkiej ilości danych.

MK: Tak wielkie podmioty globalne jak ta spółka najczęściej mają kopie zapasowe zlokalizowane w różnych serwerowniach na świecie, w związku z tym pożar nie musi wiązać się z utraceniem, czy usunięciem danych osobowych. Mamy zawsze prawo skierować do podmiotu, który przetwarzał dane i do którego doszło do tego typu incydentu pytanie czy doszło do utracenia, czy utraty integralności danych, czy ingerencji w ogóle w treść danych i to nam zawsze przysługuje. Korzystając z usług podmiotów zewnętrznych podwykonawców, zawsze powinniśmy korzystać z usług podmiotów renomowanych. OVH jest podmiotem globalnym i pokazuje się, to pokazuje jakby, że tego typu sytuacje mogą się zdarzyć każdemu, prawda. Pożary zdarzają się czasami, wynikają z siły wyższej, różnych okoliczności. Natomiast namawiam do tego, żebyśmy korzystając z tego typu usług mieli zawsze świadomość tego, że, z resztą w trakcie naszej rozmowy o tym gdzieś tam pomiędzy zdaniami powiedziałem, że w 2019 roku wartość danych przekroczyła wartość ropy naftowej, że dane są dzisiaj walutą, że dane dzisiaj są równoprawnym środkiem płatności tak naprawdę, a skoro w portmonetce własnej mamy nawyk dbania o dane chowania ich i pielęgnowania ich wybierając, nie wiem podmiot finansowy, u którego chcemy lokować nasze pieniądze, zwracamy uwagę na jego renomę, markę. Dokładnie to samo róbmy z podmiotami, którym przekazujemy nasze dane.

KN: Macieju, w takim razie bardzo dziękuję za dzisiejszą rozmowę i za tak dużą dawkę wiedzy.

MK: Mam nadzieję, że pokazałem Państwu, że przetwarzanie danych osobowych i jednoczesne realizowanie obowiązków wynikających z RODO nie musi być tak skomplikowane jak nam się wydaje, że trochę odczarowaliśmy tę regulację.

KN: Dziękuję Ci bardzo, a ja zapraszam na kolejny odcinek.

Transkrypcja – RODO w aspekcie programów lojalnościowych