RODO a gromadzenie danych z wizytówek – spostrzeżenia praktyczne

25 maja 2018, 10:26 | Aktualności | komentarzy 28
Tagi: ,
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Wiele osób zastanawia się – co z tak prozaiczną biznesową czynnością dnia codziennego, jak zbieranie wizytówek naszych partnerów oraz rejestrowanie danych kontaktowych na nich zawartych w kontekście RODO?

Oczywiście, jak w większości praktycznych kwestii trudno doszukiwać się bezpośredniego doregulowania tego zagadnienia w samym rozporządzeniu. Natomiast postaram się podzielić z Wami moimi spostrzeżeniami w tym zakresie oraz wskazać kilka praktycznych rozwiązań, jakie możemy zaimplementować w naszej pracy.

Małe wyłączenie ;-)

Pamiętajcie, że zawarte poniżej informacje są interpretacją wymagań RODO i bazują na moich doświadczeniach w zakresie ochrony danych osobowych. Pewnie można określić i zdefiniować jeszcze „tysiąc” innych metod na postępowanie z danym zawartymi na wizytówkach : -), natomiast postaram się Wam przedstawić mój punkt widzenia i podzielić się własnymi obserwacjami i przemyśleniami w tym zakresie.

1. Czy dane na wizytówce to dane osobowe?

Odpowiedź zwykle jest zależna od tego, co tak naprawdę na wizytówce się znajduje. Jeśli będzie to jedynie nasze imię i nazwisko i nic więcej, możemy założyć, że nie jest to jeszcze dana osobowa. Lecz jeśli dodatkowo mamy informacje: o nazwie firmy, adres e-mail, numer telefonu (nawet jeśli jest to numer firmowy) to prawdopodobieństwo możliwości jednoznacznej identyfikacji danej osoby znacząco wzrasta. Pamiętajmy, że daną osobową jest informacja pozwalająca na bezpośrednią lub pośrednią identyfikację osoby.

Także w mojej opinii, jeśli wizytówka zawiera taki standardowy zakres danych, powinna być traktowana jako nośnik ZAWIERAJĄCY dane osobowe.

2. Jakie są wyjątki i kiedy dane na wizytówce pomimo bycia danymi osobowymi nie podlegają ochronie zgodnie z RODO?

Osoby prawne

Pamiętajmy, że Rozporządzenie o ochronie danych RODO nie ma zastosowania do danych „osób prawnych”. Co to znaczy w praktyce? Jeżeli na wizytówce będą znajdowały się dane osoby będącej formalnie zarejestrowanej jako „wspólnik spółki” i informacje o takiej osobie znajdują się w KRS, to wówczas te dane nie podlegają RODO i daną osobą wg. def. nie są.

W tym miejscu kolejnym poziomem skomplikowania jest fakt, że od 25 maja dane osób fizycznych prowadzących działalność gospodarczą będą objęte pełną ochroną wynikającą z RODO i takie dane już daną osobową będą.

Przetwarzanie danych osobowych w życiu prywatnym

Jeżeli wymieniamy się wizytówkami w życiu prywatnym lub ich odbiorcami są osoby prywatne, wówczas cały proces operacji na danych osobowych na nich zawartych jest wyłączony spod zakresu RODO. Jest to bardzo istotny obszar w kontekście wizytówek jako takich, gdyż w znacznej większości wykorzystujemy je każdego dnia w celach pozyskiwania klienta końcowego, którym jest osoba prywatna.

Dane przetwarzane w „zbiorze nieuporządkowanym”

Najistotniejsze znaczenie z punktu widzenia aplikowalności RODO ma to, czy zbiór gromadzonych przez nas wizytówek będzie zbiorem uporządkowanym (usystematyzowanym). Co to oznacza? Jeżeli zebrane przez nas wizytówki będą miały tylko formę papierową i dodatkowo nie będziemy ich w żaden sposób ewidencjonować, układać w porządku alfabetycznym, czy też digitalizować np. przez dodanie do systemu CRM w celu dalszego przetwarzania, czy też dodania do listy adresowej w aplikacji do zarządzania kontaktami, możemy założyć, że wizytówki nie będą objęte RODO. Takie założenie możemy poczynić na podstawie Motywu (15) RODO:

Aby zapobiec poważnemu ryzyku obchodzenia prawa, ochrona osób fizycznych powinna być neutralna pod względem technicznym i nie powinna zależeć od stosowanych technik. Ochrona osób fizycznych powinna mieć zastosowanie do zautomatyzowanego przetwarzania danych osobowych oraz do przetwarzania ręcznego, jeżeli dane osobowe znajdują się lub mają się znaleźć w zbiorze danych. Zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są uporządkowane według określonych kryteriów nie powinny być objęte zakresem niniejszego rozporządzenia.

Co zrobić, jeżeli stwierdzimy, że wspomniane wyłączenia mnie nie obejmują?

3. Czy konieczne będzie pobranie odrębnej pisemnej zgody na przetwarzanie danych osobowych zawartych na wizytówce w celach kontaktu związanym z kontekstem otrzymania wizytówki (np. kontakt telefoniczny po spotkaniu i zaprezentowanie oferty handlowej)?

 Nie, sam fakt przekazania wizytówki przez osobę, której dane się na niej znajdują, jest czytelnym i jednoznacznym aktem wyrażenia zgody na przetwarzanie danych osobowych zawartych na wizytówce. Tutaj jedna ważna uwaga, nie powinniśmy przekazywać wizytówek, które do nas nie należą i robić tego w imieniu innej osoby, gdyż tego rodzaju działanie nie jest równoznaczne z wolą okazaną przez osobę, której dane na wizytówce są zawarte. Myślę, że w takich sytuacjach każda z organizacji powinna mieć zestaw wizytówek „firmowych” lub poszczególnych działów, które nie zawierają żadnych detali powiązanych z konkretną osobą. Oczywiście można tutaj próbować powoływać się na tzw: „Prawnie uzasadniony interes” administratora i wykazywać, że dane umieszczone na wizytówce stanowią tzw. (nazwa nieformalna) – „dane pracownicze”. Na pewno jest to działanie zwiększające prawdopodobieństwo wykazania potencjalnej niezgodności z RODO i roszczeń z którymi będziemy musieli się borykać.

4. Czy jesteśmy zobowiązani do wykonania „obowiązku informacyjnego” względem osoby, od której pobieramy wizytówkę?

Tak, zgodnie z Art.13 RODO po otrzymaniu rzeczonej wizytówki stajemy się administratorem danych na niej zawartych i co za tym idzie, musimy wykonać obowiązek informacyjny podyktowany przez rozporządzenie (detale znajdziecie w treści Artykułu 13: http://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32016R0679&from=PL) .

No dobrze…, ale jak to zrobić?

Istnieje kilka, wydających się racjonalnymi, metod poinformowania podmiotu danych o przysługujących mu prawach:

– Powinniśmy na mocy Art.13 RODO poinformować osobę, której dane pozyskaliśmy z wizytówki, o przysługujących jej prawach poprzez np. wysłanie wiadomości e-mail i umieszczenie w niej treści obowiązku informacyjnego. Można także umieścić treść obowiązku informacyjnego w stopce wiadomości, jakie wysyłamy do naszych klientów, co w przypadku działów handlowych, które właściwie cały dzień komunikują się z klientami (których dane pozyskały z wizytówek), ma uzasadnioną argumentację, ponieważ nigdy nikt nie zapomni o umieszczeniu właściwej klauzuli informacyjnej. Warto zauważyć, że w sytuacji komunikowania „obowiązku informacyjnego” droga mailową zawsze zostaje nam jakiś ślad i dowód na jego wykonanie :-)

Strona formalna – ile mamy czasu na wykonanie „obowiązku informacyjnego”?

(Art.13 RODO mówiący o „informacjach podawanych w przypadku zbierania danych od osoby, której dane dotyczą” nie doprecyzowuje dokładnie, ile mamy czasu na wykonanie „obowiązku informacyjnego” (z założenia powinniśmy zrobić to natychmiast).

Dla skontrastowania Art. 14 ust.3 pkt. a) RODO – mówiący o pozyskiwaniu danych „w sposób inny niż od osoby, której dane dotyczą” definiuje ten okres w sposób następujący: administrator podaje w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych”)

W związku z powyższym należy założyć, że powinniśmy wykonać obowiązek informacyjny tak szybko jak będzie to możliwe – po pozyskaniu danych osobowych zawartych na wizytówce.

– Jeśli pozyskujemy dane osobowe np. na targach, wystawach, kongresach i osoby zainteresowane kontaktem zwrotnym z naszej strony wrzucają wizytówki do jakiegoś przygotowanego pojemnika, możemy umieścić treść „obowiązku informacyjnego” na tym naczyniu. Tutaj jedna praktyczna uwaga – starajmy się dobierać owe „enigmatyczne” naczynia : -) tak, aby: po pierwsze nikt nie był w stanie w sposób nieautoryzowany „wyciągnąć” z niego wizytówki; po drugie – aby nikt nie mógł podejrzeć danych osobowych zwartych na wizytówkach – najlepiej zrobić jakiegoś „Black Box’a” ;-) Na pewno nie powinien być to otwarty koszyczek.

– Przykład, który chciałbym poddać Waszej krytyce :-). Zakładając, że zwykle wymieniamy się wizytówkami z parterami, można założyć, że część obowiązku poinformowania drugiej strony (o tym kto jest administratorem danych) już wykonujemy wręczając zwrotnie naszą wizytówkę. Natomiast treść pozostałych punktów wymaganych w celu dopełnienia „obowiązku informacyjnego” możemy wydrukować na odwrocie naszej wizytówki lub wskazać czytelnie adres strony internetowej naszej organizacji, na której została zamieszczona jego treść.

5. Co mogę robić z danymi z wizytówki?

No właśnie, tutaj niestety zaczyna się obszar spekulacji i interpretacji…, ponieważ nigdzie nie znajdziemy swoistego katalogu czynności i operacji dozwolonych do wykonania na danych z wizytówek.

W mojej skromnej opinii dane z wizytówek możemy zgromadzić w naszych systemach służących do przechowywania danych komunikacyjnych i wykorzystać w komunikacji biznesowej / ofertowej typu: Biznes – Biznes. Natomiast na pewno bez zgody osoby, której dane dotyczą nie powinniśmy przeprowadzać „zautomatyzowanego profilowania” jej preferencji, tudzież przesyłać komunikacji marketingowej skierowanej do niej, jako osoby prywatnej, jeżeli powierzyła nam swoją wizytówkę w celach czysto biznesowych.

6. Czy wizytówki w wizytowniku to zbiór danych osobowych?

Jeżeli kategorie danych zawarte na wizytówkach pozwalają na bezpośrednią lub pośrednią identyfikację osób to niestety raczej tak :-(. Co więcej, będziemy zobowiązani do prawidłowego (względem odnotowywanych ryzyk) zabezpieczenia tych „zbiorów”.

Uwaga !

Musimy w tym miejscu powrócić do wspomnianej wcześniej „specyfiki” definicyjnej, gdyż, aby mówić o „zbiorze danych osobowych”, elementy tego zbioru powinny zostać „uporządkowane – usystematyzowane”.

Oznaczać mogłoby to, że jeżeli zebrane przez nas wizytówki nie będą sortowane, inwentaryzowane, przetwarzane przez systemy – to zbiorem usystematyzowanym nie są :-) i RODO się nie aplikuje. Natomiast jeśli ułożymy je w porządku alfabetycznym i włożymy do wizytownika, spiszemy z nich kontakty i umieścimy je w liście kontaktowej lub wpiszemy do sytemu CRM to RODO się aplikuje.

Oczywiście ja jestem za podejściem pragmatycznym / realistycznym i dopasowaniem się do warunków, w jakich będziemy przechowywać zebrane wizytówki, tak aby stosowane zabezpieczenia dopasować do ilości danych, jakie będą w naszym „zbiorze” oraz charakteru ich użycia, wszystko po to by nie popaść w paranoję…

 Pozwolę sobie użyć kilku przykładów:

– jeżeli wizytownik znajduje się w naszym biurze, w którym pracujemy tylko my lub zdefiniowany zespół współpracujących osób i dostęp do niego jest wysoce ograniczony, a sam wizytonik nie zawiera tysięcy wizytówek. Możemy założyć, że wystarczającym będzie schowanie wizytownika do zamykanej na klucz szuflady w momencie, kiedy opuszczamy biuro, a dostęp do niego mogą mieć osoby trzecie (np. firmy świadczące usługi sprzątania) – w moim odczuciu jest to zachowanie wynikające z dobrej praktyki i rzetelności w ochronie informacji.

– jeżeli natomiast pracujemy w dziale handlowym i przed naszym biurkiem codziennie zasiadają dziesiątki klientów, w ogóle powinniśmy ograniczyć swobodny / przypadkowy dostęp / podglądanie jakichkolwiek danych, zwłaszcza danych osobowych. W tym przypadku zakładam, iż najlepszym rozwiązaniem będzie przeniesienie naszego wizytownika w inne miejsce do pomieszczenia, w którym może on być bezpiecznie przechowywany, tudzież zupełnie się go pozbyć (zniszczyć wizytówki), a dane wprowadzić do stosowanego przez organizację systemu (służącego do zarządzani kontaktami) i bazować tylko na ich wersji elektronicznej.

Rozwiązań będzie pewnie tyle samo, ile różnych metod przetwarzania danych. Musimy je dostosować do naszych warunków i sposobu pracy na danych. Jeszcze raz podkreślę nie chodzi tutaj o budzenie paniki i podnoszenie tematu wizytówek do rangi największego problemu implementacji RODO, lecz o zastanowienie się chwilkę nad tym tematem.

Podsumowanie

Wynieśmy z naszych rozważań, iż:

Nie powinniśmy ignorować nawet najmniejszego i z pozoru banalnego obszaru, w którym przetwarzamy dane osobowe: wizytówki, notatki zawierające dane osobowe, słynne papierowe kalendarze „handlowców” :-), segregatory z fakturami, różnego rodzaju elektroniczne „pomoce”, jak tablety, notatki elektroniczne, to tylko kilka z przykładów.

Wszystkie te zbiory powinny być przez nas przeanalizowane na okoliczność: charakteru danych w nich przechowywanych (czy są to dane mogące być uznane za dane osobowe), rodzaju zagrożeń, jakie mogą „czyhać” na dane w nich zawarte, poziomu i zakresu negatywnego wpływu podczas materializacji zagrożenia, prawdopodobieństwa tego, że określone zagrożenie się zmaterializuje w czasie.

Oczywiście jak zwykle namawiam do zdroworozsądkowego podejścia do tematu i chłodnej, pragmatycznej analizy. Jeśli uznamy, że przetwarzane przez nas zbiory danymi osobowymi nie są – nie będą one wymagać ochrony. Jeżeli natomiast stwierdzimy, że określony zbiór informacji stanowi dane osobowe (i nie zalicza się do grupy zbiorów nieobjętych ochroną zgodnie z RODO), to wówczas powinniśmy dopasować stosowane środki bezpieczeństwa do realnego zakresu ryzyk, jaki odnosi się do bezpieczeństwa tego zbioru. Czasami,jak zostało wspomniane wcześniej, wystarczy schowanie „zbioru danych” do zamykanej szuflady, czasem będziemy musieli zastosować bardziej skomplikowane zabezpieczenia, choćby w kontekście stosowanych systemów CRM.

To co najważniejsze dla nas, jako administratorów danych osobowych, to przede wszystkim znajomość treści Rozporządzenia RODO, jego treść to nie tylko akt prawny, ale także dość czytelnie spisany zbiór wymagań, definicji, wskazówek postępowania. Zapoznanie się z RODO może być bardzo dużą wartością dodaną i pozwoli nam bardziej racjonalnie decydować w zakresie działań, jakie podejmujemy na co dzień w kontekście ochrony danych osobowych.

Treść Rozporządzenia RODO można naleźć tutaj: https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32016R0679&from=PL

Komentujcie, piszcie, jakie są Wasze doświadczenia, dzielcie się wątpliwościami.

Zapraszam także gorąco na szkolenia z „Sekurakiem” prowadzone przeze mnie, podczas których w wysoce interaktywnej formie, pełnej dyskusji i miejsca na wymianę opinii omawiamy zagadnienia teoretyczne związane z RODO oraz w formie warsztatowej ćwiczymy zasadnicze kroki związane z przeprowadzeniem analizy ryzyka koniecznej podczas implementacji RODO.

–Maciej Pokorniecki

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. MatM

    K…a to ja już sobie nie mogę poukładać wizytówek… chyba czas iść do psychiatry na leczenie bo ja lubię mieć alfabetycznie, czy w jakimś innym porządku poukładane rzeczy. Wychodzi, że najlepiej mieć wielki wór na śmieci i tam wrzucać wizytówki i w razie potrzeby losować lub wyszukiwać (oczywiście pod kocem czy w piwnicy aby postronny „napastnik” przez ramię nie odczytał). Absurd Panie, absurd! Niebawem zaczniemy chodzić w weneckich maskach karnawałowych aby chronić nasze wizerunki.

    Odpowiedz
    • Maciek

      Dzięki za komentarz : -), absolutnie nikt nie zabrania układania wizytówek jak się chce, chodzi tylko o to, aby je zabezpieczać – wówczas kiedy takie zabezpieczenie jest konieczne :-)

      Jak pisałem nasze podejście musi bazować na kilku zasadniczych działaniach – zanim podejmiemy jakikolwiek decyzje związane z robieniem czegokolwiek z wizytówkami. Musimy się zastanowić: po pierwsze i najważniejsze – czy w ogóle zawierają one dane podlegające ochronie zgodnie z RODO, czy istnieje racjonalne ryzyko tego, że dane mogą z nich wyciec, co może się negatywnego stać wobec osób których są to dane, ile tak naprawdę tych danych jest w naszym zbiorze i dopiero na tej bazie podjąć decyzję CZY i CO robić, aby je chronić. Nie chodzi tu o robinie skomplikowanej analizy, a jedynie przemyślenie tematu…

      Czasami wystarczy zrobić NIC… i to wystarczy… (jak się potrafimy z tego wytłumaczyć jest ok), czasami schować do szuflady, czasami przenieść gdzie indziej, czasami jak stwierdzimy, że i tak z nich już nie korzystamy zniszczyć, czasami załadować do aplikacji służącej zarządzaniu kontaktami…

      Jednym z zasadniczych mit’ów związanych z RODO jest to, że coś musimy robić. Jedyne co musimy to się zatrzymać na chwile i pomyśleć co i gdzie robimy z danymi osobowymi i odpowiedzieć sobie na pytanie czy to wystarczy… Nie ma żadnych katalogów, czy nakazów ma działać tylko i wyłącznie zdrowy rozsądek i wyobraźnia.

      Odpowiedz
      • ” (…) zatrzymać się na chwilę i pomyśleć (…) zdrowy rozsądek i wyobraźnia.” – i to jest właśnie duża zaleta RODO. Bo w pewnym sensie wymusza pewien zalążek analizy ryzyka na każdym – a jest to bardzo istotna umiejętność. Jakie mam dane, co z nimi robię, jak te dane mogą wyciec, co zrobić, żeby ograniczyć ryzyko wycieku. + media, które o RODO mówią w niewielkim stopniu przyczyniają się do zwiększenia świadomości tego komu i jakie dane powierzamy.

        Z drugiej strony, ta zaleta to również powód tak wielkiej paniki która miała miejsce przez 25 maja. Skoro nie ma jednoznacznych zapisów/definicji w jaki sposób dostosować się do RODO – wiele osób obawia się, że stwierdzenie, czy zasady RODO są poprawnie wdrożone będzie zależało wyłącznie od interpretacji kontrolerów.

        Odpowiedz
  2. Mike

    A co w przypadku prowadzenia strony internetowej, która ma formę listingu przedsiębiorstw danej branży? (docelowo płatnego ) Czy dane przepisując dane z google na moją stronę łamię prawo? Z poprzedniej ustawy o ochronie danych osobowych wywnioskowałem tyle, że sama nazwa przedsiębiorstwa, oraz adres to nie grzech, ale numer telefonu już wzbudził moje wątpliwości, gdyż pośrednio można za jego pomocą zidentyfikować daną osobę. Jak teraz dostosować się do RODO? Strona jest już live, ale nie ukończyłem uzupełniać wszystkich pozycji, i aż tego nie zrobię raczej nie będę kontaktował się z przedsiębiorcami.

    Odpowiedz
    • Leszek

      Zgodnei z RODO jeżeli to spółka prawa handlowego to wsztko ok. Jeżeli osoba fizyczna prowadząca działalność gospodarczą to już to są dane osobowe. Czyli w najlepszym razie musisz ją poinformować w najgorszym (bardzo prawdopodobnym) musisz wpierw uzyskać zgodę. Do pierwszych kar się na 100% nie dowiemy. Ogólnie działalność bardzo ryzykowna. Robiłbym to jako spółka z minimalnym kapitałem żeby można ją łatwo zamknąć.

      Odpowiedz
    • Maciek

      Spod zakresu ochrony RODO są wyłączone wszystkie podmioty gospodarcze posiadające osobowość prawną, czyli np. spółki, ich dane jak i dane osób je reprezentujących można przetwarzać bez wypełniania detalicznych obowiązków wynikających z RODO.

      Największą zmianą i zarazem problemem jaki się pojawił to fakt, że RODO obejmuje teraz swoim zakresem osoby fizyczne prowadzące działalność gospodarczą. Ochrona tego rodzaju danych była częściowo ograniczona na bazie poprzedniej Ustawy o ochronie danych osobowych, która obowiązywała do 24 maja 2018.

      Dobra i teraz tłumacząc to na Twoją sytuację:

      Dane podmiotów będących spółkami możesz gromadzić, natomiast jeśli wśród tych danych znajdują się dane osób prowadzących działalność gospodarczą np. firma „123 Imię Nazwisko” to Będziesz musiał mieć podstawę prawną do przetwarzania takich informacji. Czyli (upraszczając), albo masz umowę handlową z tymi ludźmi na dostarczanie im czegoś (np. promocji w Internecie), albo zgodę na użycie danych, którą Ci wyrazili. Oczywiście dodatkowo Musisz wykonać wobec tych osób „obowiązek informacyjny” Art. 13 lub Art. 14 RODO (w zależności czy te dane Pozyskałeś od tych osób (Art. 13) czy z innego źródła (Art. 14)). No i to co najważniejsze na końcu Musisz stosownie do ryzyk chronić te dane.

      Odpowiedz
    • Sebastian

      Myślę, że planując tak nietypowe przedsięwzięcie powinieneś wysupłać trochę grosza na wsparcie prawnika.

      Moim zdaniem nie masz prawa do takiego działania bez zgodny właściciela danych osobowych nawet jeśli są udostępnione publicznie przez inny podmiot. Przeczytaj treść regulacji, Twoje podejście nie spełnia podstawowych wymagań.

      Odpowiedz
    • A co w przypadku np. listy 100 książek wraz imionami i nazwiskami autorów, którą chcę sobie zamieścić na swojej stronie www? Mam pozyskać od każdego z autorów zgodę na przetwarzanie i zadośćuczynić RODO-wskiej papierologii?

      Odpowiedz
      • Alf/red/

        Personalia autorów książek zostały ‚w oczywisty sposób upublicznione’ (art. 9 pkt 2e) przez samych autorów, więc wyłączone.

        Odpowiedz
  3. KaCzKa

    Spółka jest osobą prawną, osoby będące wspólnikami w spółce już nie są osobami prawnymi i ochrona im się należy, jak każdemu innemu!

    Odpowiedz
  4. John Sharkrat

    „„administrator podaje w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych”)
    W związku z powyższym należy założyć, że powinniśmy wykonać obowiązek informacyjny tak szybko jak będzie to możliwe – po pozyskaniu danych osobowych zawartych na wizytówce.” – mamy w ciągu miesiąca poinformować osobę, od której otrzymaliśmy wizytówkę, że dała nam wizytówkę? Moje gratulacje.

    Odpowiedz
    • Maciek

      Dziękuję za komentarz.

      Jeśli chodzi o wykonanie obowiązku informacyjnego to powtórzę jeszcze raz ma on zastosowanie tylko wówczas jeśli uznamy dane zawarte na wizytówce za dane osobowe plus sposób, w jaki będziemy z nimi postępowali za przetwarzanie objęte RODO.

      Zgodnie z treścią Art. 13 nie masz informować osoby, że masz jej wizytówkę (o tym pisałem, przekazanie Ci wizytówki jest jasnym i czytelnym wyrażeniem woli i zgody na przetwarzanie danych na niej zawartych), natomiast musisz poinformować taką osobę minimum o tym kto jest administratorem i jakie przysługują jej prawa.

      Generalnie to jest najistotniejszym celem Art.13, aby podmiot danych wiedział gdzie znajdują się jego dane i widział jakie prawa mu przysługują. Co więcej, przekierowywałem do Artykułu 13 RODO ponieważ jest tam bardzo ważna rzecz zawarta w paragrafie 3 – cyt:

      „Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami”

      Oznacza to, że jeżeli już z jakichkolwiek innych źródeł osoba, której dane znajdują na wizytówce posiada wiedzą w zakresie „obowiązku informacyjnego” to nie musimy jej o tym ponownie informować.

      Także raz jeszcze podkreślę, kluczowym jest zdrowy rozsądek i przeanalizowanie tematu w specyficznym środowisku biznesowym – i to jest właśnie kluczem i tym do czego składnia RODO. Chodzi tylko o to, aby nie ignorować tego tematu z definicji. Jeżeli zdecydujemy się na „ignorowanie” to wiedzieć dlaczego :).

      Odpowiedz
  5. „Powinniśmy na mocy Art.13 RODO poinformować osobę, której dane pozyskaliśmy z wizytówki, o przysługujących jej prawach poprzez np. wysłanie wiadomości e-mail i umieszczenie w niej treści obowiązku informacyjnego”.

    Które to wysłanie maila (zwłaszcza jeśli w mailu zawarte jest imię i nazwisko) spowoduje dodanie takiej osoby do kolejnej bazy (tym razem już cyfrowej) listy wiadomości wysłanych :)

    Odpowiedz
  6. Dobrze, że na górze artykułu jest napisane, że to interpretacja. Jeśli bowiem rozdajemy wizytówki, należało by robić też spis, komu wręczyliśmy wizytówkę albo zaznaczać, że wszyscy, którzy otrzymają takową, muszą nam wysłać odpowiednią klauzulę informacyjną. Trochę zalatuje mi tu mocną nadinterpretacją. Celem istnienia wizytówek jest przekazywanie informacji o firmie, bo to forma reklamy, czyli ma mieć jak największy zasięg. Dodatkowo, na wizytówkach nie umieszcza się raczej danych, których ujawnienie naraziło by nas na jakieś nieprzyjemności.

    Odpowiedz
    • Maciek

      Dzięki za komentarz. Tutaj sytuacja wygląda tak, to Ty musisz zdecydować o typie i sile działań podjętych w zakresie ochrony danych osobowych. Czyli po pierwsze zdecydować czy rzeczywiście dane na wizytówce mogą być interpretowane jako dane osobowe. Jeśli nie, to nie ma tematu RDOO nie obowiązuje. Dodatkowo musisz oszacować ryzyko (właśnie tego o czym Piszesz) – naruszenia „praw i wolności” osoby, której dane zawarte są na wizytówce. To wszystko musi skutkować doborem odpowiedniej strategii postępowania w ochronie tych danych.

      Jeśli chodzi o Art. 13 i obowiązek informacyjny to jeżeli po analizie uznamy, że mamy do czynienia z „danymi osobowymi” i ich przetwarzaniu w zbiorze (w praktyce głownie wówczas gdy indeksujemy dane z wizytówek np. wrzucamy je do CRM’a) to jesteśmy zobowiązani wykonać „obowiązek informacyjny” – formę jego wykonani musimy dopasować do sytuacji. Raz jeszcze – nie ma nigdzie katalogu/instrukcji sposobu wykonywania obowiązku informacyjnego, to musi być nasza decyzja. Możemy np. go umieścić na odwrocie naszej wizytówki i za każdą otrzymaną wręczać naszą :).

      Pamiętajmy także (co ma znaczenie w sytuacji kiedy wymieniamy się wizytówkami np. ze znanymi nam partnerami biznesowymi). Artykuł 13. Paragraf 3 mówi cyt: „Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami”.

      Także jeśli założymy, że osoba od której otrzymaliśmy wizytówkę posiada już podstawową wiedzę o naszych danych „jako administratora”, nie będziemy na danych z wizytówki wykonywać, żadnych specyficznych działań np. „automatyczne profilowanie” i wie o przysługujących jej prawach to nie musimy wykonywać obowiązku informacyjnego ponownie.

      Odpowiedz
  7. Wredny

    A czy takim problemem jest na odwrocie wizytówki umieszczenie oświadczenia o dobrowolnym przekazaniu danych i tym samym określeniu, że okaziciel tej wizytówki spełnił swój obowiązek informacyjny wobec osoby, której dane są na wizytówce? W sumie, to nie każdy pracownik firmy musi chcieć nosić wizytówki na spotkania! trzeba byłoby tylko wyrobić sobie jeden nawyk! NIE PRZYJMOWAĆ wizytówek od osób, których wizytówka nie opisuje!
    Pewnie to kiepski pomysł, ale jakże ułatwiający życie tym, co mieliby spełniać obowiązek informacyjny.

    Odpowiedz
    • Maciek

      Nie jest to zły pomysł sam w sobie z taką klauzulą, „wszystko wiem, obowiązek informacyjny administrator spełnił” ;) noooo oczywiście zakładając, że go rzeczywiście spełnił. Myślę, że zdroworozsądkowo życie wypracuje samo praktyki. Upraszczając, tak, jak pisałem jeśli mamy do czynienia z jakimś rodzajem „masówki” typu targi, konferencję i ludzie wrzucają nam do skrzyneczki tudzież wręczają masowo wizytówki, najlepiej zrobić jakąś plakietkę na stoisku i pozamiatane. W innych przypadkach zanim spełnimy obowiązek informacyjny sprawdzić czy dana sytuacja kwalifikuje się do przetwarzania „zbioru danych”, jeśli nie to nie robimy nic. Dyskusyjne zawsze będzie to, czy ten wizytownik to już zbiór danych czy jeszcze nie? – zdecydować musimy sami, tutaj nikt nie da jasnej wytycznej, aplikowanej uniwersalnie do wszystkich, każda sytuacja jest inna i wymaga tej „magicznej” chwili zastanowienia i analizy :). Podobnie jak z definicją „masowego przetwarzania”, kiedy jest ono masowe, jak przetwarzamy 100, 1000 czy milion rekordów? – to zawsze zależy…

      To co ważne, praca z RODO i z rykiem zawsze będzie pociągać jakieś „ryzyko” popełnienia błędu w podejściu – z definicji. I niestety od teraz na zawsze będziemy musieli brać na siebie odpowiedzialność i wykazać „rozliczalność” za decyzję w ochronie danych osobowych, nie będzie można już zepchnąć jej na „katalog standardowy” w stylu: napisali robić tak, robię dokładnie tak – spełniłem wymaganie koniec kropka. Z czasem takich „katalogów” – „zbiorów de-facto praktyk” będzie na pewno coraz więcej i utrą się pewne zachowania/działania o charakterze akceptowalnym.

      Odpowiedz
  8. Krzysztof Kozłowski

    A teraz odpowiedzcie obie na pytanie czy taki był cel RODO !!!!
    Rozkminiacie jak zgodnie z prawem zbierać i przechowywać wizytówki i jak poinformować dającego wam wizytówkę że Wam ją dał i ze będziecie administrować tą wizytówką a nie wrzucicie do wora z śmieciami…

    BRAWO. Tak rodo nas chroni i broni :D
    Znowu stworzyliśmy prawo które wygenerowało problemy które teraz będziemy dzielnie rozwiązywać. A ja nadal dostaje tony spamu i innego syfu… Teraz jeszcze wszystkie strony walą mi jakimiś komunikatami których już nawet siły czytać nie mam bo są napisane tak przystępnym językiem że nic z niego nie wynika poza tym że zgódź się albo spierd….
    Bank nadal wysyła korespondencję na zły adres… I co im zrobię? No właśnie :D

    Odpowiedz
    • Tak, dokladnie i zaloze sie ze gdyby tak w tych komunikatach nagle by zaczelo pisac, ze zamykajac go oddajesz dusze diablu to i tak nikt by tego nie przeczytal, bo wiem sam po sobie ze jak mi cokolwiek wyskakuje na stronie to jedyne czego szukam to kolorowego przycisku przejdz do strony. Chyba nie znam jednej osoby ktorej zycie byloby na tyle nudne by zadawala sobie rud czytania polityki prywatnosci. No ale ze wzgledow prawnych musi to byc. Nie mniej jednak Rodo przy duzych wyciekach danych moze okazac sie bardzo waznym przepisem.

      Odpowiedz
      • Trochę jak z licencjami na soft – kiedyś była taka akcja że firma X dała gdzieś w głębi info że pierwsza osoba która się zgłosi dostaje dużo $$$ – i czekali długo AFAIR :P

        Odpowiedz
  9. Szymon

    Co w wypadku książki telefocznej synchronizującej się z google? Jeśli mam zapisany numer telefonu, imię, nazwisko, adres email i czasami adres domowy to powinienem pozyskać zgodę na przetwarzanie danych osobowych i osobną zgodę na synchronizację mojej książki adresowej z gmail? Czy wystarczy jak wyślę smsa do wszystkich kontkatów w telefonie z informacją o RODO? Czy jeżeli w trakcie rozmowy telefonicznej zostanę zobowiązany na mocy prawa do bycia zapomnianym do usunięcia kontaktu z telefonu to muszę to jakoś udokumentować?

    Odpowiedz
    • Maciek

      Cześć Dzięki za komentarz, na szybko przede wszystkim RODO nie obowiązuje w “życiu prywatnym”. Także, jeżeli Twoje pytania dotyczą użycia tych mechanizmów w celach prywatnych, niezwiązanych z prowadzeniem jakiejkolwiek formy działalności gospodarczej to temat nie istnieje. Prywatnie możesz mieć książkę adresową, wizytówki i co tylko jeszcze jest potrzebne do komunikacji z ludźmi.

      Odpowiedz
  10. Szymon

    Hej, jeszcze kilka pytań. Co w wypadku gdy mój telefon zostanie skradziony lub dostęp do mojego konta gmail zostanie złamany? Czy muszę poinformować osoby z mojej książki telefonicznej o wycieku danych na mocy RODO? A jak kiedyś będę chciał zmienić system na iOS to czy muszę uzyskać zgodę na synchronizację kontaktów z chmurą Apple? Jakie kary grożą za posiadanie niezarejestrowanej książki telefonicznej?

    Odpowiedz
    • Krzysztof Kozłowski

      Firmowy telefon na pewno zaszyfruj i zabezpiecz.
      Nie ma pojęcia rejestracji książki adresowej. Z tym że obecne telefony by default są z googlem albo aplem połączone i w sumie co z tym? ŻADEN prawnik do tej pory mi nie odpowiedział sensownie na ten dylemat.

      Odpowiedz
  11. Szymon

    Co w wypadku posiadania aplikacji na telefonie (np. komunikatora) który szuka kontaktów przez książkę telefoniczną telefonu? Czy powinienem uzyskać osobną zgodę na ten cel? W końcu takie programy zazwyczaj są produkowane przez firmy trzecie.

    PS. dajcie możliwość edycji komentarza, bo mogę mieć jeszcze więcej pytań w przyszłości…

    Odpowiedz
  12. Marek

    Na początku chciałbym podziękować, że istniejecie i podajecie takie merytoryczne i pożyteczne rzeczy.

    Moje pytanie dotyczy brata, który jest zatrudniony na umowę-zlecenie w biurze nieruchomości. Wiadomo jak na początku ta praca wygląda, czyli obdzwanianie ogłoszeń na portalach i proponowanie spotkania.

    Czy teraz jest to zakazane i grozi za to kara?
    Jeśli tak to kara dla biura czy dla niego?

    Pozdrawiam i jeszcze raz dziękuję.

    Odpowiedz
  13. Andrzej

    Panie Macieju (jeśli to Pan jest autorem artykułu),

    Nie wiem, dlaczego robi Pan ludziom wodę z mózgu. Podobno stosowanie RODO ma opierać się na zdrowym rozsądku i adekwatnej do potrzeb i sytuacji ochronie danych osobowych. Niestety nie widzę tego w żadnym aspekcie powyższego artykułu. Zaprezentowane rozumowanie sprowadza całą sprawę do absurdu i straszy ludzi ciężkimi konsekwencjami za stosowanie zdrowego rozsądku i normalnej logiki.
    Jak tu już wspominał kolega Alf/red/ w komentarzu na temat autorów książek, wizytówki należy potraktować analogicznie jak personalia autorów książek – jedne i drugie zostały „w oczywisty sposób upublicznione” poprzez zgodę właścicieli tych danych na ich wydrukowanie i powszechną praktycznie bezwarunkową dystrybucję a więc spełniają zapisy (art. 9 pkt 2e RODO) wyłączające ich ochronę. Ponadto w/w zapis RODO wyłączający ochronę danych jeżeli „przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą” wbrew zapisom w artykule Sekuraka nie ogranicza mozliwości przekazywania wizytówek przez osoby trzecie, zwracając jedynie uwagę na warunek, aby dane te zostały wcześniej upublicznione przez osobę, której dotyczą. Dla mnie wydrukowanie sobie wizytówek w celu ich dystrybucji jest już ich upublicznieniem i jawną zgodą na dalsze upublicznianie. Na przyszłość proponowałbym przed napisaniem takiego artykułu ubrać metalową czapeczkę i udać się w obszar o możliwie najniższym poziomie promieniowania zakłócającego myślenie.

    Odpowiedz
  14. Maciek

    Bardzo dziękuję Panie Andrzeju za komentarz.

    Oczywiście każdy ma prawo do własnej interpretacji. Tak długo jak nie pojawią się konkretne orzeczenia i przykłady z działań weryfikacyjnych przyjmujemy tylko założenia i jej opisujemy. Ja się z Pańską interpretacją nie mogę zgodzić. W moje opinii nie można traktować tą samą podstawą prawną przetwarzania wizytówek i publikacji. W przypadku publikacji autor podpisuje swoje dzieło i to jest elementem nierozłącznym powodującym, że dystrybucja tego działa wykonywana jest wraz z sygnaturą autora i kierowana do publicznej wiadomości. W przypadku wizytówek treścią właściwą są dane identyfikacyjne osoby do, której wizytówka należy. Dodatkowo wizytówka jest przekazywana zwykle w selektywny sposób wybranym osobom, nieupubliczniana masowo. Teraz przy założeniu, że dane te mogą zostać zinterpretowane jako dane osobowe oraz, że będziemy je przetwarzać w zbiorach danych (o czym już wcześniej pisałem np. umieszczone w systemach CRM) – oczywiście nie kwestionujemy zgody na przetwarzanie. Osoba dysponująca swoimi danymi osobowymi przekazuje je dobrowolnie i fakt takiego przekazania traktowany jest jako wyrażenie woli przetwarzania. Tutaj jako podstawę prawną przetwarzania przyjmuje art. 6 ust. 1 pkt. a. Kwestia dyskusyjna sprowadza się do wypełnienia obowiązku informacyjnego na podstawie art. 13 tudzież art. 14 przy jeżeli dane nie zostały otrzymane od osoby której dotyczą. Moja interpretacja jest taka, że jeżeli mamy zamiar przetwarzać te dane w sposób usystematyzowany musimy wypełnić obowiązek informacyjny wobec podmiotu danych. Oczywiście poziom zakresu jego wypełnienia (o czym też pisałem) jest ściśle uzależniony od tego czy była już jakaś iteracja pomiędzy podmiotem danych i administratorem, czy podmiot danych zna dane administratora itd.

    Przeanalizujmy może sobie, jakiś przykład bardzo praktyczny, aby referować do „zdrowego rozsądku” o którym pisałem :-). Człowiek „xyz” pracuje w firmie A na stanowisku handlowca, intensywnie dystrybuuje swoje wizytówki w celu nawiązania relacji biznesowych, dane z tych wizytówek trafiają do bardzo duże ilości zbiorów usystematyzowanych co powoduje dużą ilość komunikacji kierowanych do Człowieka xyz. Dobrze i teraz nasz Człowiek xyz decyduje się zmienić prace, ba nawet branżę i wybrać zupełnie inny zawód niemający nic wspólnego z rolą handlowca. Teraz pytanie: czy nie powinno Człowiekowi xyz przysługiwać prawo do tego, aby skontaktować się z administratorami którzy intensywnie przetwarzają jego dane osobowe będąc przekonanymi ze xyz jest wciąż handlowcem, poprosić o usuniecie danych i przez to nie być dalej obiektywem komunikacji, która już nie jest mu do niczego potrzebna? Ja uważam, że tak i stąd obstaje przy opinii, że w sytuacjach kiedy przetwarzamy dane z wizytówek w sposób usystematyzowany (podkreślam to bardzo: nie prywatnie, nie doraźnie, ale w usystematyzowany sposób), aktywnie wykorzystując dane na nich zawarte, powinniśmy wykonać obowiązek informacyjny. Wracając na moment to kwestii autorów publikacji (w odniesieniu do przypadku jaki przytoczyłem), autor książki nigdy nie rozłączy się ze swoim dziełem (oczywiście wchodzi tu dodatkowa kwestia przemienia praw autorskich, ale zakładamy, że ich nikomu nie oddaje), natomiast dysponent swoich danych osobowych może bardzo łatwo rozdzielić się z funkcją w kontekście, której przekazał te dane stąd w mojej opinii musimy mu zapewnić prawa – stosownie wynikające z art.13 i art. 14. RODO.

    Upraszam, aby na RODO nie patrzeć jedynie z perspektywy defensywnej administratora, ale spróbować postawić siebie w roli podmiotu danych i odpowiedzieć na pytanie, jak ja sam chciałbym, aby moje dane osobowe były chronione i do jakich praw w kontekście ich przetwarzania chciałbym mieć dostęp. Dla czego tak? Ponieważ uważam, że właśnie w takim kontekście należy interpretować RODO.

    Odpowiedz

Odpowiedz