Zakończyło się 4. Forum Prawa Mediów Elektronicznych (FPME) we Wrocławiu. Tematem przewodnim organizowanej przez Centrum Badań Problemów Prawnych i Ekonomicznych (CBKE) konferencji było RODO. Rozporządzenie UE wejdzie w życie już 25 maja 2018 roku i będzie stosowane bezpośrednio w krajach Unii Europejskiej. To rewolucja w zasadach ochrony danych osobowych, która wprowadza szereg poważnych obowiązków dla większości przedsiębiorców pod rygorem kar sięgających nawet 20 milionów euro.
Dwa lata temu przedstawiałem relację z 2. Forum Prawa Mediów Elektronicznych (FPME), które odbyło się dwa lata temu w Opolu (Uniwersytet Opolski). W szczególności m. in.: dane osobowe, konsument w sieci, własność Intelektualna w Internecie – to były wówczas główne tematy drugiego dnia konferencji pod wspólnym hasłem „Europa Cyfrowa”. Można się było np. dowiedzieć, czy np. profil na Facebooku podlega dziedziczeniu (relacja jest dostępna tutaj).
W tym roku, 4 edycja dwudniowego Forum Prawa Mediów Elektronicznych, która się zakończyła właśnie we Wrocławiu, była poświęcona w całości RODO. Ten skrót jest obecnie postrachem wielu przedsiębiorców. Boimy się zazwyczaj tego, czego nie znamy. Dlatego warto zgłębiać wiedzę na temat Rozporządzenia, analizować, dyskutować.
Z wykładów otwarcia najciekawszy był chyba wykład, który przeprowadził dr Wojciech Wiewiórowski (Zastępca Europejskiego Inspektora Ochrony Danych, Uniwersytet Gdański), pt. „Czy nowy ład prawny zadziała w praktyce? Rola organów ochrony danych, sądów i TSUE w wykładni prawa ochrony danych osobowych”. Można się z nim zapoznać poniżej.
Pytać o zgodę na przetwarzanie danych, czy nie pytać?
Jednym z ciekawszych wystąpień, ze względu na praktyczny walor dla wielu przedsiębiorców, było wystąpienie mec. dra Zbigniewa Okonia, który analizował relacje między zgodami marketingowymi (np. zgoda na otrzymywanie informacji handlowych drogą elektroniczną, o której mowa w art. 10 UŚUDE) a zgodami na przetwarzanie danych osobowych. Czy jak mamy zgodę na komunikację marketingową, to musimy osobno otrzymać zgodę na … A może możliwe jest przetwarzanie na innej podstawie niż zgoda (uzasadniony cel). Oczywiście czym innym niż zgoda są ewentualne obowiązki informacyjne, które przewiduje RODO.
Jak to jest w obecnym stanie prawnym, tuż przed wejściem w życie („do stosowania”) RODO, jak to będzie od 25 maja 2018 roku, kiedy to Ogólne Rozporządzenie o Ochronie Danych Osobowych będzie musiało być stosowane i to bezpośrednoi w krajach UE, w tym oczywiście w Polsce.
Poniżej można zapoznać się z wykładem Doktora Zbigniewa Okonia pt. „Uzasadniony interes administratora jako podstawa przetwarzania danych osobowych w celu marketingu bezpośredniego”.
Podejście oparte na ryzyku
Kolejnym ważnym wykładam z punktu widzenia wdrożenia RODO w przedsiębiorstwie był ten, którym mogliśmy sie dowiedzieć o metodologii analizie ryzyk. RODO jest oparte o zależeniu „risk approach” – zabezpieczenia mają być adekwatne do ryzyk, nie ma konkretnych rozwiązań, tylko muszą być one adekwatne do ryzyk, które trzeba skatalogować i odpowiedni zakwalifikować. Nie ma konkretnych rozwiązań z zakresu bezpieczeństwa danych osobowych a podstawą do ich wypracowania jest ciągły proces analityczny. Sporo praktycznych wskazówek w tym zakresie przekazał Pan Artur Cieślik (IT Professional) w swoim bardzo praktycznym wykładzie pt. „Metoda szacowania ryzyka dla praw osób, których dane dotyczą”.
Z IOD-em czy bez?
Warto też zapoznać się z tym kiedy w organizacji należy powołać Inspektora Ochrony Danych (IOD), jakie powinien mieć kwalifikacje. Wykład we wspomnianym zakresie poprowadziła r. pr. dr Gabriela Bar (OIRP Wrocław, Szostek_Bar i Partnerzy) – pod tytułem „Inspektor ochrony danych osobowych – miejsce w organizacji, rola i zadania”. Z wystąpieniem można się zapoznać poniżej.
Jak interpretować RODO?
O tym, że rozporządzenia Unii Europejskiej należy traktować jako prawodawstwo autonomicznie i że w pierwszej kolejności – przy interpretacji RODO – należy się odnosić do systemu prawa Unii Europejskiej (a nie np. pojęć prawnych i interpretacji znanych z prawa krajowego) i orzecznictwa sądów Unii Europejskiej, takich jak obecnie Trybunał Sprawiedliwości Unii Europejskiej (TSUE), mówiła w swoim wystąpieniu dr hab. Ewa Galewska (Uniwersytet Wrocławski). Jej wykład pt. „Stosowanie RODO w świetle zasad unijnych” można obejrzeć poniżej.
Prawo do zapomnienia i jego granice
Jak wiadomo, RODO wprowadza tzw. „prawo do zapomnienia”. Powstają jednak pytania o jego granice. Co z prasą i wolnością słowa. Czy można żądać wymazania „wstecz” swoich danych osobowych z archiwalnych materiałów prasowych? A co z kopiami zapasowymi systemów i baz danych? Czy należy prowadzić osobną bazę danych rekordów, które należy zapomnieć przy przywracaniu kopii zapasowych, co prowadzi do absurdu? Na szczęście prawo do zapomnienia nie ma charakteru bezwzględnego i są pewne wyłączenia. Ustawodawstwo krajowe też może ten katalog wyłączeń precyzować. O tej problematyce mówił dr hab. Michał Bernaczyk (Uniwersytet Wrocławski) w swoim wykładzie pt. „Granice prawa do usunięcia danych osobowych”. Można się z nim zapoznać poniżej.
Wnioski z wdrożenia RODO w sektorze gospodarczym
Z wnioskami z wdrożenia RODO w sektorze gospodarczym zapoznał nas r. pr. dr Arwid Mednis (PwC, Uniwersytet Warszawski). Z jego wystąpieniem można się zapoznac poniżej.
Prawo do przenoszenia danych osobowych a ochrona informacji poufnych i praw własności intelektualnej
Ciekawe problemy interdyscyplinarne związane z prawem do przenoszenia danych osobowych, które przewiduje RODO i z tym, czy równocześnie owo przenoszenia czasem nie może wkroczyć w uprawnienia wyłączne podmiotów parwa autorskich lub producentów baz danych (prawo sui generis do baz danych), przedstawił r.pr. Roman Bieda (Maruta Wachta), w swoim wystąpieniu pod tytułem „Prawo do przenoszenia danych osobowych a ochrona informacji poufnych i praw własności intelektualnej”. Z fragmentem wykładu można się zapoznać poniżej.
Naruszenia ochrony danych osobowych
O naruszeniach w ochronie danych osobowych i obowiązkach administratora danych osobowych, jakie nakłada w przypadku zaistnienia takich incydentów RODO, mówił w sposób niezwykle interesujący i konkretny, z mocnym uwzględnienim aspektu praktycznego, adw. dr Grzegorz Sibiga (Kancelaria Traple Konarski Podrecki i Wspólnicy, Polska Akademia Nauk) – w swoim wykładzie zatytułowanym „Obowiązki administratorów i podmiotów przetwarzających związane z naruszeniami ochrony danych osobowych”. Można go obejrzeć na poniższym nagraniu.