Relacja – śRODOwe śniadanie 23 stycznia 2019: ADO, procesor, upoważnienia, obowiązek informacyjny, rekrutacja, wizerunek

W środę 23 stycznia 2019 mieliśmy przyjemność zaprosić Państwa na pierwsze śRODOwe śniadanie, czyli spotkanie praktyków ochrony danych osobowych, podczas którego wypiliśmy kawę, porozmawialiśmy o niezwykle ciekawych wątkach związanych z naszą profesją, a co najważniejsze poznaliśmy się osobiście i nawiązaliśmy cenne kontakty branżowe.

W spotkaniu udział wzięli m.in Mec. Daria Pawlik - Szczombrowska, Mec. Sebastian Pająk oraz zespół Kancelarii Favitor. Rozmowa dotyczyła m.in. takich tematów jak: ADO, a procesor, upoważnienia dla pracowników, obowiązek informacyjny, rekrutacja i weryfikacja kandydatów, zgoda, a wizerunek, rosnące ryzyka działalności, orzeczenia sądów, nadzór i jego zakres.

Rozmowa dotyczyła mi.in.:

• zgody na wykorzystanie wizerunku, zależności między prawem autorskim, a ochrony danych osobowych,
  • za i przeciw jednej zgody vs. dwóch do każdego z tych aktów prawnych - rozważaliśmy scenariusz, w którym osoba cofa jedną ze zgód,
  • postępowania w razie cofnięcia zgody na wykorzystanie wizerunku, szczególnie jeśli wiązałoby się to z dużymi kosztami i komplikacjami prowadzonej działalności,
• relacji między "sponsorami" przetwarzania danych osobowych, a ich podwykonawcami,
  • wpływem ekonomicznie silniejszego partnera na kształt łączącej ich relacji prawnej oraz interpretacji przepisów,
  • realnym dostępie "sponsora" do przetwarzanych danych, wpływie pseudoanonimizacji na interpretację przepisów,
  • często występującego braku gotowości do podjęcia obowiązków ADO,
  • ciekawych scenariuszach, kiedy w łańcuchu procesorów trzeba szukać ADO, aby wszyscy mieli podstawę prawną do przetwarzania danych,
• konieczności i zalecanej formy wydawania upoważnień do przetwarzania danych osobowych osobom współpracujacym z naszą firmą,
  • w zależności od rodzaju łączącej nas umowy,
  • liberalizacji praktyki interpretacyjnej w tym zakresie - od restrykcyjnej definicji "pracownika" do bardziej liberalnego "staff", czyli osób z którymi dzielimy przestrzeń zawodową - fizycznie, zdalnie, czy pod względem obowiązków,
  • o formie papierowej i elektronicznej upowaznień, trybie wydawania lub jedynie o przechowywaniu,
  • o łatwości i efektywności cofania lub aktualizacji upoważnień,
  • o anegdotycznej sytuacji, w której PIP ustalając stosunek pracy kierował się faktem nadania upoważnienia,
• realnych korzyściach dla osób, których dane dotyczą, wynikających z realizacji obowiązku informacyjnego, czy zbierania zgód zgodnie z nowymi przepisami
  • padło pytanie czy podmioty danych doceniają swoje nowe prawa, czy z nich korzystają,
  • czy są one realizowane właściwie i w przyswajalny dla laika sposób,
  • gdzie w tym wszystkim jest rola zdrowego rozsądku, pod nieobecność rynkowo przyjętych praktyk, czy norm,
• odchodzenia przez ustawodawcę od tworzenia norm prawnych poprzez system nakazów i zakazów, w kierunku wyznaczania celów, o których realizację mają zadbać przedsiębiorcy środkami adekwatnymi do swojego kontekstu
  • co z jednej strony jest dobrym sposobem na pościg prawa za pędzącą do przodu rzeczywistością,
  • ale nakłada na nas zupełnie nowe i wcześniej nie występujące obowiązki, a przy okazji odpowiedzialnośćl;
  • padło pytanie jakie narzędzia, jakie dobre praktyki należałoby wykształcić, aby przedsiębiorcy wiedzieli jak zapewniać zgodność i ile lat upłynie, zanim wytworzy sie ekosystem wsparcia przedsiębiorców i administratorów danych w osiąganiu zgodności z RODO,
• potrzebie weryfikacji kandydatów do pracy z myślą o:
  • szpiegostwie przemysłowym i nieuczciwej konkurencji ze strony poprzedniego pracodawcy,
  • czy potrzebie sprawdzania niekaralności w branżach, w których pracownik odpowiada za majątek firmy;
  • we wszystkich tych przypadkach pracodawca ma związane ręce, a nowe przepisy Kodeksu Pracy tych upranień nie rozszerzą,
• zapewnienie zgodności z przepisami staje się coraz bardziej wymagające, niesie coraz większe ryzyka,
  • rodzą się też podejrzenia o motywację fiskalną ustawodawcy, który ustanawia przepisy krajowe bardziej restrykcyjne, niż unijne dyrektywy,
  • przepisy unijhne tymczasem bywają ku temu pretekstem i "kozłem ofiarnym",
• konieczności dyskusji w środowisku praktyków ochrony danych osobowych, wypracowania dobrych praktyk, narzędzi, zachowań, tak aby minimalizować ryzyka i niepewność z nimi związaną,
• dobrych przykładach i tradycjach regulatora francuskiego, który wydał praktyczny poradnik jak oceniać ryzyko, czy pro-biznesowych próbach Ministerstwa Cyfryzacji, którego rekomendacje dla firm mogą jednak spotkać się z obiekcjami PUODO,
• orzeczenia sądów i praktyka nadzoru jak zwykle wyznaczą pewien kierunek działania dla biznesu,
  • ale powinniśmy rozmawiać o interesach i praktyce przedsiębiorców,
  • wskazywać na konsekwencje stosowania przepisów, czy kierowania się orzeczeniami sądów, interpretacjami nadzoru,
  • bo biznesowa rzeczywistość jak zawsze jest bardziej złożona, niż ktokolwiek mógłby przewidzieć,
  • a na wykładnię przepisów przez nadzór należy aktywnie wpływać, tworzyć stosowne fora i środki kształtowania otoczenia prawnego.

Nie zabrakło andegdot, również tej o żółtej linii namalowanej na podłodze biurowca, której przekroczenie oznacza wyrażenie zgody na przetwarzanie danych osobowych i niesie ze sobą konieczność zapoznania się z obowiązkiem informacyjnym. Niechętnym lub spieszącym się wstęp wzbroniony!

Natępne śRODOwe śniadanie 6 lutego: https://favitor.pl/srodowe-sniadanie/