RODO a sprawa PRowska
Szum marketingowy wokół RODO jest taki, że niektórzy mówią już o RODOzaurze polującym na przerażone budżety :) Tak się szczęśliwie składa, że my przy tej okazji nie mamy nic do sprzedania, więc po prostu podzielimy się z Wami naszymi przemyśleniami odnośnie tego, jak RODO wpłynie na pracę działów komunikacji - mamy nadzieję, że pomoże to również Wam przygotować się na maj 2018.
A właściwie to na kwiecień 2018, bo wtedy wszystkich czeka Wielkie Sprzątanie w agencjach i działach komunikacji :) Niszczarki będą dziarsko pomrukiwały, będziecie pilnie przeglądać stare dyski twarde, backupy, notatki, segregatory z konferencji itd.. Nie wierzycie? Uwierzcie!
Nowe regulacje dotyczące ochrony danych osobowych to wynik przepisów przyjętych przez Parlament Europejski znanych jako RODO lub – po angielsku - GDPR (General Data Protection Regulation) i - w intencji jej twórców - będą przede wszystkim lepiej chronić konsumentów przed nieuprawnionym przetwarzaniem danych osobowych przez firmy.
Myślisz, że ściągniesz z sieci parę regulaminów, wstawisz dane firmy je i włożysz do segregatora? Błąd!
Zacznijmy od tego, że RODO diametralnie różni się w swoim podejściu od poprzednich regulacji dotyczących ochrony danych osobowych. Twórcy rozporządzenia (poniekąd słusznie) zauważyli, że zamiast tylko tworzyć ściśle określone procedury ochrony danych, skuteczniej będzie zmusić firmy do stworzenia procesów i rozwiązań gwarantujących kontrolę nad danymi.
Tak więc w miejsce katalogu dokumentów i procedur, których spełnienie gwarantowało firmie "spokój sumienia" (takich jak prowadzenie ewidencji osób, które mają dostęp do danych osobowych, wdrożenie polityki bezpieczeństwa systemów informatycznych itd..) wprowadzono obowiązek wykazania przez administratora że spełnia podstawowe zasady przetwarzania danych osobowych (rozliczalność)
A co to ma wspólnego z komunikacją?
Wyobraźcie sobie taką sytuację: 25 maja 2018 r o godzinie 23:59 (piątek) na skrzynkę e-mail [pracownik]@neuron.pl wpływa od dziennikarza żądanie usunięcia danych. Skrzynka jest aktywna, ale pracownik jest akurat na trzytygodniowym urlopie; ponieważ klienci pracownika są powiadomieni i ustanowione jest zastępstwo, w celu ułatwienia procesu ustalono, że poczta urlopowicza będzie sprawdzana tylko awaryjnie, raz dziennie.
I co teraz?
Według nowych regulacji, naszym obowiązkiem będzie niezwłoczne usunięcie danych dziennikarza. W praktyce oznacza to, że po pierwsze trzeba potwierdzić tożsamość osoby zgłaszającej takie żądanie (przy mailach nie mamy 100% pewności, czy żądanie jest od tej osoby). Po drugie – trzeba sprawdzić przesłanki określone w przepisach – czy to prawo w ogóle przysługuje – a sprawa wcale nie jest łatwa ani oczywista.
O pomoc w zinterpretowaniu tego poprosiliśmy pani Agatę Szeligę z warszawskiej kancelarii Sołtysiński Kawecki Szlęzak:
„Prawo do bycia zapomnianym przysługuje tylko w określonych przypadkach wyraźnie wskazanych w art. 17 RODO np. jeżeli dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane.
Ponadto RODO określa sytuacje w których mimo, że mogłyby zachodzić podstawy do usunięcia danych, to jednak nie znajdują one zastosowania. Dotyczy to sytuacji, gdy przetwarzania danych takiej osoby jest niezbędne np. do korzystania z prawa do wolności wypowiedzi informacji albo do ustalania, dochodzenia lub obrony roszczeń. Dlatego warto wprowadzić przynajmniej krótką instrukcję, która pozwoli na sprawne zarządzanie takimi wnioskami. RODO podchodzi też racjonalnie do terminów – administrator powinien w ciągu miesiąca od otrzymania żądania odpowiedzieć wnioskodawcy o podjętych działaniach, a termin ten można przedłużyć w uzasadnionych przypadkach o kolejne dwa miesiące".
Na wstępie ustalmy, co to są Dane osobowe. Do niedawna toczono spory o to, co jest uważane za daną osobową: e-mail? Telefon redakcyjny? A może data urodzin? Pani Szeliga wyjaśnia, że są to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Katalog danych osobowych jest otwarty i obejmuje dane identyfikujące daną osobę wprost np. : imię i nazwisko, osobisty e-mail, jak również dane, które pośrednio pozwalają ustalić konkretną osobę (np. zdjęcie). O tym czy taka osoba jest możliwa do zidentyfikowania decydują również zasoby jakimi dany podmiot dysponuje Na przykład tablice rejestracyjne lub numery VIN samochodu osób trzecich dla postronnej osoby nie są danymi osobowymi a dla ministra właściwego do spraw administracji publicznej nimi będą, ponieważ dysponuje on bazami łączącymi tablice z nazwiskami i numerami identyfikującymi właścicieli.
Zastanówmy się teraz przez chwilę, jakiego typu danymi osobowymi dysponują komunikatorzy
(Jako profesjonaliści zajmujący się komunikacją wykorzystaliśmy tę okazję do opracowania kolejnego Autorskiego Produktu Neurona: AUTOOBDUKCJA RODO ™, przy czym „obdukcja” dobrze oddaje sens, bo będzie bolało :) )
Oto gdzie i jakie dane osobowe (według RODO) przechowujemy w Neuronie:
- Dane pracowników
- Dane osobowe przedstawicieli klientów, podwykonawców: w umowach, telefonach i na dyskach twardych.
- Dane osobowe na nieaktualnych materiałach marketingowych i promocyjnych, np. na starych zaproszeniach na imprezy.
- Dane osobowe kandydatów do pracy przechowywane w skrzynce e-mail dedykowanej do rekrutacji oraz w formie wydruków oraz w skrzynkach osób odpowiedzialnych za daną rekrutacje
- Dane osobowe (IP i ciasteczka) osób, które odwiedziły stronę neuron.pl
- Dane osobowe (IP, ciasteczka oraz inne dane) pozostawione przez potencjalnych klientów na różnych produktowych landing pages http://sotiria.neuron.pl, przechowywane w serwisie landingi.com
- Dane osobowe dziennikarzy, ( przechowywane w różnych systemach np. w serwisie netPR.pl, na wewnętrznym serwerze sharepoint, czy przechowywane w systemach bazodanowych)
Wróćmy zatem do naszej historii: co wydarzy się w Neuronie w poniedziałek 27 maja 2018?
Po pierwsze, wszystkie procesy związane z komunikacją muszą działać. Pracownik, który zastępuje urlopowanego pracownika nie może zapomnieć sprawdzić skrzynki.
A skoro już poweźmiemy informację o żądaniu usunięcia danych / bycia zapomnianym (i zweryfikujemy, że takie prawo dziennikarzowi przysługuje), powinniśmy zidentyfikować wszystkie miejsca, w których dane te występują, w tym przypadku:
- telefony pracowników,
- bazę danych dziennikarzy (w naszym przypadku w systemie dystrybucyjnym netPR.pl),
- wszystkie listy dystrybucyjne, które są na dyskach pracowników - pobrane w celu edycji, aktualizacji itd.,
- inne miejsca, w których teoretycznie mogą być dane (np. dyski backupów).
Po stworzeniu takiej listy powinniśmy uruchomić procedurę usunięcia danych dziennikarza, a następnie nigdy więcej nie skontaktować się z nim z wykorzystaniem usuniętych danych (nie dzwonić, nie mailować) - chyba, że uzyskamy podstawy do przetwarzania takich danych np. zawrzemy z umowę z dziennikarzem lub ponownie uzyskamy jego zgodę, przy czym po 25 maja będziemy musieli wykazać, w jaki sposób i kiedy ta zgoda została wyrażona.
Co robić, jak żyć?
Po pierwsze nie panikować. RODO wygląda bardzo groźnie, ale należy przyjąć, że intencją ustawodawcy jednak nie jest całkowity paraliż biznesu w całej Europie. RODO długofalowo przyniesie wiele dobrego, również w relacjach PRowców/komunikatorów z dziennikarzami, tak samo jak ucywilizuje proceder wykorzystywania i handlowania danymi osobowymi konsumentów bez ich zgody. Wolna amerykanka na dłuższą metę nie jest korzystna dla nikogo, bo za chwilę nikt nie zechce zostawić maila nawet do najlepszego newslettera, ponieważ będzie się bał, że jego adres trafi na spamlisty.
Po wtóre, polskie akty prawne są dopiero na etapie przygotowywania (konsultacje społeczne zakończyły się 13. października) i dopiero po ich przyjęciu będziemy mieli jasność co do ich ostatecznego kształtu. Ale na pewno już dziś należy zastanowić się m.in. nad następującymi kwestiami:
- gdzie i jak przechowywane są dane osobowe,
- czy na pewno potrzebujemy danych, które mamy (często możemy je usunąć lub zanonimizować ponieważ nie są już wykorzystywane),
- czy nasze systemy są zabezpieczone pod względem IT i fizycznym,
- w jakim celu gromadzimy dane,
- czy spełniamy warunki przetwarzania danych np. czy mamy zgody na gromadzenie danych i ich przetwarzanie, oraz czy osoby przekazujące nam swoje dane wiedzą, w jakim celu je będziemy przetwarzać,
- czy komuś powierzamy je do przetwarzania lub je przekazujemy,
- jak opracować procedurę identyfikacji miejsc, w których przetwarzamy dane.
W tym poście zwracamy Waszą uwagę na liczbę miejsc, w których przechowujemy dane osobowe w działach komunikacji. W kolejnych zastanowimy się, w jakich celach pozyskujemy dane od dziennikarzy i jak je przetwarzamy.
O projekcie:
Rozporządzenie o Ochronie Danych Osobowych jest nowoczesnym aktem prawnym, który zacznie nas obowiązywać od maja 2018 roku. Dla wielu firm może być źródłem trudności. Dlatego Fundacja internetPR.pl, redakcja infoWire.pl oraz Neuron Agencja PR przygotowują cykl artykułów dla specjalistów z branży komunikacyjnej i PR. Celem naszej akcji jest wyjaśnianie wątpliwości, które będą pojawiały się wokół nowych regulacji.
Przy tworzeniu tego kompendium wiedzy korzystamy z pomocy ekspertów z renomowanych kancelarii prawnych oraz Ministerstwa Cyfryzacji. Zbieramy wiedzę w postaci artykułów i wypowiedzi eksperckich wideo. Pozwoli ona firmom z branży komunikacji przygotować się na nowe warunki, w których będziemy działać.
- Paweł Soproniuk
- partner
- p.soproniuk@neuron.pl
- Neuron Agencja Public Relations