Ostatni okres w życiu marketerów, ale także przedstawicieli innych branż operujących danymi osobowymi to czas olbrzymich zmian. Chodzi przede wszystkim o zawieszenie porozumienia Safe Harbour, w oparciu o które europejscy marketerzy (i nie tylko) mogli przetwarzać dane osobowe obywateli Unii Europejskiej w firmach pochodzących ze Stanów Zjednoczonych Ameryki.

W październiku bieżącego roku Trybunał Sprawiedliwości UE obalił owe porozumienie, co było następstwem skargi Austriaka Maxa Schremsa (@maxschrems) na działania gigantów internetowych w zakresie ochrony prywatnosci i przetwarzania danych osobowych. Tym samym dalsza możliwość przetwarzania danych osobowych obywateli Unii Europejskiej w firmach pochodzących ze Stanów Zjednoczonych stoi pod znakiem zapytania.

Co więcej, wiele znaków wskazuje, iż w 2016 roku wejdzie w życie RODO czyli Rozporządzenie Ogólne o Ochronie Danych osobowych. Będzie to europejskie prawo dotyczące ochrony danych osobowych, które wprowadzi szereg zmian w zakresie wykorzystywania danych o internautach do ich profilowania oraz wprowadzi surowy i restrykcyjny system karania przedsiębiorców za naruszenie powyższych przepisów.

Aby rozwiać Twoje wątpliwości w powyższych kwestiach poprosiłem o wywiad Łukasza Gładkiego, adwokata i współwłaściciela krakowskiej kancelarii MyLo, który wyjaśnia czym są dzisiaj dane osobowe i jakich zmian prawnych w związku z ich wykorzystywaniem w email marketingu możesz się spodziewać w niedługim czasie.

Transkrypcja wywiadu

Paweł Sala - Freshmail:

Cześć.  Moim i Waszym gościem Łukasz Gładki - adwokat z kancelarii MyLo. Dzisiaj będziemy rozmawiać o danych osobowych, o tym jak je trzeba chronić i czy coś się w ostatnim czasie w tym temacie zmieniło.

Może zacznijmy Łukasz od tego, czym w ogóle są dane osobowe i czy marketer się z nimi często styka, zwłaszcza w email marketingu.

Łukasz Gładki - MyLo:

Oczywiście. Za daną osobową, najłatwiej powiedzieć, uznajemy imię i nazwisko osoby fizycznej. Natomiast, to takie proste z punktu widzenia prawnego nie jest. Definicja ustawowa od wielu lat się nie zmieniła, natomiast zmienia się otoczenie, w którym żyjemy. Dawniej pewne rzeczy były wątpliwe, co do tego czy są kwalifikowane, jako dane osobowe, czy też nie. W chwili obecnej już takiej wątpliwości to nie budzi.

Przykładem najlepszym jest nazwa emaila - dawniej były pewne wątpliwości: czy i jakie adresy mailowe stanowią dane osobowe. W chwili obecnej, kiedy mamy dostęp do smartphonów, google’a, facebooka, czyli urządzeń, które bardzo łatwo pozwalają nam kojarzyć pewne, różne fragmenty danych, by w ten sposób uzyskać tożsamość osoby fizycznej, która znajduje się pod tymi danymi, to już tak naprawdę nie budzi żadnej wątpliwości, że email, adres emailowy stanowi daną osobową.

Co więcej, bardzo ciekawą okolicznością jest to, że jeżeli nawet adres mailowy zbudowany jest na zasadzie: biuro@spółka.pl, to również tak sformułowany adres mailowy może stanowić daną osobową. Dlatego, że pod tym adresem, może kryć się pani Krysia, a my o tym wiemy, bo jest tylko jedna osoba, która obsługuje biuro danej spółki. Wówczas, ku zaskoczeniu wielu osób, tak sformułowany adres mailowy stanowi również daną osobową. Oczywiście, świadomość na rynku przeciętnego człowieka na ten temat jest bardzo nikła, natomiast nie zmienia to faktu, że przepisy są w tym zakresie dosyć bezwzględne. Naruszanie zasad przetwarzania danych osobowych stanowi, nie tylko naruszenie zasad prawa cywilnego, ale może również grozić sankcjami o charakterze nawet karnym i administracyjnym, czyli mówimy o dosyć wysokim poziomie ryzyka w zakresie naruszania takich regulacji dotyczących przetwarzania danych osobowych.

Paweł Sala:

OK, a mówiąc o przetwarzaniu, to zazwyczaj marketerzy przychodzą i mówią "OK, to musimy chronić to jakoś; musimy je zabezpieczać, zgłaszać".  I to jest coś, co dla marketera jest czymś nowym. Wiem, że ostatnio zmieniały się też kwestie czy zgłaszać dane, te zbiory, czy nie zgłaszać, jak je chronić, etc. Coś mógłbyś nam na ten temat opowiedzieć?

Łukasz Gładki:

Oczywiście. Mamy do czynienia z dosyć dynamiczną zmianą stanu prawnego, który na chwilę, obecną wciąż jest w okresie przejściowym, albowiem oczekujemy na dosyć radykalną zmianę w postaci wejścia rozporządzenia unijnego, który będzie jednolicie regulował tę kwestię na terenie całej Unii Europejskiej, ale do tego myślę, że wrócimy za chwilę. Natomiast to, co istotne już w chwili obecnej, to co dzieje się dzisiaj, to fakt  że nastąpiła zmiana polegająca na tym, że mamy wybór - teoretycznie oczywiście - polegający na tym czy zgłaszamy zbiory tak jak dawniej do GIODO, czy też powołujemy tak zwanego ABI-ego i sami prowadzimy jawny rejestr zbiorów posiadanych w naszej firmie.

Problem polega na tym, że zgodnie z aktualnym stanowiskiem GIODO, ten wybór w rzeczywistości nie jest do końca wyborem. Wedle naszych informacji, GIODO raczej preferuje, czy też oczekuje, by jednak Administrator Bezpieczeństwa Informacji, czyli tzw. ‘ABI’ był powoływany w ramach struktur podmiotów, które przetwarzają dane osobowe.

Paweł Sala:

To też wynika chyba z tego, że GIODO ma raptem dwudziestu kontrolerów, a tak to zawsze możesz powiedzieć "OK, tu jest mój człowiek".

Łukasz Gładki:

Tak jest. Jest wiele czynników, również o charakterze czysto teoretyczno-prawnym. Myślę, że niekoniecznie na ten temat musimy mówić. Ważne jest tylko to, żeby - z punktu widzenia praktycznego - pamiętać o tym, że jeżeli chcemy być rzeczywistym partnerem dla regulatora rynku jakim jest GIODO, to miejmy tego ABI. Jeżeli chcemy się ustawić w takiej sytuacji mniej komfortowej - a myślę, że nikt kto przetwarza na poważną skalę dane osobowe, nie chce się stawiać w takiej roli, nie powinien unikać powoływania Administratora Bezpieczeństwa Informacji.

Paweł Sala:

Powołaliśmy ABI-ego, ABI prowadzi dokumentację, pilnuje, żeby procedury były OK. Natomiast jeszcze jest jedna kwestia, że rzadko wszystko robimy in-house’owo, tzn. bardzo często pewne przetwarzania danych wykonujemy poza firmą, albo za pomocą narzędzi, których firma nie ma. Wychodzi na to, że te dane musimy też odpowiednio zabezpieczyć, jeśli je gdzieś wysyłamy w świat, do chmury.

Łukasz Gładki:

Jasne, czyli klasyczny przykład outsource’owania pewnych usług, który jest zupełnie nowym, naturalnym zjawiskiem, który dzieje się w dzisiejszym świecie. Trzymamy chociażby nasze prywatne dane na różnych nośnikach stanowiących tzw. chmurę. Często korzystamy też z usługodawców o proweniencji amerykańskiej. Znów wchodzimy w coś, co dynamicznie zmienia się w rzeczywistości, która nas otacza. Opinia rzecznika, która pojawiła się jeszcze przed wyrokiem Trybunału Sprawiedliwości stanowiła niezwykłe zaskoczenie dla wszystkich, którzy interesują się kwestią przetwarzania danych osobowych. Nagle okazało się, że decyzja Komisji Europejskiej, która od wielu lat do tej pory uważała za standard relację pomiędzy Stanami Zjednoczonymi a krajami Unii Europejskiej, wytworzoną w ramach tzw. ‘bezpiecznego portu’, czyli Safe Harbour, jest po prostu wadliwa.

Ta sytuacja wynika z wielu czynników. Przede wszystkim, mamy do czynienia z całkowicie odmiennym rozumieniem ochrony danych osobowych na terenie Stanów Zjednoczonych i na terenie Unii Europejskiej. USA to kolebka wolności, przede wszystkim gospodarczej. Tam punkt nacisku kładziony jest na swobodę działalności gospodarczej. Unia Europejska to przede wszystkim prywatność i jej ochrona. Na styku tych dwóch różnych wartości musi dojść do pewnego spięcia. W sytuacji, kiedy dodatkowo mamy do czynienia z informacjami, które wypłynęły po pojawieniu się Edwarda Snowdena, mamy coraz więcej wątpliwości czy dane osobowe, które są przesyłane za Atlantyk do Stanów Zjednoczonych są wciąż chronione prawidłowo. Nie powinniśmy się bowiem oszukiwać, że inwigilacja amerykańskich służb jest tak daleko idąca, że o ochronie prywatności w odniesieniu do danych osobowych przetwarzanych na terenie USA możemy raczej zapomnieć. I na to wszystko składa się na opinię rzecznika Trybunału Sprawiedliwości, który mówi, że jednak ten standard utworzony w ramach Safe Harbour nie jest adekwatny w stosunku do tej ochrony, która powinna być rozumiana w odniesieniu do przepisów prawa Unii Europejskiej.  W konsekwencji wyrok Trybunału Sprawiedliwości to potwierdza. W takiej sytuacji nagle okazuje się, że kilka tysięcy podmiotów, które uczestniczyły po stronie amerykańskiej w programie Safe Harbour, brandowały się jako podmioty, które "teoretycznie" zapewniają dokładnie taki sam standard ochrony jak pirometr działający na terenie Unii Europejskiej...

Paweł Sala:

Zresztą to było zawsze ciekawe na konferencjach typu IAB Forum: jest tam przedstawiciel np. Salesforce’a i jego pierwszy slajd "Mamy certyfikat Safe Harbour od tego i tego roku, możecie z nami pracować" i dopiero potem merytoryka. Było to więc coś, co te firmy legitymowało de facto...

Łukasz Gładki:

Takie "Jesteśmy po bezpiecznej stronie mocy", tak?

Paweł Sala:

Tak, tak.

Łukasz Gładki:

Czyli - "Nic nas nie różni od firm z rynku europejskiego". Oczywiście w chwili obecnej ta rzeczywistość wygląda zupełnie inaczej. Co prawda Unia Europejska wysyła sygnały, że wszystko jest OK - w tym znaczeniu, że pracujemy nad nowym rozwiązaniem, które ma zastąpić Safe Harbour. Natomiast podmioty, które dużą wagę przykładają do ochrony prywatności mają bardzo poważne wątpliwości czy uda się w krótkim terminie, czy nawet w jakiejś przewidywalnej perspektywie czasowej, wypracować standard podobny do Safe Harbour pomiędzy UE a USA.

To oczywiście nakłada się właśnie na to, co się dzieje w ramach przygotowywanego rozporządzenia unijnego. Niewątpliwie Unia Europejska wciąż podąża w kierunku wzmocnienia, istotnego wzmocnienia ochrony danych osobowych i efektownego wymagania by te przepisy dotyczące ochrony danych osobowych były stosowane. W chwili obecnej możemy sobie jeszcze przyjąć, że tak naprawdę stosowanie tych przepisów dotyczących ochrony danych osobowych jest wymagane, ale otaczająca nas rzeczywistość pokazuje, że nawet jeżeli tego nie robisz, niekoniecznie jesteś narażony na istotne negatywne skutki.

Często spotykamy się z taką wizją: "Po co angażować swoje środki w zakresie bezpieczeństwa, wdrażania tych całych systemów dotyczących ochrony danych osobowych, w sytuacji kiedy tak naprawdę niewiele nam grozi?". Prosty rachunek ekonomiczny - porównujemy koszt, który musimy zaangażować w zakresie ochrony danych osobowych i ewentualne ryzyko związane z karą, która może nas spotkać za jej nieprzestrzeganie. Na koniec często dla przedsiębiorców jest to jednoznaczne, oni mówią "Nam ochrona danych po prostu się nie opłaca". Według mnie taki sposób rozumienia ochrony danych osobowych za chwilę się skończy. Jest tak dlatego, że przedstawiciele, którzy pracują nad RODO - rozporządzeniem unijnym w ramach Unii Europejskiej, mówią wyraźnie "Nasza wizja ochrony danych osobowych będzie rewolucyjnie odmienna od tego co się dzieje w chwili obecnej". Przede wszystkim, chodzi o bardzo wysokie sankcje o charakterze finansowym, które mają zmusić do realnego przestrzegania przepisów dotyczących ochrony danych osobowych. Czyli musimy powoli zacząć myśleć już o tym, jak przygotować się organizacyjnie do sytuacji, w której znajdziemy się po wejściu w życie rozporządzenia unijnego. Może to być rok 2016, może to być rok 2017, ale pamiętajmy o tym, że nie jesteśmy w stanie z dnia na dzień zmienić naszego sposobu myślenia o ochronie danych. Nie jesteśmy w stanie z dnia na dzień przygotować się organizacyjnie i technologicznie do zmian w taki sposób, w jaki będzie to wymagane przepisami rozporządzenia.

Mimo to, my już wiemy powoli, jakie to będą przepisy, jak powinniśmy się przygotować organizacyjnie i technologicznie do zmian.  Co więcej, bardzo duży nacisk będzie przerzucony na te podmioty, które przetwarzają dane osobowe.  To one mają decydować o adekwatności środków, które mają zastosować w stosunku do ochrony danych, które przetwarzają. To nie będzie ryzyko przerzucane na regulatora rynku. Regulator rynku mówi "To ty wiesz jakie dane przetwarzasz, więc to ty musisz zadecydować jakie środki zastosować, żeby chronić prawidłowo te dane, a my tylko przyjdziemy i skontrolujemy. Jeżeli my uznamy w takiej sytuacji, że nie działasz prawidłowo, to niestety musisz zapłacić za tą sytuację dosyć wysoką sankcję, która będzie oscylowała, najprawdopodobniej w okolicach dwóch procent obrotu".

Paweł Sala:

Dobra, mówisz, że przyjdzie regulator. Regulator wreszcie będzie, to znaczy bardziej wizja tego, że podmiot może zostać ukarany będzie dużo bardziej realna i ta kara będzie dużo bardziej dotkliwsza, niż jakiś tam mandat w wysokości 1 000 -1 500 złotych, który zazwyczaj dla niektórych marketerów był akceptowalnym ryzykiem. Pojawia się więc pytanie - zmiany wejdą, tak jak mówisz w 2016, może troszkę później, ale wejdą na pewno.  Co w takim razie marketer dzisiaj Twoim zdaniem powinien zacząć robić, żeby się do tych zmian przygotować tak, aby gdy one się pojawią być bezpiecznym i dalej móc bez przerwy realizować swoje działania?

Łukasz Gładki:

Moim zdaniem, przede wszystkim powinien zmienić swój sposób myślenia. Powinniśmy zacząć rozróżniać, że to, co jest na stronach amerykańskich w zakresie zbierania i przetwarzania danych osobowych, i co jest bardzo kuszące z punktu widzenia marketera (bowiem często mamy jeden check-box ze zgodą na wszystkie możliwe formy przetwarzania danych osobowych, przesyłania informacji o charakterze handlowym, etc.), nie jest adekwatne z punktu widzenia przepisów prawa Unii Europejskiej. Nie możemy ulegać presji oczekiwania klienta, który nie chce zbyt wielu zgód zakreślać. Niestety przepisy są jakie są, czyli zgody muszą być zbierane w odniesieniu do tych elementów, które są z naszego punktu widzenia istotne. Czyli: osobna zgoda na przesyłanie informacji drogą elektroniczną; osobna zgoda na przetwarzanie danych osobowych; wyraźne wskazanie celu, dla którego gromadzimy te dane osobowe; wykonanie prawidłowe obowiązku informacyjnego względem tego podmiotu, który nam przekazuje swoje dane osobowe.  Chodzi o możliwość dokonania wglądu przez niego w te dane, może on żądać modyfikacji tych danych, czy też wreszcie - żądać ich usunięcia.

To z czym spotykamy się na codzienie jako doradcy prawni, jest niestety niepokojące. Z punktu widzenia marketera jest taki standard, często narzucony przez zesztywniałego prawnika, który mówi, że ma mieć cztery check-boxy, a z drugiej strony pokazuje nam stronę internetową firmy amerykańskiej, gdzie albo w ogóle tego check-boxa nie ma (bo zgoda jest przeciez wyrażona w regulaminie, który znajduje się na stronie internetowej), bądź też jest jeden check-box, który obejmuje wszystkie możliwe zgody. Musimy zapomnieć o tym, że internet jest tym samym miejscem z punktu widzenia prawodawstwa różnych krajów. Jest inna sytuacja kiedy my siedzimy w Polsce, na terenie UE, a czym innym zupełnie z punktu widzenia przeciętnego Amerykanina, który operuje, siedząc np.  w Nowym Yorku. Te regulacje są całkowicie odmienne, tym bardziej w chwili obecnej, kiedy mamy do czynienia z ewidentnym stwierdzeniem nieadekwatności zasad przetwarzania danych osobowych na terenie Stanów Zjednoczonych. Musimy pamiętać o tym, że po tej stronie Atlantyku panują troszkę inne zasady w zakresie zbierania tych danych osobowych i ich przetwarzania; obowiązków informacyjnych; możliwości wypisywania się z newsletterów; tak zwanego linku umożliwiającego wypisanie się. Jest więc wiele czynników, które powinniśmy wziąć pod uwagę dążąc do tego, żeby prawidłowo wykonywać przepisy prawa w zakresie zbierania i przetwarzania danych osobowych.

Paweł Sala:

Powiedz mi -  często spotykam się z czymś takim, że przychodzą do nas nasi klienci i mówią "Paweł, słuchaj, system amerykański potrafi zrobić to czy tamto".  Jako FreshMail wiemy, że z punktu widzenia regulacji polskich to nie jest do końca OK, więc niestety my tej funkcjonalności nie planujemy korzystać, albo nie możemy wdrażać, albo po prostu nie chcemy tego robić i nie chcemy ryzykować. No więc wtedy marketer mówi "OK, to ja sobie pójdę do tego systemu amerykańskiego i skorzystam z niego, bo oni i tak mają certyfikat Safe Harbour". Natomiast pojawia się pytanie - skoro mamy teraz orzeczenie, że Safe Harbour to już tak nie do końca jest OK, to pytanie czy dalej warto ponosić to ryzyko w tej kwestii...

Łukasz Gładki:

Oczywiście zawsze takiej odpowiedzi musi sobie udzielić ten, kto ma świadomość tego, że będzie naruszał przepisy prawa. Natomiast to, co dla mnie jest istotne, i co na pewno jest symptomatyczne w orzeczeniu Trybunału Sprawiedliwości UE, to nawet nie samo orzeczenie (bo ono rzeczywiście jest mocno zaskakujące), ale pewien trend, który dzieje się na terenie UE.

Oczywiście, będziemy bardzo rygorystycznie patrzeć na zasady przetwarzania danych osobowych, ale dla mnie ważniejsze jest jeszcze coś innego - Max Schrems, który się kryje za tą całą sprawą.  27-letni Austriak, który doprowadził do tego, że rozwalił system, który funkcjonował przez kilkanaście lat pomiędzy wielkim mocarstwem - Stanami Zjednoczonymi i wielką Unią Europejską. Pamiętajmy o tym, że takich osób, takich 27-latków w Polsce, zapewne również nie brakuje. Ta świadomość tego jakie są nasze prawa w zakresie ochrony naszej prywatności jest coraz większa, więc oczywiście możemy sobie podejmować decyzje, że ryzykujemy i nie przejmujemy się takimi rzeczami jak Safe Harbour - czy ono jest czy go nie nie ma, czy ten podmiot, który ze Stanów Zjednoczonych operuje w ogóle gwarantuje nam jakąś ochronę danych osobowych.  Pamiętajmy jednak o tym, że my przetwarzamy dane osobowe konkretnych osób fizycznych, masowo je przetwarzamy. W tej masie niewątpliwie znajdują się osoby, które również posiadają wysoką świadomość tego jakie są ich prawa. W sytuacji kiedy doprowadzimy do sytuacji, w której ta osoba się zdenerwuje, bo jednak jej prywatność jest nagminnie łamana, bo jej prywatność jest eksportowana do Stanów Zjednoczonych, gdzie już ewidentnie mamy informację, że nie ma zachowanej adekwatności ochrony danych osobowych, możemy spodziewać się podobnych aktywności ze strony osób zdenerwowanych w stosunku do mnie jako osoby, która przetwarza te dane osobowe.

Oczywiście możemy cały czas rozmawiać na temat skutków, jakie będą ewentualnie negatywne w stosunku do osoby, która narusza przepisy prawa w zakresie ochrony danych osobowych.  Po pierwsze pamiętajmy jednak o tym, że zmieniła się osoba na stanowisku Generalnego Inspektora Ochrony Danych Osobowych, po drugie coraz bardziej widać trend w zakresie zmiany rozumienia przetwarzania danych osobowych, ochrony danych osobowych, a tak samo rozumienia konieczności egzekwowania prawidłowego wykonywania tych przepisów prawa. Tym samym już w chwili obecnej, można powiedzieć, że nawet mimo braku zmiany przepisów prawa, niewątpliwie następuje zmiana konieczności ich rozumienia w tym znaczeniu, że rozporządzenie, które jest projektowane, nie jest rozporządzeniem, które jest wzięte po prostu tak, jako wyizolowana wyspa w odniesieniu do całego dorobku Unii Europejskiej w zakresie ochrony prywatności.To jest skonkretyzowanie całej dotychczasowej myśli Unii Europejskiej w zakresie ochrony prywatności życia osoby fizycznej. I tym samym, nawet w chwili obecnej mimo braku zmiany przepisów prawa, niewątpliwie możemy spotkać się z sytuacją, w której te przepisy będą wykładane coraz bardziej rygorystycznie, by cel w postaci ochrony życia prywatnego był jak najbardziej osiągnięty. Osiągnięty w jak najwyższym stopniu. To nie jest tak, że my żyjemy w takich rzeczywistościach "od - do’. W rzeczywistości do czasu wprowadzenia rozporządzenia dotyczącego przetwarzania danych osobowych i od rozpoczęcia obowiązywania tego aktu prawnego, my żyjemy w rzeczywistości, w której ta dynamika przede wszystkim sprowadza się do konieczności dostosowania wykładni już istniejących przepisów prawa. Jest tak dlatego, że życie jest zbyt dynamiczne w stosunku do możliwości wprowadzania nowelizacji aktów prawnych, a tym samym (i to wynika z orzecznictwa Trybunału Sprawiedliwości UE, orzecznictwa Sądu Najwyższego czy Naczelnego sądu Administracyjnego), że to co się dzieje w odniesieniu do konieczności dostosowywania przepisów prawa, dzieje się przede wszystkim na poziomie konieczności dynamicznej wykładni przepisów prawa. I niewątpliwie, z mojego punktu widzenia, jest to na pewno bardzo istotne.

Orzeczenie Trybunału Sprawiedliwości UE pokazuje bardzo wyraźnie, w którym kierunku Unia Europejska chce dążyć i jakie widzi swoje cele. Przed wejściem owego rozporządzenia w życie mamy również przepisy nakładające wysoki poziom ochrony danych osobowych i niewykluczone, że sposób patrzenia na te przepisy przez regulatora rynku czyli przez GIODO będzie ulegał również zmianie - w kierunku coraz bardziej rygorystycznego dążenia do egzekwowania stosowania tych przepisów.

Paweł Sala:

Dziękuję Łukasz za wywiad. Mam nadzieję, że naszych widzów zainspirowaliśmy do poszerzenia wiedzy z zakresu ochrony danych osobowych. Jeśli macie jakieś pytania, jesteście zainteresowani tym tematem - zapraszam Was na blog kancelarii Łukasza, link będzie pod tym materiałem video. Łukasz, dziękuję bardzo.

Łukasz Gładki:

Dziękuję również. Pamiętajcie - winter is coming.