RODO na tacy. Odcinek I: Na początku było zaufanie

Artykuł
RODO_na_tacy_1

Danych przetwarzanych na serwerach i w komercyjnych bazach nie widać gołym okiem. Łatwo stracić poczucie, że one tam naprawdę krążą. Jeszcze trudniej wyobrazić sobie, co dokładnie wiedzą o nas te wszystkie aplikacje mobilne, platformy internetowe i współpracujący z nimi brokerzy danych. Jaki profil człowieka można ulepić z logów, technicznych danych urządzeń, metadanych? Nie wiemy tego, bo w zasadzie żadna firma, z którą utrzymujemy relacje w sieci, nie rozmawia z nami na ten temat otwarcie. Po 25 maja będzie musiała zacząć. Co nam powie?

Kiedy w maju zeszłego roku Deloitte zrobił badania Rok do RODO – ochrona danych osobowych oczami polskich konsumentów, połowa z nas zadeklarowała nieufność do firm i instytucji, którym powierza swoje dane. Jednocześnie aż 58% ankietowanych odpowiedziało, że przynajmniej raz padło ofiarą niewłaściwego – w swoim odczuciu – ich wykorzystania. Czy to możliwe, że ponad 50% podmiotów działających na rynku nadużywa naszego zaufania, robiąc z naszymi danymi, co im się żywnie podoba? Istnieje prostsze wyjaśnienie tego fenomenu: źle prowadzony dialog z konsumentem.

Żeby coś sprzedać, trzeba nawiązać relację. Dla każdego sprzedawcy to zdanie jest oczywistością, jednak – jak pokazuje badanie Deloitte – firmy zaskakująco często o nim zapominają. W relacji z nowym klientem zachowują się jak ekscentryczny użytkownik aplikacji randkowej. Po wyrażeniu przez nas, klientów, wstępnego zainteresowania ich ofertą – trzymając się analogii randkowych swipe right czy nawet superlike – firmom jakby przestaje zależeć.

Zamiast budować atmosferę zaufania zasypują nas przerażającymi formularzami z polami oznaczonymi jako obowiązkowe, w których wypytują o wszystkie możliwe dane. W odpowiedzi na pytanie „Po co chcesz to wiedzieć?” serwują skomplikowane klauzule informacyjne. Nie przymierzając, jak ten randkowicz właśnie, który w pierwszych wiadomościach prosi o nagie zdjęcie i dziwi się, że druga strona nie czuje się z tym komfortowo. W tym kontekście nowe przepisy zawarte w RODO można uznać za naukę savoir-vivre’u dla firm.

Dialog w ludzkim języku

Jednym z fundamentów rozporządzenia jest zasada przejrzystości, którą można sprowadzić do kilku wytycznych:

  • każdy, kto przetwarza dane (nie tylko na ogólnym poziomie, ale też w ważnych szczegółach, takich jak profilowanie), musi o tym informować;
  • wszystkie informacje związane z przetwarzaniem danych powinny być łatwo dostępne i zrozumiałe (tj. sformułowane prostym językiem);
  • informacje powinny być też przekazywane w odpowiednim momencie (np. przed udostępnieniem danych osobowych, jeśli może to wpłynąć na tę decyzję).

Tyle teorii. Czemu te wszystkie informacje mają służyć w praktyce? W mediach słychać głos biznesu straszącego zalewem informacji w związku z RODO (klauzule informacyjne na dwie strony A4, pop-upy na każdej stronie, rozbudowane polityki prywatności). W tej dyskusji nietrudno poczuć jak ktoś, kto z etapu ekscentrycznej randki nieopacznie przeszedł w przemocowy związek. Dopóki relacja była asymetryczna, ale słabsza strona nie mogła się bronić, był względny spokój. Teraz – kiedy prawo daje nam nowe narzędzia w relacjach z firmami – jesteśmy straszeni, że „to wszystko popsuje”.

Otwarty dialog firm z klientami to szansa na lepszą i trwałą relację, której podstawą będzie zaufanie.

W Panoptykonie jesteśmy przekonani, że otwarty dialog firm z klientami na temat przetwarzanych danych ma sens wykraczający poza wywiązanie się z prawnego obowiązku. To szansa na lepszą i trwałą relację, której podstawą będzie zaufanie, a nie – jak to bywało do tej pory – wyłudzanie danych i eksploatowanie naszej niewiedzy (w tym kontekście naprawdę zdziwił nas pomysł ograniczenia obowiązków informacyjnych dla małych i średnich przedsiębiorstw, lansowany przez Ministerstwo Rozwoju).

Warto powalczyć o taką nową jakość, bo nasze związki z aplikacjami i platformami internetowymi mają coraz poważniejszy charakter. Od ich podejścia do danych – rzetelności i poprawności, szczelności technicznych zabezpieczeń, przestrzegania prawnych i etycznych ograniczeń – może zależeć to, czy znajdziemy dobrą pracę, dostaniemy kredyt w banku albo potrzebną nam usługę po uczciwej cenie.

Partnerska relacja według RODO: co mamy prawo wiedzieć?

Firma, która proponuje nam partnerską relację, powinna wyłożyć karty na stół już na pierwszej randce. To wcale nie oznacza, że powinna nas zmuszać do przebrnięcia przez długą politykę prywatności czy atakować irytującymi pop-upami. Wręcz przeciwnie: powinna znaleźć przyjazny sposób przekazania najważniejszych informacji. W kolejnych punktach wyjaśniamy, jakie informacje mają znaczenie i kiedy powinny do nas trafić.

Wszystkie karty na stół! Moment szczerości po stronie administratora

Zanim się zaangażujemy – czyli przekażemy dane w nowe ręce – mamy prawo ocenić ryzyko związane z tą relacją. Żeby to zrobić, musimy wiedzieć kilka rzeczy.

  • Kim tak naprawdę jest podmiot, z którym zamierzamy się związać?
  • Czy jest godny zaufania? Jakie ma cele i co w tej relacji będzie próbował osiągnąć?
  • Czy uznał, że jego „uzasadnione interesy” przeważają nad naszymi prawami i w związku z tym może wykorzystać nasze dane np. w celach marketingowych?
  • Czy będzie próbował wpływać na nasze zachowanie (np. poprzez targetowaną reklamę)?
  • Czy będzie nas profilować (przewidywać nasze zachowanie lub ustalać cechy) i na tej podstawie podejmować decyzje, a jeśli tak – wedle jakiej logiki? Czy nie ma w tym ryzyka dyskryminacji albo trudnych do zweryfikowania błędów?
  • Czy zamierza przekazywać nasze dane innym podmiotom (np. współpracującym z nim brokerom danych, instytucjom finansowym, firmom badawczym, innym usługodawcom)? Czy jest w stanie przewidzieć i uzasadnić okres przetwarzania danych?
  • Czy potrafi nasze dane dobrze zabezpieczyć?

Sygnałem ostrzegawczym mogą być np. nieprecyzyjne kryteria wpływające na okres przetwarzania danych.

Nie wszystkie odpowiedzi na powyższe pytania będą podane na tacy, ale katalog obowiązkowych informacji wynikający z RODO pozwala wyczuć, gdzie jest problem i co warto sprawdzić. Sygnałem ostrzegawczym mogą być np. nieprecyzyjne kryteria wpływające na okres przetwarzania danych albo ogólna informacja o zautomatyzowanym podejmowaniu decyzji bez dalszych szczegółów.

Moment na przemyślenie konsekwencji

Możliwość samodzielnej oceny ryzyka to podstawa partnerskiej relacji, ale to jeszcze nie koniec „gry wstępnej”, jaką proponuje RODO. Przed podjęciem decyzji o przekazaniu danych powinien się jeszcze pojawić moment na przemyślenie konsekwencji i zrozumienie kontekstu, w jakim dochodzi do tej transakcji.

W praktyce nie zawsze mamy wybór, czy i w jakim stopniu chcemy się zaangażować. Podanie pewnych danych może być konieczne do świadczenia usługi, której akurat potrzebujemy (np. udzielenia kredytu) albo przeprowadzenia ważnego dla nas procesu (np. rekrutacji). Czasem obowiązek ich podania wynika z obowiązującego prawa (np. podatkowego, bankowego). W takich przypadkach, jeśli odmówimy podania danych, musimy się liczyć z konsekwencjami (np. odrzuceniem wniosku o kredyt, odrzuceniem zgłoszenia, kontrolą skarbową). Jeśli jednak konkretna relacja opiera się na naszej zgodzie, powinniśmy mieć świadomość, że w każdej chwili możemy ją wycofać.

Zrozumienie tych czynników może mieć wpływ na naszą decyzję o przekazaniu danych (raczej pozytywny niż negatywny). Dlatego poinformowanie o nich leży w interesie samego administratora i powinno się dokonać najpóźniej w momencie przekazywania danych.

Moment na uświadomienie możliwości, jakie daje prawo

Bez świadomości własnych uprawnień nie jesteśmy w stanie skutecznie się bronić.

Nawet w dobrej relacji zdarzają się nieporozumienia i zakręty. Czasem coś się psuje na dobre i chcemy z niej wyjść albo szukamy wsparcia na zewnątrz. RODO przewiduje również ten scenariusz i daje nam szereg uprawnień, z których możemy skorzystać: od podstawowego prawa dostępu do własnych danych, poprzez ich skorygowanie lub przeniesienie, aż po prawo wniesienia sprzeciwu wobec przetwarzania i skargi do organu nadzorczego. Jednak żeby móc z nich skorzystać, musimy dowiedzieć się o ich istnieniu. Bez świadomości własnych uprawnień nie jesteśmy w stanie skutecznie się bronić.

RODO wychodzi z założenia, że uświadamiać w tym zakresie powinien nas przede wszystkim ten, kto przetwarza nasze dane osobowe. Zgodnie z literą prawa powinien to zrobić jeszcze na etapie pozyskiwania danych. W praktyce to może być trudne, a nawet przeciwskuteczne, bo natłok informacji nie służy ich przyswajaniu. W tej swoistej edukacji obywatelskiej większe znaczenie niż moment podania informacji będzie miała ich jakość i sposób podania. A więc nie chodzi o suche przepisanie ustawy, ale o rzetelne wyjaśnienie, jakie mamy prawa i w jaki sposób możemy z nich skorzystać w relacji z tą konkretną firmą (np. poprzez wypełnienie formularza dostępnego na stronie, kliknięcie w podany link, wejście we wskazane ustawienia prywatności).

Ostrzeżenie o zmianie celu

W partnerskiej relacji nie ma miejsca na nieprzyjemne zaskoczenia. Jeśli administrator, któremu powierzyliśmy dane w konkretnym celu (np. zrealizowania umowy, na której nam zależało), wpadł na nowy pomysł i w związku z tym chciałby wykorzystać nasze dane w innym celu (np. do badań nad nowym produktem czy też w celach marketingowych), powinien nas o tym poinformować. Oczywiście, zanim od pomysłu przejdzie do działania i z poszanowaniem naszego prawa do powiedzenia „nie” (zgodnie z RODO mamy prawo w takiej sytuacji zgłosić sprzeciw).

Moment na ujawnienie się

A co w sytuacji, kiedy nie było „pierwszej randki” ani czasu na nawiązanie relacji, ponieważ dane na nasz temat trafiły do bazy administratora z innego źródła? Cóż, lepiej późno niż wcale! Administrator, który pozyskał nasze dane z innego źródła, musi się nam przedstawić w rozsądnym terminie (ale nie później niż w ciągu miesiąca od pozyskania danych). Poza standardowymi informacjami, o których była mowa powyżej, powinien nas powiadomić o tym: (1) jakie kategorie danych o nas przetwarza, (2) z jakiego źródła one pochodzą (także jeśli są to źródła publicznie dostępne). Ten obowiązek istnieje już dziś, ale jest uporczywie ignorowany przez firmy nastawione na wyłudzanie i eksploatację danych. Czy po 25 maja, zmotywowani groźbą wysokich kar, ci wszyscy brokerzy danych schowani na zapleczu Internetu i spamujący nas marketerzy zdecydują się ujawnić, czy też raczej zrobią porządki w swoich bazach? Zobaczymy.

Zobacz inne odcinki cyklu: "RODO na tacy".

Katarzyna Szymielewicz

Współpraca: Karolina Iwańska, Maria Wróblewska

Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon lub przekaż nam 1% swojego podatku (KRS: 0000327613).

Komentarze

Na początku było zaufanie, jednak teraz już go w temacie ochrony danych nie ma, ponieważ:
- firmy odmawiają udzielania obowiązkowej informacji o treści przetwarzanych danych, podstawie prawnej i skąd je mają
- nie obchodzą się należycie z danymi osobowymi - myślą, że jak je dostana od pracownika, to mogą je każdemu przekazać bez uzyskania zgody
- mimo, że pracodawcy mają wąski zestaw niezbędnych danych zdefiniowany w KP - nadal żądają nadmiernych danych (ksero dowodu, zdjęcie twarzy, odciski palców, skan tęczówki oka, nazwisko rodowe matki, miejsce urodzenia, dane o nałogach, informacje o chorobach, dane etniczne, czasami tak jak w jednym sklepie nawet holtery zakładają pracownikom.

Tak więc firmy i pracodawcy stracili BEZPOWRORNIE zaufanie pracownika i klienta i teraz potrzebujemy dobrej ustawy z surowymi karami, tak by obowiązki były wypełniane. Bez kar i bez kontroli przynajmniej na życzenie klienta/pracownika - nie będzie się dalo współpracować z tymi firmami i pracodawcami jeżeli chce się zachować prywatność.

Dodatkowo po okresie pracy na życzenie pracownika powinno być realizowane również europejskiego prawo do bycia zapomnianym z wszystkimi konsekwencjami. Co najwyżej pracodawca/firma powinna poinformować o skutkach takiego żądania i po potwierdzeniu wszystkie dane usunąć i poinformować zgodnie z prawdą o dokonaniu usunięcia danych osoby.

Niestety obecnie GIODO nie respektuje prawa do bycia zapomnianym przynajmniej jako były pracownik w firmie.

@Janek, ze względów prawnych (zniesławienie - cudowny paragraf w Polsce, gdzie firma może Cię skazać na więzienie nawet jak prawdę powiesz) nie mogę tego powiedzieć. Ale mogę podpowiedzieć - poszukaj for i portali opiniotwórczych i wpisz odcisk palca, linie papilarne i nazwę portalu, podobnie siatkówka i tęczówka oka - do Google. Google po dłuższych przeszukiwaniach na pewno odpowie na to pytanie.

A sam fakt, że to robią na dużą skalę ma odbicie w artykułach GIODO (giodo.gov.pl). Jedna sprawa też właściwie stała się publiczna:
http://www.giodo.gov.pl/data/filemanager_pl/1151.pdf
ale niestety - która powiedzieć nie mogę mimo, że znam takie firmy.

Tu już na pierwszej i drugiej stronie Google pojawia się wiele takich firm - widać ludzie się żalą, a GIODO nie zareaguje sam z siebie, ludzie nawet nie wiedzą, że mogą się poskarżyć:
https://www.google.pl/search?q=odcisk+palca+gowork

Zarówno jest o odcisku palca jak i tęczówce (ludzie często nie wiedzą, że chodzi o siatkówkę i mylą, ale chyba obie metody są używane).

Czcigodna fundacjo...czy możecie sprawdzić stronę www.igpw.pl
a następnie spróbować się zarejestrować?

Podpytuję, bo widnieje tam niniejszy zapis:
"Oświadczam iż, podany przeze mnie podczas rejestracji w serwisie igpw.pl adres e-mail nie stanowi zbioru danych osobowych w rozumieniu ustawy z dnia 29.08.1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn.zm.). Adres e-mail udostępniam dobrowolnie i wyrażam zgodę na dysponowanie nim przez właściciela serwisu do chwili odwołania zgody."

i interesuje mnie czy jest on zgodny z prawem. Nadmieniam, że w regulaminie strony nie podano kto jest właścicielem serwisu.

Drogi Testerze,
Cieszy mnie, że wspominasz o moim rozwiązaniu dotyczącym nieprzetwarzania danych osobowych. Zapis w regulaminie nie jest tajemnicą tak samo jak oświadczenie, które podczas rejestracji musi złożyć każdy użytkownik.
Jestem osobą prywatną, która stworzyła iGPW, serwis nie rozsyła spamu, nie wyświetla żadnych reklam ani w żadne sposób nie działa na niekorzyść swoich użytkowników.
Za serwisem nie stoi żadna tajemnicza siła/korporacja/spółka itp. W regulaminie nie znajdziesz żadnych informacji o Administratorze danych osobowych ponieważ każdy użytkownik jak wspomniałem jest zobowiązany złożyć oświadczenie, które jasno stwierdza, że adres e-mail, który podaje nie jest kwalifikowany jako element zbioru danych osobowych w związku z czym serwis nie przetwarza danych osobowych.

Jeżeli chciałbyś wiedzieć czemu nie zdecydowałem się na przetwarzanie danych osobowych to odpowiedź jest prosta i równoznaczna z tym co napisałem powyżej, serwis nie jest powiązanych z żadną działalnością gospodarczą i w żaden sposób nie zarabia.
Gdybym zdecydował się na przetwarzanie danych osobowych musiałbym podać własne dane adresowe co jest dla mnie mało interesującą opcją.
Liczę natomiast na świadomość/rozumność użytkowników, którzy przytomnie rejestrują swoje konta nie składają fałszywych oświadczeń.

Myślę, że warto też dodać, iż rejestracja w https://www.igpw.pl nie jest obowiązkowa :)
Pozdrawiam.

@tester, @iGPW - nie mam wątpliwości, że o tym, czy konkretna informacja ma charakter danych osobowych decydują obiektywne przesłanki, a nie jakiekolwiek oświadczenie. Co więcej, oświadczenie zawarte na stronie iGPW brzmi dość absurdalne, bo osoba rejestrująca się ma poświadczyć, że jej adres e-mail "nie stanowi zbioru danych osobowych". Krótką mówiąc, przed wieloma z nas - także przed osobami prowadzącymi wspomniany portal - jeszcze dużo pracy w zakresie wdrożenia RODO.

@Wojciech Klicki - Prosiłbym o małe rozwinięcie co absurdalnego jest w złożeniu oświadczenia przez człowieka, czy jego adres e-mail jest daną osobową? Za równie bzdurne można uznać oświadczenie o zarobkach podczas zakupów na raty.

O jakich obiektywnych przesłankach Pan myśli?
Jeżeli ktoś zakłada konto na adres andrzej.duda@gmail.com to znaczy, że jest prezydentem?

Zakładam, że jeżeli Jan Kowalski korzysta z adresu e-mail joanna.misiewicz.z.poznania.chmielna.11@wp.pl to jedynie on może wiedzieć, czy jest do adres, który można uznać za jego dane osobowe. Jest to o tyle istotnie, że przepisy nie zabraniają zakładać posiadania dowolnego adresu e-mail.

Ostatnie komentarze poruszają dość ciekawe zagadnienie, jak RODO odnosi się do tworów niekomercyjnych?.
Poruszono tutaj temat serwisu igpw jednak takich witryn są pewnie setki tysięcy, mowa m.in. o forach internetowych, blogach z różną tematyką (gry, muzyka, kolekcjonerstwo itp.) wszystkie tego typu rozwiązania zbierają przynajmniej adresy e-mail.
Czy wprowadzenie RODO jest równoznaczne z koniecznością likwidacji takich tworów?
Bo jaka osoba prywatna, która ze swojego zainteresowania pasji nie czerpie żadnych korzyści będzie chciała ryzykować konflikt z prawem.

@iGPW, oświadczenie składane na stronie brzmi: "Oświadczam iż, podany przeze mnie podczas rejestracji w serwisie igpw.pl adres e-mail nie stanowi zbioru danych osobowych w rozumieniu ustawy z dnia 29.08.1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn.zm.). Adres e-mail udostępniam dobrowolnie i wyrażam zgodę na dysponowanie nim przez właściciela serwisu do chwili odwołania zgody" [podkreślenie własne]. Zbiór danych to uporządkowany zestaw danych osobowych dostępnych wg określonych kryteriów, zbiorem danych może być np. lista adresów mailowych. Absurdalny jest w ogóle pomysł, że jeden adres mailowy może stanowić zbiór danych. Poza tym rejestrujący się nie mogą oświadczyć, czy ich adres e-mail będzie przetwarzany w zbiorze, bo tego zwyczajnie nie wiedzą - zależy to wyłącznie od administratora danych, który decyduje co i w jaki sposób będzie robił z danymi.

O tym, czym są dane osobowe i w jakich sytuacjach adres mailowy może stanowić dane osobowe przeczyta Pan na stronie GIODO: https://www.giodo.gov.pl/pl/319/1426 . Polecam szczególnej uwadze ostatni akapit. To od spełnienia wymienionych tam, obiektywnych warunków zależy, czy adres mailowy stanowi dane osobowe. Jest to niezależne od woli i oświadczenia osoby rejestrującej się.

Przy okazji zwracam uwagę, że z regulaminu strony internetowej, o której rozmawiamy, wynika także, że administrator ma dostęp do adresów IP użytkowników. To też są dane osobowe: https://www.giodo.gov.pl/pl/319/2258

Poruszyliście Państwo wątek rozmaitych blogów/forów itp. - ich właściciele, którzy np. zbierają adresy mailowe, byli zobowiązani do przestrzegania ustawy o ochronie danych osobowych z 1997 r., tak samo jak będą zobowiązani do przestrzegania RODO. Ale absolutnie nie oznacza to, że takie strony muszą zostać zamknięte.

 

 

 

@Wojciech Klicki - Serdecznie dziękuję za dogłębne wyjaśnienia, teraz rozumiem w czym tkwi problem.
Tak jak pisałem wcześniej iGPW było i jest całkowicie niekomercyjnym projektem, który został udostępniony publicznie. Najchętniej nie zbierałbym żadnych informacji o użytkownikach jednak nie jest to możliwe gdyż główna idea serwisu to dostarczanie wiadomości e-mail.

Duży problem moim zdaniem stanowi brak dokładnej definicji i przemyślenia pewnych kwestii przez ustawodawcę.
"w wyjątkowych przypadkach, jeżeli elementy treści adresu poczty elektronicznej pozwalają bez nadmiernych kosztów, czasu lub działań na ustalenie na ich podstawie tożsamości danej osoby"
To można odnieść do mojego przykładu joanna.misiewicz.z.poznania.chmielna.11@wp.pl, pozostaje jednak istotna kwestia prawdziwości danych w adresie.

W przypadku adresu IP sprawa również jest dwóznaczna ponieważ administrator serwera zawsze ma do nich dostęp nie jest jednak w stanie określić czy IP znajduje się za NAT, czy jest zmienny, czy stały. Nawet jeżeli jest stały to i tak nie ma to większego znaczenia ponieważ IP takie nie jest przypisane do użytkownika a np. do lokalu i jedynie Operator (np. tmobile) wie z kim zawarł umowę.

Nieostrość definicji powoduje, że praktycznie każda strona działająca w Internecie zbiera dane osobowe (tj. wspomniany adres IP) robi to w sposób bezpośredni lub pośredni bawet gdy jej autor nie jest tego świadom.

Problem z RODO polega na tym, że wszystko ma być "odpowiednie", " adekwatne" itp. co samo w sobie w zasadzie nic nie znaczy. Przeczytałem już bardzo dużo na ten temat, ale nadal nie wiem jak prowadzić korespondencje mailową zgodnie z przepisami. Mogę sobie spisać odpowiednie polityki, instrukcje i zawrzeć umowę powierzenia danych z dostawcą poczty czy innych usług chmurowych oraz zaszyfrować przesyłane tam pliki. Mam jednak problem z oceną sytuacji, w której np. potencjalny klient, korzystając z powszechnie dostępnej darmowej skrzynki, wyśle na adres przedsiębiorcy (w moim przypadku adwokata) mail, w którego treści zawrze dane dane osobowe. Czy naruszę zasady ochrony danych jeśli skorzystam z opcji "odpowiedz" cytując jego wiadomość? Wymaganie żeby w takiej sytuacji wysyłać w odpowiedzi link do zaszyfrowanegoo pliku wydaje mi się kontrproduktywne - typowy klient nie otworzy takiej wiadomości i poszuka kogoś, kto mu odpisze normalnie. Szyfrowaną korespondencje można prowadzić ze stałym klientem, ale ktoś kto kontaktuje się po razie pierwszy w większości przypadków nie będzie zainteresowany podejmowaniem jakichś specjalnych zabiegów żeby zapoznać się z odpowiedzią na swoją wiadomość.

Proponowalibyśmy sprawę załatwiać zdroworozsądkowo - w przypadku wątpliwości, w odpowiedzi skasować treść maila z danymi, spełnić obowiązek informacyjny (w tym poinformować o okresie przechowywania maila) oraz zasugerować, by dalszą korespondencję prowadzili Państwo zaszyfrowaną.

Funkcjonowanie RODO może w ciekawy sposób wpłynąć na różne dziedziny życia.
Prowadzę jednoosobową działaności, czy ktoś orientuje się w jaki sposób RODO "chroni" moje dane w momencie gdy nazwa mojej firmy to Imię + Nazwisko + Coś
Dane zawarte w nazwie mojej firmy w sposób oczywisty wskazują mnie jako osobę. Czy rodo przewiduje w jaki sposób dane tego typu (nazwa firmy), które wskazują bezpośrednieo osobę mogą być przetwarzane.

Dodaj komentarz