Bazując na doświadczeniach zdobytych podczas pomagania przedsiębiorcom we wdrażaniu nowych zasad ochrony danych osobowych w ostatnim czasie, a także w oparciu o własne obserwacje z życia codziennego i doniesienia medialne, można wskazać kilka zagadnień, które sprawiają przedsiębiorcom najwięcej trudności w zakresie ochrony danych osobowych. Oto najczęstsze błędy:
Pobieranie zgód na przetwarzanie danych osobowych w sytuacjach, gdy istnieją inne podstawy do przetwarzania
Moja teza jest następująca: prawidłowo rozumiane RODO doprowadzi do zmierzchu zgód. Jeśli dokładnie przeanalizujemy podstawy do przetwarzania danych osobowych w RODO to dojdziemy do wniosku, że w przeważającej liczbie przypadków zgody są po prostu zbędne. Nie jestem w stanie zrozumieć, dlaczego tak popularne są zgody na przetwarzanie danych osobowych np. w celach marketingowych. Być może to efekt poprzedniej ustawy o ochronie danych osobowych z 1997 r., która jak się wydaje nauczyła nas tylko jednego – że ochrona danych osobowych oznacza pobieranie zgód. To absurd, ponieważ w większości sytuacji dobrowolność udzielenia zgody jest tak naprawdę bardzo wątpliwa. Dochodzi również do sytuacji, kiedy zgody są niedopuszczalne, choćby wtedy, gdy przetwarzanie danych osobowych jest wymagane przez przepis prawa. Wciąż spotykam się z kwestionariuszami dla pracowników, w których pracownik wyraża zgodę na przetwarzanie swoich danych w celu rozliczeń w urzędzie skarbowym czy w ZUS. Takie wprowadzanie w błąd osoby, której dane są przetwarzane, również stanowi naruszenie zasad ochrony.
Wysyp inspektorów ochrony danych osobowych
Inspektor ochrony danych. Ten tytuł nie tylko ładnie brzmi, ale też kusi. Inspektor najczęściej kojarzy się z kimś ważnym, obdarzonym wieloma kompetencjami w zakresie kontroli czy nadzoru. Jednak Inspektor ochrony danych posiada konkretne obowiązki oraz specjalny tryb wyznaczania, opisane szczegółowo w przepisach, o czym bardzo często się zapomina. Inspektor ochrony danych to nie to samo co pracownik zajmujący się ochroną danych osobowych w przedsiębiorstwie. W mojej ocenie podmioty prywatne rzadko będą zobowiązane do powołania takiego Inspektora. Powinno to być poprzedzone stosowną, pisemną analizą, której przeprowadzanie niestety może nastręczać trudności. Oczywiście można powołać Inspektora dobrowolnie, ale wtedy należy wykonywać wszelkie obowiązki z tym związane, jakie przewidują przepisy.
Informowanie o przetwarzaniu danych osobowych
Doświadczenia płynące z pierwszych miesięcy stosowania RODO wskazują, że ochrona, jaką ma zapewnić tzw. obowiązek informacyjny, w praktyce ma bardzo często charakter iluzoryczny. Przykładowo internauci zasypywani nadmierną liczbą rozbudowanych komunikatów o przetwarzaniu, przestają zwracać na nie uwagę. W mojej ocenie, biorąc pod uwagę perspektywę osoby fizycznej, która zarówno przestrzeni internetowej jak i w przestrzeni publicznej ma do czynienia z ogromną ilością komunikatów o przetwarzaniu danych osobowych, należy dążyć do uproszczenia i skrócenia przekazywanych informacji, a także ograniczenia ich liczby. Przekazywane informacje powinny być istotne z punktu widzenia ochrony osoby, której dane dotyczą, a szczegółowe informacje powinny być przekazywane wyłącznie osobom zainteresowanym. Moim zdaniem RODO umożliwia taką wykładnię swoich przepisów, jednak potrzeba ku temu również dobrej woli organów stosujących prawo – przede wszystkim Prezesa Urzędu Ochrony Danych Osobowych. Nie wiadomo też w którą stronę podąży orzecznictwo sądowe. Pozostaje nam więc czekać na konkretne rozstrzygnięcia, a póki co pozostaje nam realizować obowiązki informacyjne w sposób zachowawczy.
Panika
W ostatnim czasie media przekazywały szokujące informacje dotyczące efektów wprowadzenia RODO. Najbardziej utkwiła mi w pamięci sytuacja, kiedy rodzicom odmówiono wskazania szpitalu, w którym leżą ich dzieci po wypadku autokaru z wycieczką.
Jeśli ktoś uważa, że po wejściu RODO nie może przetwarzać (np. poprzez ujawnianie) danych osobowych, które ujawniał wcześniej to albo łamał poprzednio obowiązujące przepisy, albo nie rozumie tych nowych. RODO nie ogranicza możliwości przetwarzania danych osobowych w zdecydowanej większości przypadków. Modyfikuje zabezpieczenia różnego rodzaju, zwiększając poziom ochrony osób, których dane są przetwarzane.
Z drugiej strony trzeba przyznać, że nowe przepisy są bardzo ogólne i to dla wielu osób stanowi nie lada problem. Poza tym, aby je poprawnie stosować niezbędna jest znajomość innych dziedzin prawa – np. prawa pracy czy przepisów regulujących obrót elektroniczny. Ostatnie miesiące tylko utwierdziły mnie w przekonaniu, że do prawidłowego stosowania (a przynajmniej wdrożenia) zasad ochrony danych osobowych niezbędna jest poszerzona wiedza prawnicza.
Autor jest prawnikiem w Kancelarii Prawnej BSO Prawo & Podatki
