Ostatnie 12 miesięcy zdecydowanie zasługuje na określenie „rok RODO”. Oczywiście ochrona danych osobowych nie jest w Polsce zupełnie nowym tematem (odpowiednie przepisy obowiązywały już przecież od 1997 r.), ale to właśnie 25 maja 2018 r. był dla wielu Polaków impulsem do zadbania o ten obszar.
Impuls dotyczył ten przede wszystkim administratorów danych – firm, spółek, instytucji czy urzędów wykorzystujących dane osobowe (klientów, kontrahentów, pacjentów i innych osób). Konieczne stało się ustalenie, czy robią to „zgodnie z RODO”, a określenia takie jak „audyt ochrony danych osobowych”, „dokumentacja RODO”, „szacowanie ryzyka” i inne zaczęły być wykorzystywane zdecydowanie częściej. Nie zapomniano także o szkoleniach. Administratorzy wyszli ze słusznego założenia, że każda osoba u nich zatrudniona musi wiedzieć, dlaczego RODO jest ważne i co się stanie, gdy pracownik nie będzie przestrzegać tych przepisów.
Świadomość wzrosła także po stronie osób, których dane dotyczą.
Ogólne rozporządzenie o ochronie danych sprawiło, że ludzie zaczęli ostrożniej postępować z własnymi danymi osobowymi. Chętniej korzystają z prawa dostępu do danych czy wyrażenia sprzeciwu (zwłaszcza wobec komunikacji marketingowej). Częściej niż rok temu spotykamy się z reakcją na negatywne praktyki, które wcześniej bywały „na porządku dziennym” – takie jak branie w zastaw dowodu osobistego przy wypożyczeniu kajaka czy wyczytywanie pacjentów z imienia i nazwiska przy okazji wizyty u lekarza. Dużo dobrego przyniosły także przepisy RODO, nakazujące ujawnianie wycieków danych i informowanie o nich osób, których dane dotyczą. Żaden urząd, sklep internetowy czy bank nie może już zamiatać incydentów bezpieczeństwa pod dywan, licząc na to, że „jakoś to będzie”.
Zmiany jeszcze przed nami
Wszystko to brzmi bardzo pozytywnie, ale przed nami wszystkim jeszcze sporo pracy w zakresie ochrony danych osobowych. Dopiero kilka tygodni temu weszła w życie tzw. ustawa nowelizująca, dostosowująca do RODO blisko 170 aktów prawnych (od powszechnie wykorzystywanych, jak Kodeks pracy do niszowych, jak ustawa o ochronie dziedzictwa Fryderyka Chopina) – przepisy jednak nie wszędzie „się przyjęły”. Przykładowo na początku maja Ministerstwo Rodziny, Pracy i Polityki Społecznej opublikowało nowe (uwzględniające ustawę nowelizującą) wzory kwestionariuszy, które firmy mogą wykorzystywać dla zbierania danych o kandydatach do pracy – a mimo to wciąż jeszcze w obiegu funkcjonują wzory z 1996 roku (!), które mają zdecydowanie nieaktualny zakres informacji.
Powyższe wiąże się z innym problemem dotyczącym RODO w Polsce: wdrożenia bez zrozumienia. Przyczyniła się do tego po części sama konstrukcja RODO – ogólne rozporządzenie zawiera zdecydowanie za mało konkretnych wskazówek. To sami administratorzy muszą teraz zdecydować jakie środki organizacyjne i techniczne wdrożyć by zapewnić bezpieczne przetwarzanie danych. Jak się nietrudno było domyślić, w wielu przypadkach te decyzje zapewniły niektórym administratorom wstydliwe miejsce na liście absurdów RODO.
Przykładowo wiele firm czy instytucji uznało, że w związku z nowymi przepisami na każde wykorzystanie danych osobowych potrzebna jest zgoda (pojawiły się więc zgody na wykorzystanie danych dla zawarcia umowy, mimo że sama realizacja umowy jest tu wystarczającą podstawą).
Wielu administratorów jest też przekonanych, że każde przekazywanie danych musi odbywać się na zasadzie powierzenia przetwarzania danych osobowych – taka praktyka występuje często np. przy okazji medycyny pracy, gdzie pracodawcy wciąż upierają się na zawieranie umowy powierzenia z placówką medyczną, mimo że w październiku 2018 r. Prezes Urzędu Ochrony Danych Osobowych wyraźnie wskazał, że takich umów zawierać nie należy. Inną uciążliwą praktyką jest zmuszanie osób dzwoniących do odsłuchiwania na początku rozmowy długiego nagrania z informacją, jak podmiot zamierza wykorzystać dane osobowe – mimo że można to rozwiązać w o wiele rozsądniejszy sposób, np. wykorzystując warstwowy sposób realizacji obowiązków informacyjnych poprzez podanie podstawowych informacji i odesłanie zainteresowanych do nagranego pełnego komunikatu RODO poprzez wciśnięcie odpowiedniego przycisku.
Pozytywów wciąż jest więcej
Gdybyśmy mieli zatem przygotować rachunek zysków i strat, jakie wiążą się ze stosowaniem w Polsce RODO, odpowiedzielibyśmy, że korzyści przewyższają niedogodności – ale w powszechnym odbiorze społecznym jest dokładnie odwrotnie. Większość mediów, pisząc o ochronie danych, koncentruje się na absurdach, niedogodnościach, a także karach finansowych. O wiele lepiej niż spokojny, merytoryczny artykuł o właściwym sposobie prowadzenia rejestru czynności przetwarzania „sprzedaje się” informacja o tym, że w Niemczech nałożono już 75 kar za RODO, a we Francji ukarano grzywną wielkiego brata – Google.
Sporo czeka nas zatem w Polsce pracy nie tylko na odcinku budowania wiedzy i kompetencji z zakresu RODO, ale także jeśli idzie o społeczny odbiór RODO. Pierwsze skrzypce grać tu będą oczywiście Prezes Urzędu Ochrony Danych Osobowych, ale swój udział będziemy mieć wszyscy: przedsiębiorcy, który publikują na swojej stronie internetowej łatwo dostępny obowiązek informacyjny pisany jasnym, prostym językiem. Banki, które niezwłocznie reagują na nasze prośby o usunięcie naszego telefonu z listy marketingowej. Sklepy internetowe, które o zabezpieczeniu bazy klientów myślą od samego początku. I wreszcie my sami – ludzie pilnujący swoich danych osobowych, korzystający ze swoich praw, potrafiący zwracać uwagę na złe praktyki.
Wciąż jesteśmy na początku drogi do celu, jakim jest zapewnienie bezpieczeństwa danych osobowych, ale niewątpliwie podróżujemy w dobrym kierunku.
Autor: Adam Klimowski, prawnik, JAMANO Sp. z o.o.