Zderzenie z RODO – wywiad dla Rzeczpospolitej
O kłopoty ze stosowaniem RODO eksperci obwiniają nie nowe przepisy, lecz tych, którzy ich nie pojęli. Ale że najwyraźniej mało komu się to udało, w ochronie danych osobowych absurd goni absurd. Nasz ekspert z zakresu danych osobowych radca prawny Ewa Kuczyńska rozmawiała na ten temat z dziennikarzem Rzeczypospolitej. Wywiad ukazał się w dodatku do dziennika Rzeczpospolita Plus Minus nr 150(11090) z dnia 30 czerwca – 1 lipca 2018 r. w artykule Artura Bartkiewicza pn. „Uczeń F19, do tablicy!”. Temat „zderzenia” z RODO okazał się również tematem numeru, któremu poświęcona front page!
Polecamy !
1. Wejście w życie RODO doprowadziło do wielu sytuacji, w których praktyczne zastosowanie nowego prawa o ochronie danych osobowych wydaje się absurdalne. W mediach pojawiły się informacje, że w jednej z kieleckich szkół nauczyciel odczytując listę obecności zamiast imion i nazwisk uczniów wyczytywał tylko ich numery w dzienniku. W jednym ze sklepów ekspedientka miała poprosić klienta, który chciał płacić kartą o podpisanie zgody na przetwarzanie danych osobowych. w szpitalach niektórzy bali się podpisywać narządy do transplantacji imieniem i nazwiskiem dawcy, aby nie złamać nowych przepisów. Czy rzeczywiście RODO aż tak zmieniło nasze życie, czy może jest to nadinterpretacja nowych przepisów?
W związku z wejściem w życie RODO pojawiło się wiele absurdalnych sytuacji wynikających z niewłaściwej interpretacji przepisów. Ze względu na lęk przed karami finansowymi wiele osób zaczęło nadinterpretować przepisy. Przykładem może być odczytywanie przy sprawdzeniu obecności zamiast imion i nazwisk uczniów ich numeru w dzienniku. Nie służy to w żadnym wypadku ochronie prywatności, gdyż uczniowie w klasie znają doskonale swoje imiona i nazwiska, a rozglądając się po klasie są w stanie sami zobaczyć, który z ich kolegów jest nieobecny. Dlatego trudno wyobrazić sobie sytuację w której odczytanie danych ucznia w klasie doprowadziłoby do negatywnych konsekwencji w zakresie ich ochrony.
Również sytuacje z którymi można spotkać się w sklepach, świadczą o złym przygotowaniu ekspedientów do stosowania przepisów RODO. Jeśli ekspedientka prosi klienta o podpisanie zgody na przetwarzanie danych osobowych przy płatności za zakupy kartą, oznacza to że nie ma pojęcia o obowiązujących przepisach. Wyrażenie zgody przez osobę, której dane dotyczą na ich przetwarzanie jest tylko jedną z przesłanek legalizujących. Oprócz niej występują również inne podstawy prawne przetwarzania. W omawianej sytuacji przetwarzanie przez sklep danych z karty będzie niezbędne do wykonania umowy, której stroną jest klient, co legalizuje przetwarzanie.
Kolejną sytuacją mylnej interpretacji przepisów RODO jest obawa przed podpisywaniem narządów do transplantacji imieniem i nazwiskiem dawcy. RODO nie stosuje się do danych osób zmarłych. Dlatego też przy podpisywaniu narządów do transplantacji uzyskanych od osoby zmarłej nie ma się w ogóle nad czym zastanawiać. Jeśli chodzi o transplantację narządów uzyskiwanych od żywych dawców, przetwarzanie danych jest uzasadnione, bo jest niezbędne do celów medycznych.
2. Czy samo imię i nazwisko wypowiedziane publicznie to już wrażliwe dane osobowe podlegające ochronie RODO? Pytam w kontekście służby zdrowia, gdzie w niektórych szpitalach pacjenci są wywoływani tylko po numerkach – więc np. po rejestracji telefonicznej i tak muszą przyjść rano pobrać numerek, aby wejść do lekarza na wskazaną godzinę? W wielu miejscach znalazłem informację, że samo imię i nazwisko – jeśli nie jest to bardzo rzadkie imię i nazwisko – nie stanowi danych osobowych, ponieważ nie umożliwia identyfikacji danej osoby (z powodu dużej liczby osób noszących takie samo imię i nazwisko) stąd zastanawiam się, czy nie jest to przejaw nadmiernej skrupulatności w służbie zdrowia?
To, czy imię i nazwisko będą stanowić dane osobowe będzie zależeć od kontekstu. Samo imię i nazwisko mogą nie stanowić w konkretnym przypadku danych osobowych w rozumieniu RODO, gdyż mogą one nie wystarczać do identyfikacji (wskazania) konkretnej osoby. Tak dzieje się np. w sytuacji, kiedy mamy do czynienia z popularnymi nazwiskami. Jednakże w kolejce do lekarza następuje ujawnienie nie tylko imienia i nazwiska ale powiązanie tych danych z konkretną osobą, która wchodzi do gabinetu. Ponadto, osoby postronne mogą też domyślać się na co ktoś choruje bazując na specjalizacji lekarza, do którego ta osoba się udaje (o ile oczywiście specjalizacja jest ujawniona na drzwiach gabinetu). A to już może rodzić znaczne ryzyka dla prywatności. Oczywiście w przypadku większych miast, w których ludzie nie znają się tak dobrze, głośne wyczytanie imienia i nazwiska danego pacjenta będzie rodziło mniejsze zagrożenia niż w mniejszych miejscowościach.
3. Czy firmy, które dotychczas przetwarzały dane osobowe zgodnie z obowiązującym prawem muszą przesyłać klientom maile na temat przetwarzania ich danych osobowych po wejściu w życie RODO? Czy może to też przejaw nadmiernej gorliwości?
W związku z wejściem w życie RODO znacznemu poszerzeniu uległ zakres informacji, które administrator musi przekazać osobom, których dane dotyczą w szczególności w zakresie ich praw. Dlatego firmy które przetwarzały dotychczas dane zgodnie z obowiązującym prawem powinny spełnić obowiązek informacyjny umieszczając wszystkie wiadomości wymagane na mocy nowych przepisów. RODO nie wskazuje sposobu, w jaki trzeba poinformować osoby o przetwarzaniu ich danych jednak zgodnie z zasadą rozliczalności administrator musi wykazać, że spełnił swoje obowiązki. Dlatego też wysłanie e-maili jest dla administratorów jest jednym z najłatwiejszych sposobów uzyskania potwierdzenia, że spełnili nałożony przez nich obowiązek informacyjny. Alternatywnie, część serwisów internetowych zdecydowała się np. na zamieszczenie tych informacji w wyskakujących okienkach.
4. Co tak naprawdę zmienia RODO w stosunku do stanu prawnego obowiązującego w Polsce przed wejściem w życie tych unijnych przepisów?
Zmianą, której najbardziej obawiają się przedsiębiorcy jest wprowadzenie kar za naruszenie przepisów o ochronie danych. Do tej pory takich kar nie było, a w razie stwierdzenia nieprawidłowości GIODO wydawał decyzję nakazującą wdrożenie odpowiednich środków zaradczych (dopiero niewykonanie takiej decyzji było zagrożone grzywną sankcyjną). Obecnie, obok lub zamiast takich środków zaradczych, firma może otrzymać karę wynoszącą nawet do 20 milionów euro lub do 4 % rocznego obrotu przedsiębiorstwa. Ponadto, RODO zmienia generalne podejście do ochrony danych. Zamiast sztywnych przepisów określających zasady ochrony danych wprowadzono podejście oparte na ocenie ryzyka naruszenia ochrony danych. Każdy z administratorów musi teraz sam ocenić jakie dane przetwarza i dobrać odpowiednie środki ochrony, w zależności od tego czy istnieje małe, czy duże ryzyko. RODO rozszerzyło również katalog praw osób których dane dotyczą, w tym zakres obowiązku informacyjnego. W razie niezgodnego z prawem przetwarzania danych osoby te będą mogły też w łatwiejszy niż dotychczas sposób domagać się odszkodowań.
5. Czy RODO rzeczywiście wymaga od firm inwestycji np. w nowe niszczarki, kraty w oknach, sejfy, etc. jeżeli dotychczas firmy te przetwarzały dane osobowe zgodnie z obowiązującymi przepisami?
RODO nie wskazuje żadnych konkretnych zabezpieczeń, które należy stosować. To administrator danych musi ocenić, czy ryzyko naruszenia danych jest na tyle wysokie, że wymaga inwestycji w specjalistyczny sprzęt. W większości sytuacji odpowiednie będą dotychczasowe środki ochrony. Oczywiście na rynku pojawiło się wiele firm oferujących sprzęt „zgodny z RODO” jednak jest to jedynie działanie marketingowe tych firm, nie mające żadnego oparcia w przepisach i żerujące na nieznajomości prawa przez przedsiębiorców. Często szafa reklamowana jako „zgodna z RODO” nie różni się niczym od zwykłej szafy zamykanej na klucz. Jeśli firma dotychczas dbała o ochronę danych np. stosowała niszczarki, zamykała dokumenty w szafach zamykanych na klucz do których miały dostęp tylko wybrane osoby, w większości przypadków będzie spełniać wymogi RODO. Co innego, gdy dokumenty dotyczące ochrony danych, w żaden sposób nie odzwierciedlają rzeczywistych praktyk. W takiej sytuacji należałoby dostosować praktykę do nowo obowiązujących przepisów.
Zapraszamy do lektury artykułu!