25 maja 2018 r. zapamięta wielu z nas. To właśnie tego dnia zaczęły być stosowane przepisy unijnego rozporządzenia 2016/679 o ochronie danych osobowych, zwanego RODO. Dla większości oznaczało to wysyp e-maili i SMS-ów od firm przetwarzających dane osobowe. Przedsiębiorcy mieli jeszcze gorzej – przed tą datą wyznaczali nowe zasady, których powinni przestrzegać pracownicy, aktualizowali regulaminy na stronach internetowych, a czasem zastanawiali się, czy w ogóle jeszcze mogą prowadzić działalność.
Trudno się dziwić powszechnej nienawiści do RODO. "Mandaryni z Brukseli znów postanowili uszczęśliwić nas na siłę" – ten cytat z internetowego forum oddaje powszechny odbiór nowych przepisów. Niewielu zastanawia się, czy wszystkie absurdy, z którymi spotykali się w ostatnich dniach, rzeczywiście wynikają z RODO, czy też ze zwykłej niewiedzy osób, które w nieudolny sposób próbują wdrażać te przepisy. – Trudno jest mi zliczyć przypadki, w których zła interpretacja unijnych przepisów wprowadziła mnie w osłupienie. I nie mówię tutaj tylko o kierowanych lawinowo do Ministerstwa Cyfryzacji pytaniach o szafy zgodne z RODO, o obowiązek zamieszczania kłódek na szafkach czy rzekomy obowiązek stosowania nakładek na monitory – mówi Maciej Kawecki, dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji.
– Coraz częściej mamy do czynienia z pomysłami, których nie powstydziłby się nawet najlepszy powieściopisarz. Kilka dni temu ktoś nas zapytał, które z przepisów RODO dotyczą przetwarzania danych zwierząt u weterynarza, bo podobno to również są informacje wrażliwe. Inne pytanie dotyczyło zasad wykorzystywania imion i nazwisk osób żyjących, które zamawiają nagrobki. Wreszcie dyrektor jednego ze szpitali zakazał podpisywania imieniem i nazwiskiem kroplówek oraz worków z krwią. Każdą z tych sytuacji łączy jedno – kompletny brak świadomości oraz błędna interpretacja przepisów unijnych, która może rodzić bardzo poważne, negatywne konsekwencje – ubolewa Kawecki.
Na portalu społecznościowym:
– Czy ktoś może mi wytłumaczyć, dlaczego moja skrzynka jest zapchana e-mailami o tym, że ktoś przetwarza moje dane osobowe?
– To efekt RODO. Durni urzędnicy z Brukseli coś sobie znów wymyślili.
RODO rzeczywiście wymaga od administratora danych osobowych spełnienia tzw. obowiązku informacyjnego. Chodzi o to, by osoba, której dane są przetwarzane, wiedziała, kto to robi, w jakim celu, do kogo ma się zwrócić, gdy chce zgłosić protest. Ale to nic nowego. W Polsce obowiązek ten istniał od lat i wynikał z wcześniejszej ustawy o ochronie danych osobowych. – Jeśli nie wszystkie, to z pewnością większość z wysyłanych ostatnio wiadomości nie ma żadnego uzasadnienia. Obowiązki informacyjne należy spełnić przy gromadzeniu danych. Jeśli więc ktoś już je przetwarzał, to znaczy, że powinien spełnić obowiązki wynikające z poprzedniej ustawy o ochronie danych osobowych. RODO w żaden sposób nie każe przesyłać tych informacji na nowo – twierdzi dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
– To efekt RODO. Durni urzędnicy z Brukseli coś sobie znów wymyślili.
RODO rzeczywiście wymaga od administratora danych osobowych spełnienia tzw. obowiązku informacyjnego. Chodzi o to, by osoba, której dane są przetwarzane, wiedziała, kto to robi, w jakim celu, do kogo ma się zwrócić, gdy chce zgłosić protest. Ale to nic nowego. W Polsce obowiązek ten istniał od lat i wynikał z wcześniejszej ustawy o ochronie danych osobowych. – Jeśli nie wszystkie, to z pewnością większość z wysyłanych ostatnio wiadomości nie ma żadnego uzasadnienia. Obowiązki informacyjne należy spełnić przy gromadzeniu danych. Jeśli więc ktoś już je przetwarzał, to znaczy, że powinien spełnić obowiązki wynikające z poprzedniej ustawy o ochronie danych osobowych. RODO w żaden sposób nie każe przesyłać tych informacji na nowo – twierdzi dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
Oczywiście są firmy, które wcześniej nie do końca przejmowały się obowiązkami informacyjnymi. Teraz, gdy dowiedziały się o karach w wysokości nawet do 20 mln euro, próbują naprawić swoje zaniechania. Wiele e-maili wysyłanych jest jednak przez administratorów, którzy wcześniej prawidłowo informowali o przetwarzaniu danych. Dlaczego więc teraz robią to nowo? – Mamy do czynienia z efektem kuli śnieżnej. Przedsiębiorcy, nawet jeśli zostali poinformowani przez swych prawników, że nie ma takiej potrzeby, zaczęli się zastanawiać, dlaczego inni wysyłają. I pewnie część doszła do wniosku, że na wszelki wypadek zrobi to samo – przypuszcza Litwiński.
Efekt? Irytacja odbiorców. Czy ktoś z nas zapoznał się ze wszystkimi przesłanymi informacjami? Wątpliwe. Większość je po prostu ignoruje, oczywiście przy okazji klnąc w duchu na to całe unijne RODO.
Rozmowa na korytarzu szkoły:
– Dlaczego pani zdejmuje tabliczkę z nazwiskiem mojej córki spod jej rysunku?
– Bo RODO zabrania nam przetwarzania tych danych bez zgody rodziców.
Dyrektorzy szkół, nauczyciele, rodzice i wreszcie sami uczniowie są zdezorientowani. Ktoś im powiedział (często osoby uznawane za ekspertów) albo też gdzieś przeczytali, że RODO zabrania, by nazwiska uczniów czy przedszkolaków gdziekolwiek widniały. Stąd powszechne zdejmowanie plakietek z nazwiskami pod wywieszonymi na ścianach pracami wychowanków, chowanie statuetek za wygrane w konkursach, zamienianie nazwisk dzieci w szatni na znaczki z symbolami zwierząt czy owoców.
– Bo RODO zabrania nam przetwarzania tych danych bez zgody rodziców.
Dyrektorzy szkół, nauczyciele, rodzice i wreszcie sami uczniowie są zdezorientowani. Ktoś im powiedział (często osoby uznawane za ekspertów) albo też gdzieś przeczytali, że RODO zabrania, by nazwiska uczniów czy przedszkolaków gdziekolwiek widniały. Stąd powszechne zdejmowanie plakietek z nazwiskami pod wywieszonymi na ścianach pracami wychowanków, chowanie statuetek za wygrane w konkursach, zamienianie nazwisk dzieci w szatni na znaczki z symbolami zwierząt czy owoców.
– Przede wszystkim radziłbym zachować zdrowy rozsądek. Oczywiste jest, że prace dzieci w szkole czy przedszkolu mogą być podpisane imieniem i nazwiskiem, a RODO na pewno tego nie zabrania – apeluje Maciej Gawroński, partner zarządzający w kancelarii Gawroński & Partners SKA. – Jeśli jednak ktoś domaga się analizy prawnej, to oczywiście można ją przeprowadzić. Po pierwsze, to brak podpisu może zostać uznany za naruszenie prawa, a konkretnie autorskich praw osobistych. Każdy utwór, a takim może być nawet rysunek przedszkolaka, musi być oznaczony nazwiskiem lub pseudonimem autora, chyba że ten pragnie pozostać anonimowy. Po drugie, przestrzeń w szkole czy przedszkolu nie jest przestrzenią publiczną. Po trzecie wreszcie, jeśli ktoś już chce na siłę szukać podstawy prawnej z RODO, to można mówić o uzasadnionym interesie zarówno rodziców, jak i szkoły do chwalenia się pracami czy nagrodami uczniów – wylicza prawnik.
Oczywiście rodzic ma prawo sprzeciwić się ujawnianiu danych swojego dziecka, bo np. jest osobą publicznie znaną. Nie oznacza to jednak, że od każdego trzeba zbierać osobne zgody na przetwarzanie informacji osobowych. Po prostu – jeśli któryś z rodziców nie życzy sobie, by dane jego dziecka widniały na ścianie w szkole czy przedszkolu, powinien sam to zgłosić. Stosowne postanowienia na ten temat powinny się znaleźć w regulaminie placówki.
To nie koniec absurdów wprowadzanych w placówkach oświatowych pod pozorem RODO. W jednej ze szkół zakazano wywoływania uczniów do tablicy po nazwisku. Gdy zapytałem o to ekspertów zajmujących się ochroną danych osobowych, byli przekonani, że żartuję. – Oczywiście można silić się na argumenty prawne, takie jak władztwo administracyjne, które sprawuje szkoła nad uczniami, konieczność przetwarzania danych, żeby móc oceniać uczniów, ale tak naprawdę wszystko sprowadza się do jednego: zdrowego rozsądku – uważa Paweł Litwiński.
Lekarz do pacjenta:
– Proszę podpisać zgodę na przetwarzanie danych osobowych.
– Ale po co?
– Bo inaczej nie będę miał dostępu do wyników pańskich badań z laboratorium.
Popłoch w placówkach medycznych jest powszechny. Zakaz podpisywania kroplówek nazwiskami pacjentów to przykład skrajny. Ale irracjonalnych zachowań jest dużo więcej. Jak choćby to, kiedy lekarz wymaga od pacjenta, by ten podpisał zgodę na przetwarzanie danych wrażliwych, gdy kieruje go na badanie krwi. Ktoś przekonał dyrektora placówki medycznej, że tego właśnie wymaga RODO. Bez podpisu na stosownym formularzu lekarz nie będzie miał dostępu do wyników.
– Ale po co?
– Bo inaczej nie będę miał dostępu do wyników pańskich badań z laboratorium.
Popłoch w placówkach medycznych jest powszechny. Zakaz podpisywania kroplówek nazwiskami pacjentów to przykład skrajny. Ale irracjonalnych zachowań jest dużo więcej. Jak choćby to, kiedy lekarz wymaga od pacjenta, by ten podpisał zgodę na przetwarzanie danych wrażliwych, gdy kieruje go na badanie krwi. Ktoś przekonał dyrektora placówki medycznej, że tego właśnie wymaga RODO. Bez podpisu na stosownym formularzu lekarz nie będzie miał dostępu do wyników.
– Lekarz może otrzymywać wyniki badań z laboratorium i nie wymaga to uzyskania żadnej dodatkowej zgody od pacjenta na przetwarzanie danych osobowych. Podstawy prawnej należy szukać w ustawach: o zawodach lekarza i lekarza dentysty oraz o prawach pacjenta i rzeczniku praw pacjenta, które ograniczają tajemnicę zawodową, gdy zachodzi potrzeba przekazania niezbędnych informacji o pacjencie związanych z udzielaniem świadczeń zdrowotnych – wyjaśnia Grzegorz Sibiga, adwokat w kancelarii Traple Konarski Podrecki i Wspólnicy oraz kierownik Zakładu Prawa Administracyjnego w Instytucie Nauk Prawnych PAN. – Inna sytuacja byłaby wtedy, gdyby wyniki pacjenta były wykorzystywane do innych celów niż jego leczenie, np. na potrzeby szerszych badań prowadzonych przez daną placówkę. Wówczas zgoda byłaby wymagana – zaznacza.
W wielu placówkach medycznych wprowadzono też zakaz wywoływania pacjentów po nazwiskach. Choć z RODO nie ma to nic wspólnego – pacjenci nie powinni być wzywani do gabinetu po nazwisku, bo zwyczajnie narusza to reguły tajemnicy lekarskiej. Prawo to powinno być jednak respektowane także wcześniej, zanim zaczęto stosować unijne rozporządzenie. Skąd więc (pozytywna) zmiana? Ze strachu przed konsekwencjami, które przewiduje RODO.
Prawdopodobnie to także obawa przed karami sprawia, że w niektórych zakładach opieki zdrowotnej zakazano lekarzom noszenia plakietek z nazwiskami. Tyle że znów nie ma to żadnego uzasadnienia w RODO. – Pracodawca ma prawo wymagać od pracowników noszenia identyfikatorów. Po to, aby zapewnić właściwy porządek i organizację pracy. Nie potrzeba specjalnej zgody pracowników, wystarczy, aby odpowiednią zasadę wprowadzić do regulaminu pracy. W przypadku lekarzy jest to tym bardziej uzasadnione, że pacjent zwyczajnie ma prawo wiedzieć, kto go leczy – wyjaśnia Grzegorz Sibiga.
Szef do pracowników:
– Od dzisiaj nie możecie zabierać służbowych laptopów do domu.
– A jak mamy coś do skończenia?
– Nie wiem, ale laptopów nie zabieracie, bo to zabronione przez RODO.
Służbowe komputery przenośne z dnia na dzień stały się stacjonarnymi pecetami. To jeden z częstszych tematów do narzekań wśród pracowników. Nikt nie rozumie, dlaczego nie może wziąć laptopa do domu. Nie wiedzą tego również prawnicy. – RODO niczego nie zmieniło. Wynoszenie laptopa z pracy powoduje ryzyko, że zostanie on zgubiony czy ukradziony, a dane osobowe wpadną w niepowołane ręce. Tyle że ryzyko to istniało także przed 25 maja, a i wówczas dane powinny być chronione. Ochrona nie oznacza jednak zakazu wynoszenia laptopów z miejsca pracy – mówi Maciej Gawroński.
– A jak mamy coś do skończenia?
– Nie wiem, ale laptopów nie zabieracie, bo to zabronione przez RODO.
Służbowe komputery przenośne z dnia na dzień stały się stacjonarnymi pecetami. To jeden z częstszych tematów do narzekań wśród pracowników. Nikt nie rozumie, dlaczego nie może wziąć laptopa do domu. Nie wiedzą tego również prawnicy. – RODO niczego nie zmieniło. Wynoszenie laptopa z pracy powoduje ryzyko, że zostanie on zgubiony czy ukradziony, a dane osobowe wpadną w niepowołane ręce. Tyle że ryzyko to istniało także przed 25 maja, a i wówczas dane powinny być chronione. Ochrona nie oznacza jednak zakazu wynoszenia laptopów z miejsca pracy – mówi Maciej Gawroński.
W wielu firmach pracuje się zdalnie z domu, korzystając z danych zapisanych na serwerach firmy czy nawet zewnętrznych chmurach. Dostęp do nich uzyskuje się za pomocą hasła i szyfrowanego połączenia. I właśnie takie zabezpieczanie laptopów może być sposobem, który umożliwi wynoszenie laptopa z pracy przez pracowników. – Narzędzi do szyfrowania dysków nie trzeba nawet kupować, gdyż są wbudowane w nowe wersje systemów operacyjnych. Dla większości danych takie zabezpieczenia w zupełności wystarczą. Trzeba jedynie stworzyć w firmie sensowną politykę haseł, żeby nagle nie okazało się, że sam przedsiębiorca nie może dostać się do danych – podpowiada Gawroński.
Przy okazji RODO odkopano też temat, który wydawał się być przewałkowany na wszystkie możliwe sposoby już przed 20 laty, gdy zaczynały obowiązywać przepisy o ochronie danych osobowych. Mowa o wizytówkach. Na nowo rozgorzały dyskusje, czy je przyjmować, a jeśli tak, to co z nimi robić. Choć brzmi to jak żart, niektórzy na serio rozważają konieczność odbierania zgód na przetwarzanie danych osobowych przed przyjęciem wizytówki.
– Oczywiście, że nic takiego nie jest wymagane. Zgodą będzie tu sam fakt wręczenia wizytówki w określonej sytuacji. Przesłanką legalizacyjną może też być, w przypadku potencjalnych kontrahentów, podjęcie działań zmierzających do zawarcia umowy – wyjaśnia Witold Chomiczewski, radca prawny z kancelarii Lubasz & Wspólnicy.
Mówiąc wprost – skoro ktoś nam daje wizytówkę, to oczywiste jest, że godzi się na to, że będziemy przetwarzać jego dane osobowe. Przy czym warto rozróżnić dwie sytuacje. Czym innym jest wzięcie wizytówki do celów osobistych (kontakt w prywatnych sprawach), czym innym do celów związanych z działalnością firmy. Tylko w tym drugim przypadku można mówić o przetwarzaniu danych osobowych i pewnych obowiązkach z tym związanych.
Mówiąc wprost – skoro ktoś nam daje wizytówkę, to oczywiste jest, że godzi się na to, że będziemy przetwarzać jego dane osobowe. Przy czym warto rozróżnić dwie sytuacje. Czym innym jest wzięcie wizytówki do celów osobistych (kontakt w prywatnych sprawach), czym innym do celów związanych z działalnością firmy. Tylko w tym drugim przypadku można mówić o przetwarzaniu danych osobowych i pewnych obowiązkach z tym związanych.
– Wizytówki zawierają dane osobowe i należy je chronić. RODO tak naprawdę wręcz uelastyczniło zasady bezpieczeństwa związane z nimi. Wcześniej sposoby zabezpieczeń wynikały wprost ze stosownego rozporządzenia krajowego, dzisiaj każdy sam może zdecydować, jakie środki podejmie, by odpowiadały one na rzeczywiste ryzyka. Ja trzymam wizytówki w biurku, w zwykłej szafce zamykanej na klucz – mówi Witold Chomiczewski.
Szafki to zresztą osobny temat. Firmy meblarskie zwietrzyły interes i próbują zarobić na nowych unijnych przepisach. "Szafa zgodna z RODO", "Przygotuj się na RODO, kup bezpieczną szafę na dokumenty" – reklamują się nie tylko w internecie, ale nawet na billboardach. W praktyce szafką "zgodną z RODO" będzie każda zamykana na klucz.
W zakładzie kamieniarskim:
– Chciałbym zamówić z wyprzedzeniem nagrobek dla siebie.
– Oczywiście, ale bez wypisania nazwiska. Rozumie pan, RODO.
Maciej Kawecki z Ministerstwa Cyfryzacji jeździ po Polsce i próbuje wyjaśniać zawiłości RODO. Jak sam mówi, był przygotowany na różne sytuacje, ale niektórych nie był w stanie przewidzieć. W czasie jednego ze spotkań dowiedział się, że z powodu RODO zamknięto cmentarz. Powód? Były na nim nagrobki z nazwiskami jeszcze osób żyjących. Jakiś domorosły ekspert doradził zarządcy, że lepiej nie ryzykować, bo jeszcze mu tysiące euro kar dowalą.
– Oczywiście, ale bez wypisania nazwiska. Rozumie pan, RODO.
Maciej Kawecki z Ministerstwa Cyfryzacji jeździ po Polsce i próbuje wyjaśniać zawiłości RODO. Jak sam mówi, był przygotowany na różne sytuacje, ale niektórych nie był w stanie przewidzieć. W czasie jednego ze spotkań dowiedział się, że z powodu RODO zamknięto cmentarz. Powód? Były na nim nagrobki z nazwiskami jeszcze osób żyjących. Jakiś domorosły ekspert doradził zarządcy, że lepiej nie ryzykować, bo jeszcze mu tysiące euro kar dowalą.
Oczywiście znów można to skwitować jednym słowem: absurd. Ludziom jednak to nie wystarcza. Przecież imię i nazwisko to dane osobowe. To na jakiej podstawie można je umieszczać na nagrobku? – Mam duże wątpliwości, czy w tym kontekście w ogóle można mówić o przetwarzaniu danych osobowych podlegającym przepisom RODO. Owszem, są to dane osobowe, ale ani nie znajdują się, ani nie mogą znaleźć w żadnym zbiorze, nie są też w sposób automatyczny przetwarzane – tłumaczy Grzegorz Sibiga. – Gdyby jednak nawet ktoś uznał to za przetwarzanie danych, to jest ono oczywiście dopuszczalne i w pełni zgodne z prawem. Wykonanie nagrobka z danymi jest bowiem niezbędne dla realizacji umowy z klientem, który go sobie zamówił – dodaje prawnik.
Na wszelki wypadek warto wspomnieć i o tym, że dane osób zmarłych zostały wprost wyłączone spod RODO, co zapisano literalnie w dwóch motywach tego rozporządzenia.
Klient do pracownika wypożyczalni kajaków:
– Nie spisuje pan moich danych? A jeśli nie wrócę?
– Nie mogę spisać. RODO mi zabrania.
Długi weekend czerwcowy, wypożyczalnia kajaków nad Świdrem. Klienci zdziwieni, że nikt nie spisuje ich danych. Pracownik tłumaczy, że nie może, bo RODO. I opowiada, jak to dzień wcześniej szef musiał 10 km przepłynąć, bo grupa, która wypożyczyła kilka kajaków, nie wróciła do bazy. Telefon, z którego rezerwowano sprzęt, nie odpowiadał. Jak się później okazało, powód był prozaiczny – zatonął w rzece. A turyści zabalowali i dlatego nie wrócili na czas.
– Nie mogę spisać. RODO mi zabrania.
Długi weekend czerwcowy, wypożyczalnia kajaków nad Świdrem. Klienci zdziwieni, że nikt nie spisuje ich danych. Pracownik tłumaczy, że nie może, bo RODO. I opowiada, jak to dzień wcześniej szef musiał 10 km przepłynąć, bo grupa, która wypożyczyła kilka kajaków, nie wróciła do bazy. Telefon, z którego rezerwowano sprzęt, nie odpowiadał. Jak się później okazało, powód był prozaiczny – zatonął w rzece. A turyści zabalowali i dlatego nie wrócili na czas.
Właściciel wypożyczalni, mimo tych doświadczeń, boi się żądać dowodów i spisywać z nich dane klientów. Bo ktoś mu powiedział, że zabrania tego RODO, strasząc przy tym oczywiście wysokimi karami. – Unijne rozporządzenie niczego tu nie zmieniło. Przedsiębiorca wypożyczający kajaki nadal ma podstawy prawne, aby żądać podania danych przez osoby chcące skorzystać z jego usług. I to nie jedną, ale nawet dwie. Pierwsza to realizacja umowy świadczenia usługi. Druga to uzasadniony interes – wyjaśnia Paweł Litwiński.
Co ciekawe, chodzi nie tylko o uzasadniony interes samego przedsiębiorcy.
Co ciekawe, chodzi nie tylko o uzasadniony interes samego przedsiębiorcy.
– Oczywiście w jego interesie jest posiadanie danych, które umożliwią mu ewentualne roszczenia, np. w przypadku zaginięcia kajaka. Równie ważne, o ile nie ważniejsze, jest jednak bezpieczeństwo samych klientów. Gdyby nie wrócili na czas, może powiadomić odpowiednie służby o tym, kto zaginął – zaznacza dr Paweł Litwiński.
Przepisy RODO nie są łatwe. Sprawę komplikuje to, że mamy do czynienia z rozporządzeniem unijnym, które obowiązuje wprost, ale nakładką na nie jest polska ustawa o ochronie danych osobowych. Trudno się dziwić, że nie tylko mali przedsiębiorcy, ale nawet dyrektorzy dużych szpitali nie mogą się w tym wszystkim połapać. Tym bardziej jednak nie powinni działać intuicyjnie czy też pod wpływem obiegowych opinii. Skutki tego, nie tylko dla nich samych, mogą być opłakane.
Dodatkowym efektem jest obrzydzenie ludziom samego unijnego rozporządzenia. Skoro dyrektor szkoły wierzy w to, że RODO nie pozwala na wywieszenie dyplomów uczniów, to co mają myśleć rodzice? W ten sposób prawo, którego celem jest lepsza ochrona naszej prywatności, już w ciągu kilku pierwszych dni stosowania stało się najbardziej wyśmiewanym aktem unijnym. I raczej nie da się już tego odkręcić.