25 maja 2018 r. zapamięta wielu z nas. To właśnie tego dnia zaczęły być stosowane przepisy unijnego rozporządzenia 2016/679 o ochronie danych osobowych, zwanego RODO. Dla większości oznaczało to wysyp e-maili i SMS-ów od firm przetwarzających dane osobowe. Przedsiębiorcy mieli jeszcze gorzej – przed tą datą wyznaczali nowe zasady, których powinni przestrzegać pracownicy, aktualizowali regulaminy na stronach internetowych, a czasem zastanawiali się, czy w ogóle jeszcze mogą prowadzić działalność.
Trudno się dziwić powszechnej nienawiści do RODO. "Mandaryni z Brukseli znów postanowili uszczęśliwić nas na siłę" – ten cytat z internetowego forum oddaje powszechny odbiór nowych przepisów. Niewielu zastanawia się, czy wszystkie absurdy, z którymi spotykali się w ostatnich dniach, rzeczywiście wynikają z RODO, czy też ze zwykłej niewiedzy osób, które w nieudolny sposób próbują wdrażać te przepisy. – T mówi Maciej Kawecki, dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji.
– ubolewa Kawecki.
Na portalu społecznościowym:
– Czy ktoś może mi wytłumaczyć, dlaczego moja skrzynka jest zapchana e-mailami o tym, że ktoś przetwarza moje dane osobowe?
– To efekt RODO. Durni urzędnicy z Brukseli coś sobie znów wymyślili.
RODO rzeczywiście wymaga od administratora danych osobowych spełnienia tzw. obowiązku informacyjnego. Chodzi o to, by osoba, której dane są przetwarzane, wiedziała, kto to robi, w jakim celu, do kogo ma się zwrócić, gdy chce zgłosić protest. Ale to nic nowego. W Polsce obowiązek ten istniał od lat i wynikał z wcześniejszej ustawy o ochronie danych osobowych. –– twierdzi dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
Oczywiście są firmy, które wcześniej nie do końca przejmowały się obowiązkami informacyjnymi. Teraz, gdy dowiedziały się o karach w wysokości nawet do 20 mln euro, próbują naprawić swoje zaniechania. Wiele e-maili wysyłanych jest jednak przez administratorów, którzy wcześniej prawidłowo informowali o przetwarzaniu danych. Dlaczego więc teraz robią to nowo? – – przypuszcza Litwiński.
Efekt? Irytacja odbiorców. Czy ktoś z nas zapoznał się ze wszystkimi przesłanymi informacjami? Wątpliwe. Większość je po prostu ignoruje, oczywiście przy okazji klnąc w duchu na to całe unijne RODO.
Rozmowa na korytarzu szkoły:
– Dlaczego pani zdejmuje tabliczkę z nazwiskiem mojej córki spod jej rysunku?
– Bo RODO zabrania nam przetwarzania tych danych bez zgody rodziców.
Dyrektorzy szkół, nauczyciele, rodzice i wreszcie sami uczniowie są zdezorientowani. Ktoś im powiedział (często osoby uznawane za ekspertów) albo też gdzieś przeczytali, że RODO zabrania, by nazwiska uczniów czy przedszkolaków gdziekolwiek widniały. Stąd powszechne zdejmowanie plakietek z nazwiskami pod wywieszonymi na ścianach pracami wychowanków, chowanie statuetek za wygrane w konkursach, zamienianie nazwisk dzieci w szatni na znaczki z symbolami zwierząt czy owoców.
– apeluje Maciej Gawroński, partner zarządzający w kancelarii Gawroński & Partners SKA. – wylicza prawnik.
Oczywiście rodzic ma prawo sprzeciwić się ujawnianiu danych swojego dziecka, bo np. jest osobą publicznie znaną. Nie oznacza to jednak, że od każdego trzeba zbierać osobne zgody na przetwarzanie informacji osobowych. Po prostu – jeśli któryś z rodziców nie życzy sobie, by dane jego dziecka widniały na ścianie w szkole czy przedszkolu, powinien sam to zgłosić. Stosowne postanowienia na ten temat powinny się znaleźć w regulaminie placówki.
To nie koniec absurdów wprowadzanych w placówkach oświatowych pod pozorem RODO. W jednej ze szkół zakazano wywoływania uczniów do tablicy po nazwisku. Gdy zapytałem o to ekspertów zajmujących się ochroną danych osobowych, byli przekonani, że żartuję. –uważa Paweł Litwiński.
Lekarz do pacjenta:
– Proszę podpisać zgodę na przetwarzanie danych osobowych.
– Ale po co?
– Bo inaczej nie będę miał dostępu do wyników pańskich badań z laboratorium.
Popłoch w placówkach medycznych jest powszechny. Zakaz podpisywania kroplówek nazwiskami pacjentów to przykład skrajny. Ale irracjonalnych zachowań jest dużo więcej. Jak choćby to, kiedy lekarz wymaga od pacjenta, by ten podpisał zgodę na przetwarzanie danych wrażliwych, gdy kieruje go na badanie krwi. Ktoś przekonał dyrektora placówki medycznej, że tego właśnie wymaga RODO. Bez podpisu na stosownym formularzu lekarz nie będzie miał dostępu do wyników.
– wyjaśnia Grzegorz Sibiga, adwokat w kancelarii Traple Konarski Podrecki i Wspólnicy oraz kierownik Zakładu Prawa Administracyjnego w Instytucie Nauk Prawnych PAN. –zaznacza.
W wielu placówkach medycznych wprowadzono też zakaz wywoływania pacjentów po nazwiskach. Choć z RODO nie ma to nic wspólnego – pacjenci nie powinni być wzywani do gabinetu po nazwisku, bo zwyczajnie narusza to reguły tajemnicy lekarskiej. Prawo to powinno być jednak respektowane także wcześniej, zanim zaczęto stosować unijne rozporządzenie. Skąd więc (pozytywna) zmiana? Ze strachu przed konsekwencjami, które przewiduje RODO.
Prawdopodobnie to także obawa przed karami sprawia, że w niektórych zakładach opieki zdrowotnej zakazano lekarzom noszenia plakietek z nazwiskami. Tyle że znów nie ma to żadnego uzasadnienia w RODO. – – wyjaśnia Grzegorz Sibiga.
Szef do pracowników:
– Od dzisiaj nie możecie zabierać służbowych laptopów do domu.
– A jak mamy coś do skończenia?
– Nie wiem, ale laptopów nie zabieracie, bo to zabronione przez RODO.
Służbowe komputery przenośne z dnia na dzień stały się stacjonarnymi pecetami. To jeden z częstszych tematów do narzekań wśród pracowników. Nikt nie rozumie, dlaczego nie może wziąć laptopa do domu. Nie wiedzą tego również prawnicy. – mówi Maciej Gawroński.
W wielu firmach pracuje się zdalnie z domu, korzystając z danych zapisanych na serwerach firmy czy nawet zewnętrznych chmurach. Dostęp do nich uzyskuje się za pomocą hasła i szyfrowanego połączenia. I właśnie takie zabezpieczanie laptopów może być sposobem, który umożliwi wynoszenie laptopa z pracy przez pracowników. – podpowiada Gawroński.
Przy okazji RODO odkopano też temat, który wydawał się być przewałkowany na wszystkie możliwe sposoby już przed 20 laty, gdy zaczynały obowiązywać przepisy o ochronie danych osobowych. Mowa o wizytówkach. Na nowo rozgorzały dyskusje, czy je przyjmować, a jeśli tak, to co z nimi robić. Choć brzmi to jak żart, niektórzy na serio rozważają konieczność odbierania zgód na przetwarzanie danych osobowych przed przyjęciem wizytówki.
wyjaśnia Witold Chomiczewski, radca prawny z kancelarii Lubasz & Wspólnicy.
Mówiąc wprost – skoro ktoś nam daje wizytówkę, to oczywiste jest, że godzi się na to, że będziemy przetwarzać jego dane osobowe. Przy czym warto rozróżnić dwie sytuacje. Czym innym jest wzięcie wizytówki do celów osobistych (kontakt w prywatnych sprawach), czym innym do celów związanych z działalnością firmy. Tylko w tym drugim przypadku można mówić o przetwarzaniu danych osobowych i pewnych obowiązkach z tym związanych.
mówi Witold Chomiczewski.
Szafki to zresztą osobny temat. Firmy meblarskie zwietrzyły interes i próbują zarobić na nowych unijnych przepisach. "Szafa zgodna z RODO", "Przygotuj się na RODO, kup bezpieczną szafę na dokumenty" – reklamują się nie tylko w internecie, ale nawet na billboardach. W praktyce szafką "zgodną z RODO" będzie każda zamykana na klucz.
W zakładzie kamieniarskim:
– Chciałbym zamówić z wyprzedzeniem nagrobek dla siebie.
– Oczywiście, ale bez wypisania nazwiska. Rozumie pan, RODO.
Maciej Kawecki z Ministerstwa Cyfryzacji jeździ po Polsce i próbuje wyjaśniać zawiłości RODO. Jak sam mówi, był przygotowany na różne sytuacje, ale niektórych nie był w stanie przewidzieć. W czasie jednego ze spotkań dowiedział się, że z powodu RODO zamknięto cmentarz. Powód? Były na nim nagrobki z nazwiskami jeszcze osób żyjących. Jakiś domorosły ekspert doradził zarządcy, że lepiej nie ryzykować, bo jeszcze mu tysiące euro kar dowalą.
Oczywiście znów można to skwitować jednym słowem: absurd. Ludziom jednak to nie wystarcza. Przecież imię i nazwisko to dane osobowe. To na jakiej podstawie można je umieszczać na nagrobku? – – tłumaczy Grzegorz Sibiga. – – dodaje prawnik.
Na wszelki wypadek warto wspomnieć i o tym, że dane osób zmarłych zostały wprost wyłączone spod RODO, co zapisano literalnie w dwóch motywach tego rozporządzenia.
Klient do pracownika wypożyczalni kajaków:
– Nie spisuje pan moich danych? A jeśli nie wrócę?
– Nie mogę spisać. RODO mi zabrania.
Długi weekend czerwcowy, wypożyczalnia kajaków nad Świdrem. Klienci zdziwieni, że nikt nie spisuje ich danych. Pracownik tłumaczy, że nie może, bo RODO. I opowiada, jak to dzień wcześniej szef musiał 10 km przepłynąć, bo grupa, która wypożyczyła kilka kajaków, nie wróciła do bazy. Telefon, z którego rezerwowano sprzęt, nie odpowiadał. Jak się później okazało, powód był prozaiczny – zatonął w rzece. A turyści zabalowali i dlatego nie wrócili na czas.
Właściciel wypożyczalni, mimo tych doświadczeń, boi się żądać dowodów i spisywać z nich dane klientów. Bo ktoś mu powiedział, że zabrania tego RODO, strasząc przy tym oczywiście wysokimi karami. – wyjaśnia Paweł Litwiński.
Co ciekawe, chodzi nie tylko o uzasadniony interes samego przedsiębiorcy.
– zaznacza dr Paweł Litwiński.
Przepisy RODO nie są łatwe. Sprawę komplikuje to, że mamy do czynienia z rozporządzeniem unijnym, które obowiązuje wprost, ale nakładką na nie jest polska ustawa o ochronie danych osobowych. Trudno się dziwić, że nie tylko mali przedsiębiorcy, ale nawet dyrektorzy dużych szpitali nie mogą się w tym wszystkim połapać. Tym bardziej jednak nie powinni działać intuicyjnie czy też pod wpływem obiegowych opinii. Skutki tego, nie tylko dla nich samych, mogą być opłakane.
Dodatkowym efektem jest obrzydzenie ludziom samego unijnego rozporządzenia. Skoro dyrektor szkoły wierzy w to, że RODO nie pozwala na wywieszenie dyplomów uczniów, to co mają myśleć rodzice? W ten sposób prawo, którego celem jest lepsza ochrona naszej prywatności, już w ciągu kilku pierwszych dni stosowania stało się najbardziej wyśmiewanym aktem unijnym. I raczej nie da się już tego odkręcić.
