Minął rok z RODO, a niewiadomych wciąż sporo

Po czternastu miesiącach doświadczeń z nowymi zasadami ochrony danych osobowych mogłoby się wydawać, że to wystarczający czas na oswojenie się z nimi. Tymczasem wątpliwości, jakie wywołała wysoka kara nałożona przez organ nadzoru, pokazują, że jeszcze sporo miesięcy upłynie, zanim dopracujemy się jednolitego interpretowania prawa w tej dziedzinie.  

Straszenie i niepewność – trudne początki RODO

Początki nie były łatwe, pełne nawet absurdów. W wielkim zamieszaniu towarzyszącym wprowadzaniu jednolitych norm przetwarzania danych osobowych w całej Unii Europejskiej (UE) jedni nagle całkowicie stracili orientację, a inni poczuli zew, by szkolić, radzić i polecać te czy inne rozwiązania. To rzecz jasna przerysowany obraz oswajania się z nowymi wymaganiami narzuconymi unijnym rozporządzeniem w sprawie ochrony danych, niemniej wszyscy dobrze pamiętamy, jak nerwowo reagowano na sam dźwięk jego skróconej nazwy – RODO.

Niestety, przysłużyli się do tego wspomniani eksperci, a w zasadzie pseudoeksperci, którzy strasząc wysokimi karami za naruszanie nowych przepisów, potrafili swoim potencjalnym klientom wmawiać, że jeśli nie przejdą u nich odpowiedniego kursu i nie zastosują wskazywanych rozwiązań, narażą się na przykre konsekwencje ze strony organu nadzoru. Ten zaś przestrzegał przed takimi działaniami, prostował, że przepisy od nikogo nie wymagają uczestnictwa w jakimkolwiek szkoleniu (ani płatnym, ani darmowym) czy wdrożenia ściśle określonych metod działania, ale jego apele nie zawsze skutkowały – lęk przed „nowym”, a w zasadzie przed bardzo dotkliwą karą, przesłaniał nierzadko racjonalne podejście do wprowadzonego prawa. To rewolucja – wołano. To ewolucja – tonował organ. To nowe obowiązki – kwitowali przedsiębiorcy.

RODO to rewolucja czy ewolucja

To, co należało w UE, w tym w Polsce wdrożyć do 25 maja 2018 r., kiedy ustawa o RODO weszła w życie, rewolucją nie było. Ochrona danych osobowych już wcześniej doczekała się prawnych regulacji, w naszym kraju miała ponad 20-letnią historię. Przed rokiem nie zmieniły się jej główne założenia – że czyjeś dane osobowe można pozyskać w określonym celu, za zgodą, bez nieuprawnionego ich udostępniania innym i że każda osoba ma prawo wszystko odwołać, co należy wykonać „bez pytania”. Czy RODO to zmieniło?

Niewątpliwie RODO przysporzyło podmiotom wykorzystującym dane osobowe w swojej działalności więcej obowiązków niż wcześniejsze regulacje. Z jednej strony dało swobodę w wyborze metod zabezpieczania takich danych i procedur służących ochronie prywatności, z drugiej wskazało zasady, których w tych celach należy dochować. Jednocześnie jednak dało do zrozumienia, że dla łamania nowych wymagań nie ma pobłażania – kara finansowa może wynieść aż 20 mln euro lub 4 proc. wartości rocznego światowego obrotu przedsiębiorstwa. Z kolei nowa polska ustawa o ochronie danych osobowych (konieczna dla praktycznego stosowania niektórych przepisów RODO), która weszła w życie również 25 maja ubiegłego roku, dodatkowo wskazała, że poszkodowani na skutek nieprzestrzegania nowych reguł mają prawo dochodzić roszczeń przed sądem, na drodze cywilnej.

Większa świadomość „materii”

Rozszerzonym obowiązkiem informacyjnym wobec osób, których dane są przetwarzane, wzmocniono ich świadomość co do przysługujących im praw (dostępu do własnych danych, do sprzeciwu, wycofania zgody, żądania usunięcia ze wszystkich zasobów, czyli tzw. prawa do zapomnienia, do skargi) i wiedzy o tym, kto i do czego określony podmiot je wykorzystuje, jak długo i przede wszystkim na jakiej podstawie, a także z kim się kontaktować w tych sprawach. Jednocześnie wprowadzono regułę minimalizacji, czyli pozyskiwania tylko tego rodzaju danych, które są niezbędne do realizacji celu, czyli nie zbierania ich na wyrost bez potrzeby. Duże firmy zobowiązano do dokumentowania czynności przetwarzania danych i oceny ich skutków.

W rozporządzeniu wskazano także, w jakich przypadkach naruszenia ochrony danych należy w ciągu 72 godzin zgłosić organowi nadzoru, a w jakich nie jest to konieczne, i co powinno się uczynić wobec osób, których taka sytuacja dotyczy (więcej o tym w artykule: https://goodpoint.blog/wyciekna-dane-osobowe/)

Obowiązek informacyjny

To wymóg, aby poinformować (w sposób zwięzły, przejrzysty i zrozumiały) osoby, których dane są pozyskiwane o:

  • tożsamości podmiotu i danych kontaktowych,
  • tożsamości i danych kontaktowych przedstawiciela,
  • danych kontaktowych inspektora ochrony danych,
  • celu przetwarzania danych osobowych oraz podstawie prawnej przetwarzania,
  • prawnie uzasadnionym interesie realizowanym przez administratora lub przez stronę trzecią,
  • odbiorcach danych osobowych lub o kategoriach odbiorców,
  • zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
  • okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu,
  • prawach, które przysługują danej osobie,
  • prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (jeżeli przetwarzanie odbywa się na podstawie wcześniej udzielonej zgody),
  • prawie wniesienia skargi do organu nadzorczego,
  • tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
  • zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu.

Problemy z określeniem procedur

Łatwo z wdrożeniem RODO nie było chociażby dlatego, że wprowadziło ono nowy katalog informacji, które należy przekazać ludziom w chwili pozyskania od nich danych i uzyskania zgody na ich przetwarzanie. Tymczasem wiele podmiotów już takie zgody posiadało, rodziło się więc pytanie, czy muszą ponownie o nie wystąpić, czy wystarczy przekazać osobom z posiadanych zbiorów uzupełniające informacji o ich uprawnieniach. Przedsiębiorcy często byli „w kropce”, bo inne wytyczne w tej kwestii serwował resort cyfryzacji (autor polskich przepisów), inne UODO, a jeszcze inne unijny ustawodawca. Problemy sprawiała też forma spełnienia obowiązku informacyjnego, szczególnie tym firmom, które o zgodę na przetwarzanie danych proszą w rozmowach telefonicznych i zwracają uwagę, że powiedzenie klientowi wszystkiego, czego wymaga prawo może być dla obu stron uciążliwe i zbyt długotrwałe. W przypadku takich wątpliwości radzono stosować system warstwowy, czyli po przedstawieniu najważniejszych informacji, kierować do pełnych opracowań, ze wskazaniem miejsca, czyli np. określonej zakładki na stronie internetowej.

Czy zawsze potrzebna ta zgoda

Przedsiębiorcy mieli i mają też kłopot z ustaleniem podstawy przetwarzania danych osobowych. Niektórym wydaje się, że to jest zgoda i tylko zgoda, albo przepis prawa, który w określonych branżach wręcz nakazuje pozyskania takich danych. Podnoszą więc, że w niektórych sytuacjach ich brak wiąże im ręce i utrudnia realizację pewnych przedsięwzięć. Prawodawcy przewidzieli jednak, że nie wszystko da się uregulować paragrafami.

Resort cyfryzacji odsyła do RODO, które dopuszcza przetwarzanie danych osobowych, jeżeli istnieje do tego prawnie uzasadniony interes. Jest to legalne, jeśli cel jest zgodny z prawem i operacje wykonywane na danych nie godzą w interesy, prawa i wolności osób, których dotyczą.

Warto tu dodać, że według ekspertów, wszystkie podstawy przetwarzania danych osobowych są jednakowo ważne, przy czym na prawnie uzasadniony interes należy powoływać się głównie wtedy, gdy jest w danej sytuacji jedyną możliwą i odpowiednia podstawą. Przykład? Przechowanie CV kandydatów do pracy po zakończonej rekrutacji – tych, których nie zatrudniono. Kodeks pracy takiej sytuacji nie przewiduje, a wręcz wymaga usunięcia danych osób, którym nie dano etatu. Pracodawcy zwracają uwagę, że gdy osoba przyjęta do pracy nie sprawdzi się w okresie próbnym, byłoby znakomicie móc sięgnąć do listy jej wcześniejszych konkurentów, by znaleźć nowego pracownika w jej miejsce. Niestety, wymóg likwidacji takiego zbioru oznacza konieczność przeprowadzenia całej akcji rekrutacyjnej od podstaw, co trwa i kosztuje. Według ministerstwa, w takich przypadkach przedsiębiorca mógłby z uwagi na prawnie uzasadniony interes zachować część CV kandydatów przez czas czy to odpowiadający okresowi próbnemu, czy takiemu, w którym można spodziewać się ewentualnych roszczeń osób, mających zastrzeżenia do trybu prowadzonej rekrutacji.

 Kodeksy dobrych praktyk

O tym, że ochrona danych osobowych to niełatwa w praktyce, ale zarazem bardzo ważna, materia, świadczyć może też to, że RODO przewiduje opracowanie w poszczególnych państwach branżowych kodeksów postępowania. Obecnie takie prace trwają w sektorach zatrudnienia, bankowym, marketingu, telekomunikacji, zdrowia.

Niewątpliwie, po rocznych doświadczeniach z nowymi regulacjami w tej dziedzinie, takie kodeksy dobrych praktyk są konieczne. Będą zatwierdzane przez prezesa UODO, a stosujący je administratorzy danych uzyskają większą pewność co do przestrzegania prawa.

Jedno jest pewne – RODO nadal będzie się rozwijać i aktualizować o kolejne prawa i obowiązki, zarówno osób przetwarzających dane jak i tych, których dane są przetwarzane. Przedsiębiorcy, którzy nie chcą narazić swoich firm na bajońskie kary za naruszenie przepisów o ochronie danych muszą być na bieżąco ze wszystkimi zmianami dotyczącymi rozporządzenia. W związku z powyższym zachęcamy Państwa do pobrania bezpłatnego e-booka „ROK Z RODO”, w którym można znaleźć:

  • Żelazne zasady RODO (krótkie przypomnienie)
  • Nowe przepisy (o pakiecie zmian wprowadzonych 4 maja w 162 ustawach)
  • Kontrole i postępowanie o naruszenie przepisów przed UODO (czyli omówienie procedur)
  • Plan tegorocznych kontroli w różnych sektorach
  • Pierwsze kary nałożone przez prezesa UODO
  • Brexit i co dalej
  • Wypowiedzi ekspertów RODO

Materiał można pobrać poprzez poniższy formularz:

Pola oznaczone* są obowiązkowe.

Wielkość zatrudnienia w Twojej firmie*

* Wyrażam zgodę na przetwarzanie przez UNIT4 Polska sp. z o.o. z siedzibą we Wrocławiu, przy ul. Powstańców Śląskich 7A, przekazanych przeze mnie danych osobowych, w następujących celach: wysyłanie newslettera Good Point, marketing, w tym utrzymywanie kontaktu, przesyłanie propozycji zawarcia nowych umów lub świadczenia kolejnych usług, przesyłanie informacji handlowych drogą elektroniczną, przez Unit4 Polska sp. z o.o. jako administratora przekazanych danych osobowych.
Potwierdzam jednocześnie, że zostałem poinformowany o dobrowolności wyrażenia zgody na przetwarzanie danych osobowych w odniesieniu do każdego z celów ich przetwarzania, o prawie do wycofania zgody w dowolnym momencie oraz o zgodności z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Więcej informacji o przetwarzaniu danych osobowych pod linkiem Polityka prywatności

Pola oznaczone* są obowiązkowe.

*Wyrażam zgodę na przetwarzanie przez UNIT4 Polska sp. z o.o. z siedzibą we Wrocławiu,przy ul. Powstańców Śląskich 7A, przekazanych przeze mnie danych osobowych, w celach marketingowych, w tym w celu utrzymywania kontaktu, przesyłania propozycji zawarcia nowych umów lub świadczenia kolejnych usług przez UNIT4 Polska sp. z o.o. jako administratora przekazanych danych osobowych. Potwierdzam jednocześnie, że zostałem poinformowany o dobrowolności wyrażenia zgody na przetwarzanie danych osobowych w odniesieniu do każdego z celów ich przetwarzania, o prawie do wycofania zgody w dowolnym momencie oraz o zgodności z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Więcej informacji o przetwarzaniu danych osobowych pod linkiem Polityka prywatności

X
Pobierz darmowy e-book i poznaj 3 kroki, by zarządzać efektywnością pracowników
Tak, chcę wiedzieć więcej