Rok z RODO

W Polsce, 10 maja 2018 roku, została wprowadzona ustawa o ochronie danych osobowych (Dz. U. 2019 poz. 730 ze zm.). Zmiany w niej zawarte obejmowały, m.in. powołanie Urzędu Ochrony Danych Osobowych (UODO), który zastąpił dotychczasowego Generalnego Inspektora Ochrony Danych Osobowych (GIODO), uregulowanie postępowania w sprawie naruszeń oraz procedury wyznaczania Inspektorów Ochrony Danych, jak również zmiany w przepisach obowiązujących. Te najistotniejsze dotyczyły nowelizacji Kodeksu Pracy. Wprowadzono przepisy prawa, które stanowią podstawę prowadzenia monitoringu wizyjnego oraz monitoringu poczty elektronicznej przez pracodawców (odpowiednio art. 222 i art. 223 Kodeksu Pracy) oraz warunki jego legalności (zmiany w układzie zbiorowym pracy lub regulaminie, zamieszczenie klauzuli informacyjnej itd.).

Przyjrzyjmy się zatem z jakimi problemami przyszło się nam zmierzyć w dziedzinie ochrony danych osobowych od tego czasu.

Klauzule informacyjne

Pierwszą kwestią, która wymagała większej uwagi było opracowanie właściwych klauzul informacyjnych. Obowiązek opracowania takich klauzul nakłada na przedsiębiorców art. 13 RODO. Jest to o tyle istotne, że klauzule te stanowią bardzo często jedyne źródło wiedzy osoby, której dane dotyczą o tym kto i w jaki sposób przetwarza jej dane osobowe. Jednak nie zawsze ich przygotowanie jest łatwe. W wielu przypadkach był to pierwszy moment, w którym firmy przyglądały się temu jakie konkretnie dane osobowe przetwarzają, czy wszystkie z tych danych są im niezbędne oraz w jaki sposób są zabezpieczone. Przygotowanie takiej klauzuli również nie zawsze jest proste. Należy pamiętać, że odmienny zakres informacji będzie zawierała klauzula w przypadku zbierania danych od osoby, której dane dotyczą, a inny w przypadku pozyskania danych, np. od osoby trzeciej. Odmiennie kształtują się również prawa osób, których dane dotyczą zależnie od podstawy ich przetwarzania. Kwestia spełnienia obowiązku informacyjnego stała się jeszcze bardziej palącym problemem po podaniu przez Urząd Ochrony Danych Osobowych do publicznej wiadomości w dniu 26 marca 2019 roku informacji o pierwszej karze za jego niedopełnienie. Na spółkę która przetwarzała dane osób pozyskane ze źródeł publicznie dostępnych, m.in. z Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEiDG) i przetwarzała je w celach zarobkowych, została nałożona kara pieniężna w wysokości ponad 943 tys. złotych. Pojawiły się wtedy głosy, które zarzuciły UODO zbyt surowe podejście w przedmiocie sprawy oraz brak wystarczającego uzasadnienia prawnego wydanej decyzji.

Zgody

Jednym z najbardziej problematycznych obszarów związanych ze stosowaniem RODO jest kwestia pozyskiwania zgód na przetwarzanie danych osobowych. Po pierwsze dlatego, że obserwujemy trend aby zgody pobierać w każdym możliwym przypadku, nawet wtedy gdy istnieją inne podstawy przetwarzania danych . Zjawisko to doczekało się nawet swojego określenia i nazywane jest „zgodozą”. Podmioty, które przetwarzają dane powinny pamiętać, że osoba fizyczna może taką zgodę wycofać. Rodzi to pytanie, czy wtedy nadal mogą oni przetwarzać dane osoby, która wycofała zgodę pomimo tego, że mają inne podstawy przetwarzania danych, jak chociażby przepis prawa czy wykonywanie umowy? Zbieranie zgód „na zapas” nie spowoduje, że przetwarzający dane będzie bardziej zgodny z prawem, a wręcz przeciwnie - wywoła to u osoby, której dane dotyczą mylne poczucie, że w przypadku wycofania zgody, jej dane nie będą już dłużej przetwarzane. W wielu przypadkach problem stanowią również zgody nieprecyzyjnie sformułowane, łączące wiele zgód w jednej lub zgody zbudowane w modelu „opt-out” zamiast „opt-in”, czyli wymuszające sprzeciw osoby, której dane dotyczą na przetwarzanie jej danych w sytuacji, gdy osoba tego nie chce.

Obsługa zapytań

Stanowi znaczący problem zwłaszcza w dużych przedsiębiorstwach, które przetwarzają dane osobowe na dużą skalę. Co prawda, najczęściej mają one powołanego Inspektora Danych Osobowych, który udziela odpowiedzi na wnioski osób, których dane dotyczą, jednak niekiedy jest ich tak wiele, że musiały powstać w tym celu całe wyspecjalizowane działy. Samą obsługę zapytań trzeba było ująć w budżecie jako stały punkt na kolejne lata. Czas na udzielenie odpowiedzi na wnioski osób, których dane dotyczą wynosi miesiąc, a odpowiedzieć trzeba na każde zapytanie, chociażby odpowiedź miała brzmieć, że żadne dane osoby zgłaszającej wniosek nie były nigdy przez tego przedsiębiorcę przetwarzane. Stanowi to pole do nadużyć i masowej wysyłki nieuzasadnionych wniosków, także przez podmioty, które znalazły w tym wizję szybkiego zarobku i straszące przedsiębiorców zgłoszeniem skargi do Urzędu Ochrony Danych Osobowych.

RODO ciągle w ruchu

Biorąc pod uwagę jak RODO zmieniło podejście do zarówno litery prawa, jak i jej ducha, w najbliższym czasie możemy spodziewać się dalszych interpretacji, decyzji i zmian legislacyjnych, a co za tym idzie nowych wyzwań. RODO zmieniło filozofię ochrony danych osobowych. W odróżnieniu od poprzednich regulacji, RODO nie określa wprost w jaki sposób podmioty mają zapewnić zgodność z jego przepisami. Jak czytamy w preambule tego aktu: Szybki postęp techniczny i globalizacja przyniosły nowe wyzwania w dziedzinie ochrony danych osobowych. Skala zbierania i wymiany danych osobowych znacząco wzrosła. Technologia zmieniła gospodarkę (…), równocześnie zaś powinna zapewniać wysoki stopień ochrony danych osobowych. Aby sprostać temu wyzwaniu RODO musiało zostać napisane w sposób elastyczny, nadążający za pojawiającymi się nowymi technologiami. Niestety nie sprawdzi się już podejście zgodnie z którym wystarczyło w maju 2018 roku zakupić do firmy „Pakiet RODO” i w ten sposób zapewnić sobie spokój na najbliższe kilka lat. Podmioty przetwarzające dane osobowe zobligowane są do ciągłej kontroli obiegu danych w firmie i śledzenia wydawanych w tej materii interpretacji.

Ewa Boboli, Kancelaria Rachelski i Wspólnicy
Absolwentka Wydziału Prawa i Administracji Uniwersytetu Warszawskiego. Specjalizuje się w ochronie danych osobowych – RODO, kredytach pseudo - frankowych oraz obsłudze podmiotów branży e-commerce. Aplikant przy Okręgowej Izbie Radców Prawnych w Warszawie.