"Czas Świecia": Już od ponad dwóch tygodniżyjemy w stanie prawnym zakreślonym przez RODO. Czy nasze życie rzeczywiście wywróciło się do góry nogami?
Mec. Marlena Słupińska-Strysik: RODO nie jest aktem prawnym, który wywracałby naszą rzeczywistość o 180 stopni. To zmiana prawa, która wynika z postępu technologicznego i zmian w świecie, który nas otacza. Żyjemy w czasach, w których informacja jest jednym z najcenniejszych towarów, a prywatność jednym z najdonioślejszych dóbr wymagających ochrony.
Czym właściwie jest RODO?
- To rozporządzenie unijne określające zasady przetwarzania danych osobowych. Zostało ono przyjęte już w 2016 r., ale dopiero od 25 maja br. jego przepisy powinny być stosowane. Jako rozporządzenie unijne ma pierwszeństwo przed polskimi ustawami.
Skoro zostało przyjęte już w 2016 r., to dlaczego wywołuje tyle emocji?
- Po pierwsze z uwagi na powszechne opóźnienia w jego wdrażaniu w przedsiębiorstwach. Nie jest bowiem tajemnicą, że wiele firm - i to nie tylko tych najmniejszych - nie zdążyło przygotować się do RODO. Wielu przedsiębiorców dopiero zaczyna interesować się tym tematem. Po drugie nowe prawo jest bardzo enigmatyczne. RODO napisane jest takim językiem, że trudno o jego jednoznaczną wykładnię. W tym zakresie niestety daleko mu do ustawy o ochronie danych osobowych z 1997 r., która była o wiele bardziej precyzyjna. Trzecim powodem jest ważkość regulowanej materii. Systemy informatyczne, internet i media społecznościowe mają coraz większy wpływ na nasze życie. RODO, jako akt prawny regulujący właśnie te obszary, stanie się jednym z najczęściej stosowanych praw.
Jakie praktyczne skutki wdrożenia RODO mogą odczuć nasi czytelnicy?
- Już odczuli. Jeśli korzystają z poczty elektronicznej, to na pewno zauważyli dziesiątki wiadomości informujących o zasadach przetwarzania danych osobowych u ich nadawców. Jeśli zaś korzystają z internetu, to z pewnością zauważyli, że na większości portali regularnie pojawiają się wyskakujące okienka proszące ich o wyrażenie zgody na zbieranie dodatkowych informacji o użytkownikach w celu dostosowania treści do preferencji czytelników. I tu wchodzimy w bardzo delikatny temat profilowania użytkowników internetu.
Czym jest profilowanie?
- Przed wdrożeniem RODO rzadko mówiło się o tym, że administratorzy większości stron internetowych wykorzystują zaawansowane narzędzia analityczne do gromadzenia i przetwarzania wielu danych o użytkownikach. Wykorzystują w tym celu adresy IP komputerów oraz tzw. pliki cookies. Adres IP to swoista wizytówka komputera w sieci. Dzięki niemu można m.in. poznać lokalizację użytkownika. Natomiast pliki cookies (ang. ciasteczka) to pliki instalowane na twardych dyskach naszych komputerów przez narzędzia analityczne stron, które odwiedzamy. Wszystkie te mechanizmy pozwalają administratorom stron na dokładne określenie, jak zachowujemy się w sieci, z jakich systemów operacyjnych korzystamy, na jakich urządzeniach pracujemy, skąd trafiliśmy na stronę itp. Istnieją nawet narzędzia pozwalające na określenie dokładnie w które miejsca na stronie klikamy (tzw. mapy cieplne). Wszystko to buduje unikalny obraz użytkownika w internecie, przez co tak naprawdę nie jesteśmy anonimowi. Jeśli zaś na tej podstawie administrator strony podejmuje w stosunku do użytkownika zautomatyzowane decyzje, to mówimy o wspomnianym profilowaniu.
Czy profilowanie stanowi aż taki problem?
- To zależy jak bardzo anonimowi pragniemy się czuć w internecie. W praktyce istotą profilowania nie jest bowiem "dopasowanie tekstów do naszych preferencji", lecz jak najlepsze poznanie użytkownika i usprawnienie działań marketingowych. To zaś nosi znamiona bardzo nierównej walki, w której użytkownik często nie zdaje sobie sprawy, że jest właśnie nakłaniany do zakupu jakiegoś towaru lub usługi.
Czy akceptowanie zgód na profilowanie w takich wyskakujących okienkach jest konieczne?
- Absolutnie nie. Wyrażenie zgody zawsze powinno być wyrazem naszej dobrej woli, natomiast bez tego typu zgody strona internetowa może normalnie funkcjonować. Zgoda na profilowanie jest jedynie wisienką na torcie dla administratora takich danych. Zresztą, o to właśnie chodzi w RODO, aby administratorzy zbierali jedynie te dane osobowe, które są im rzeczywiście potrzebne. Jeśli administrator danych będzie zbierał nieproporcjonalnie więcej danych niż potrzebuje, może spotkać go kara.
Na razie dużo uwagi poświęcamy internetowi, a przecież przetwarzanie danych odbywa się także poza siecią.
- Zgadza się, niemniej sposób, w jaki przetwarzane są dane w sieci, jest wyjątkowy, a do tego masowy. Dzisiaj prawie każdy korzysta z internetu - od małych dzieci aż po emerytów. I to właśnie te grupy często nie zdają sobie sprawy, że są podglądane przez zarządców stron internetowych i niejednokrotnie manipulowane. W tym zakresie RODO otacza szczególną opieką dzieci. Przetwarzanie danych małoletnich, także w internecie, będzie wymagało zgody rodziców. Jest to bardzo szlachetny przepis, ale szalenie trudny do wdrożenia. Jak bowiem zweryfikować w internecie, że zgody rzeczywiście udzielił rodzic?
To rzeczywiście wydaje się kłopotliwe.
- Tymczasem problemów jest więcej. Kolejne grupy, które wdrożenie RODO mogą odczuć szczególnie mocno, stanowią lekarze i. pacjenci. Klasyką gatunku jest już dowcip mówiący o podbiegającym do umierającego pacjenta lekarzu, który nie może podjąć się reanimacji z uwagi na przepisy o ochronie danych osobowych. Tego typu opowieści możemy włożyć między bajki, niemniej prawdą jest, że RODO szczególną troską otoczy dane o naszym stanie zdrowia. Przetwarzanie tego typu danych zasadniczo jest zabronione. Oczywiście od zasady znajdują się wyjątki, m.in. gdy wyrazimy na to zgodę, gdy jest to niezbędne do ochrony naszych żywotnych interesów albo w celach medycyny pracy.
Podobno z drzwi gabinetów lekarskich mają zniknąć tabliczki z oznaczeniem specjalizacji.
- Rzeczywiście były takie pomysły. I w niektórych sytuacjach jest to zasadne. Czasami już sam fakt, że odwiedzamy lekarza danej specjalizacji, może być dla nas krępujący i możemy nie życzyć sobie, by pozostali pacjenci o tym wiedzieli.
Lekarzy odwiedzamy nie tylko w dużych szpitalach, ale i w małych, lokalnych przychodniach.
- I tu pojawia się problem, ponieważ RODO może zaatakować lekarzy i przychodnie medyczne ze strony, której zupełnie się nie spodziewają. Otóż administratorzy danych muszą prowadzić dane zgodnie z tzw. zasadą rozliczalności, a więc w taki sposób, by móc zawsze udowodnić, że przetwarzanie miało miejsce zgodnie z prawem. A tymczasem przy ratowaniu zdrowia i życia nietrudno o błąd w związku z wykonywaniem przepisów RODO. Łatwo też o wyciek danych. Tego typu niedokładności mogą zaś wrócić jak bumerang ze strony pacjentów, w postaci roszczeń. Do tej pory lekarze zwykle obawiali się odpowiedzialności cywilnej za błędy medyczne. Teraz dochodzi do tego ryzyko nieprawidłowego przetwarzania danych.
Będzie można pozwać lekarza za nieprzestrzeganie RODO?
- Nie tylko lekarza, ale i każdego administratora. Placówki medyczne mogą mieć o tyle trudniej, że wyciek danych o stanie zdrowia może łatwiej skłonić do takiego powództwa. To przecież bardzo wrażliwe dane. Niemniej z tym ryzykiem muszą liczyć się wszyscy administratorzy. W przeszłości pozwanie administratora za niezgodne z prawem przetwarzanie danych osobowych wydawało się mało realne. Tymczasem RODO tworzy do tego celu specjalne instrumenty. Proszę zauważyć, że RODO wprowadza m.in. tzw. prawo do przenoszenia danych. Oznacza to, że pacjent może zażądać, aby jego dokumentacja medyczna została przeniesiona do innej placówki medycznej albo. od razu do kancelarii prawnej. Jestem przekonana, że na rynku niedługo pojawią się podmioty same oferujące tego typu usługi. I proszę nie pytać, skąd będą brać dane takich osób.
Przecież za bezprawne przetwarzanie danych przewidziane zostały drakońskie kary?
- Kary są bardzo wysokie, mogą sięgać nawet 20 mln euro lub 4 proc. rocznego światowego obrotu przedsiębiorstwa. Tego typu kary będą jednak wymierzane w wielkie korporacje, często o międzynarodowym wymiarze. Tymczasem mali i średni przedsiębiorcy mogą liczyć na o wiele łagodniejsze potraktowanie. Mówi się, że w pierwszych miesiącach obowiązywania RODO kary za jego nieprzestrzeganie mają stanowić zdecydowaną rzadkość. Z czasem Urząd Ochrony Danych Osobowych powinien się rozkręcić. Dochody z kar mają bowiem stanowić dochód budżetu państwa. Wnioski nasuwają się więc same.
Jednak widmo kar jest też często wykorzystywane przez naciągaczy działających "na RODO".
- Mieliśmy w Polsce falę oszustw "na wnuczka", teraz mówi się o oszustwach "na RODO". Chodzi o praktyki, w których niektóre firmy konsultingowe domagają się od przedsiębiorców skorzystania z ich pomocy we wdrażaniu RODO. W przeciwnym wypadku zawiadomią odpowiednie organy, co może skutkować wysokimi karami. To przecież szantaż!
Jak zachować się w takiej sytuacji?
- Przede wszystkim nie ulegać emocjom i nie korzystać z takich usług.
Jak więc powinno wyglądać prawidłowe wdrożenie RODO w przedsiębiorstwie?
- Zawsze powinno się zacząć od rzetelnego audytu i ustalenia, jakie dane, w jakim charakterze są przetwarzane. Powinno się także ocenić, co dzieje się z tymi danymi, a więc komu je udostępniamy, komu powierzamy do przetwarzania, a także czy wysyłamy te dane poza Unię Europejską. Ważne jest także z jakich systemów komputerowych korzystamy oraz jak postępujemy z dokumentami zawierającymi dane. W ramach takiego audytu ważne są także kwestie kadrowe. Powinno się więc ustalić, czy pracodawca nie przetwarza więcej danych o pracownikach, niż jest to mu niezbędne. Po audycie przystępuje się do analizy umów o powierzenie przetwarzania danych, które spływają do firmy. W nich szuka się zapisów, które regulują obowiązki przedsiębiorcy. Często przeprowadza się także tzw. ocenę skutków bezpieczeństwa danych, a więc ćwiczenie ilustrujące ryzyko związane z przetwarzaniem danych w firmie. Dopiero w takim stanie rzeczy przystępuje się do przygotowywania odpowiednich procedur, wzorów rejestrów i dalszych umów o powierzenie przetwarzania danych. Zaś na końcu powinno się przeszkolić pracowników. Na nic zdadzą się najlepsze procedury, jeśli nie zbuduje się świadomości.
Czy w małych firmach wszystkie powyższe czynności także są konieczne?
- Niestety tak, ale mogą być przeprowadzone w mniejszym zakresie. Inaczej będzie wyglądało wdrożenie RODO u przedsiębiorcy zatrudniającego 80 osób, monitorującego hale produkcyjne, zatrudniającego pracowników z Ukrainy i weryfikującego ruch w wewnętrznych sieciach komputerowych, a inaczej w małych często jedno- lub kilkuosobowych firmach. W przeciwieństwie do poprzedniej ustawy, w RODO chodzi bowiem o to, aby zmusić przedsiębiorców do refleksji nad procesem przetwarzania danych i nie pokazywać im gotowych rozwiązań. Twórcy RODO uznali bowiem, że nawet najlepsze rozwiązania przewidziane w aktach prawnych bardzo szybko tracą na aktualności, gdyż nie nadążają za zmieniającą się technologią. Dlatego RODO nie mówi o tym, jakie środki techniczne mamy stosować, ale jaką metodologię pracy przyjąć, aby odpowiednio zabezpieczyć dane w firmie.
To wydaje się bardzo rozsądnym podejściem.
- Rozsądnym, ale bywa też przekleństwem. RODO miało być bowiem bardzo elastyczne, a przy okazji zostało napisane bardzo nieprecyzyjnym językiem. Niemal w każdym przepisie tego aktu znajdują się niejednoznaczne wyrażenia, które pozwalają na różne interpretacje. Dotyczy to nawet tak kardynalnych zapisów, jak ten mówiący o obowiązku powołania w firmie inspektora ochrony danych. To bulwersujące. Tam, gdzie prawodawca przewiduje wysokie sankcje, powinien się także zatroszczyć o precyzyjne sformułowanie przepisów, aby pozwolić obywatelom tych sankcji uniknąć.
Czyli można pokusić się o tezę, że RODO bardziej odczują przedsiębiorcy, niż skorzystają z niego zwykli ludzie.
- Na pewno jest w tej tezie wiele prawdy. Niemniej musimy pamiętać, że RODO dotyczy o wiele szerszej kategorii adresatów, nie tylko przedsiębiorców. Jedynym wyjątkiem od obowiązku stosowania RODO, który realnie wpływa na nasze życie, jest przetwarzanie danych osobowych przez osoby fizyczne w ramach czynności o czysto osobistym lub domowym charakterze. Jeśli więc przetwarzamy dane osobowe wyłącznie na prywatne potrzeby i to w celach niezarobkowych, to nie musimy obawiać się RODO. Spokojnie możemy więc gromadzić numery telefonów w naszych aparatach, adresy e-mail w skrzynce pocztowej, dane o urodzinach przyjaciół w notatnikach czy wreszcie możemy korzystać z portali społecznościowych. Jeśli jednak gromadzimy dane osobowe w zakresie działalności naszego przedsiębiorstwa, fundacji, stowarzyszenia czy innego podmiotu lub zwyczajnie w związku z naszą działalnością zarobkową, to mamy potencjalny problem z RODO. Podobnie rzecz się ma z większością urzędów, które także podlegają pod przepisy RODO.
W ostatnim czasie sporo osób obawia się podawać własne dane osobowe z uwagi na przepisy RODO. Czy słusznie?
- Nie dajmy się zwariować. Pamiętajmy, że cały czas to my jesteśmy właścicielami naszych danych osobowych i w większości przypadków to my decydujemy, czy umożliwiamy innym podmiotom ich przetwarzanie. Tytułem przykładu, udzielając państwu tego wywiadu, godzę się na przetwarzanie przez państwa moich danych osobowych w postaci imienia i nazwiska, a także mojego zawodu. Natomiast godząc się na wykonanie fotografii, wyraziłam zgodę na przetwarzanie mojego wizerunku. RODO niczego w tej materii nie zmieniło. Administrator nadal, podobnie jak w poprzednim stanie prawnym, może przetwarzać dane osobowe, ilekroć ich właściciel wyrazi na to zgodę.
Co więc stanowi najważniejszą zmianę wprowadzoną przez RODO?
- Mimo wszystko najważniejsza zmiana dotyczy podejścia do kwestii ochrony danych. Do tej pory omawiana materia była traktowana poważnie głównie przez banki, instytucje finansowe i największe przedsiębiorstwa posiadające tzw. działy compliance. Teraz mówią o tym wszyscy. Kiedyś przeczytałam w bardzo dobrej książce, że dwoma ulubionymi słowami każdego z nas są nasze imię i nazwisko. Na skutek RODO zdajemy sobie sprawę, że te słowa - podobnie jak i inne dane, które nas dotyczą - mają wymierną wartość. I to nie tylko dla nas samych. Dlatego RODO tworzy wytyczne, jak należy obchodzić się z danymi osobowymi. Tworzy także mechanizmy umożliwiające nam dochodzenie swoich praw - zarówno na drodze administracyjnej, jak i cywilnej. Pamiętajmy jednak, aby nie dać się porwać panice. RODO jest bowiem aktem, który ma nas wspierać w walce z silniejszymi od nas podmiotami, a nie sabotować nasze codzienne życie.
RED
Każdy, kto chciałby zaproponować zagadnienie do cotygodniowej rubryki "Mamy prawo", może zadzwonić do redakcji lub przesłać je e-mailem. Z prawnikiem można umówić się na darmową poradę podczas dyżuru w Świeciu (16 czerwca). Należy zadzwonić pod nr: 509 113 302 (więcej na slupinska.eu).