RODO wchodzi w życie
Nasz rząd i parlament ostatnio przyspieszyły w kwestii RODO po długich miesiącach bezczynności. 16 maja Senat przyjął bez poprawek przegłosowaną kilka dni wcześniej w Sejmie "Ustawę o ochronie danych osobowych". Do Sejmu rząd wysłał jej projekt pod koniec marca. Na dniach zapewne - przed 25 maja, kiedy zacznie obowiązywać RODO - nowe prawo trafi na biurko prezydenta, który zakończy proces legislacji, składając podpis pod dokumentem. Nowe przepisy zaczną działać, jednak niestety nie oznacza to, że wszystko jest już jasne i implementacja RODO w Polsce zakończyła się sukcesem.
Opóźnienie w przyjęciu przepisów powoduje, że opóźnia się też wypracowanie określonych praktyk w stosowaniu przepisów RODO zawiera ono wiele ogólnych pojęć i nowych rozwiązań, które muszą zostać zweryfikowane w życiu.
Niestety, państwo niewiele tu pomaga. Istniejący np. poradnik dla przedsiębiorców przygotowany przez Ministerstwo Cyfryzacji jest bardzo ogólny i brakuje w nim odpowiedzi na wiele szczegółowych pytań. Ma ledwie 18 stron, "zawiera odpowiedzi na najczęściej zadawane pytania dotyczące wdrażania przepisów RODO w sektorze prywatnym i publicznym" i co gorsza, jak w nim zapisano, "nie stanowi wiążącej interpretacji przepisów".
Zachodnie odpowiedniki naszego obecnego GIODO nie tylko publikują praktyczne rozwiązania kwestii związanych z RODO, ale nawet wzory klauzul, które można bezpośrednio zastosować.
Wdrożenie RODO nie jest łatwe i przyjemne
Przykładem jest chociażby pozyskiwanie danych poprzez korespondencję mailową czy wizytówki. - W świetle regulacji RODO, jeżeli pracownik firmy przyjmie wizytówkę lub otrzyma maila, oznacza, że jego firma stanie się administratorem danych osobowych. A to rodzi dodatkowe obowiązki - będzie musiała miedzy innymi powiadomić wręczającego wizytówkę lub przesyłającego maila o sposobie przetwarzania jego danych osobowych i celach ich wykorzystania - zauważa Łukasz Rdzeń.
Powyższa kwestia, na pozór absurdalna, w praktyce niesie dla przedsiębiorców realne ryzyko naruszania wymogów RODO.
- Dobrze byłoby, gdyby cały rynek otrzymał w tym zakresie jasne wytyczne - dodaje Łukasz Rdzeń.
Brak przepisów sektorowych
- 25 maja nie będzie przepisów sektorowych. Miały one ułatwić stosowanie RODO w wielu branżach, np. w bankowości, w ubezpieczeniach, w kancelariach prawnych i spółkach medycznych. Niezbędne są tutaj dodatkowe regulacje, które wymagają zmian w około 200 ustawach. Mają być wprowadzone jedną nowelizacją, nad którą pracuje jeszcze Sejm i która raczej wcześniej niż po wakacjach nie zostanie uchwalona. Pojawiają się także głosy, że ma się to wydarzyć jeszcze w lipcu - tłumaczy Łukasz Rdzeń, radca prawny z Kancelarii Counsels specjalizującej się między innymi w problematyce ochrony danych osobowych.
A to oznacza, jego zdaniem, że wiele firm przez co najmniej kilka miesięcy dalej nie będzie wiedziało, jak prowadzić działalność zgodnie z regulacjami RODO.
A problemów, które nadal wymagają doprecyzowania jest mnóstwo. Dość powiedzieć, że istniejący już projekt ustawy wprowadzającej ustawę o ochronie danych osobowych liczy ponad 170 stron.
Casus prawnika
Przepisy z RODO nie mogą być automatycznie stosowane np. w kancelariach prawnych. Wyobraźmy sobie, że w kancelarii prawnej pojawia się klient z tekstem testamentu. Chce go podważyć, szuka prawnika, który mu w tym pomoże. W tekście testamentu są wymieni wszyscy spadkobiercy.
Prawnik, przygotowując się do podważenia testamentu, będzie w jakiś sposób przetwarzał te dane osobowe
- RODO nakazuje mu więc powiadomić o tym fakcie osoby, do których one należą. Ale to przecież może kłócić się z interesem klienta - on nie chce, by spadkobiercy zbyt szybko dowiedzieli się o planowanych przez niego działaniach prawnych. To wszystko powinno być doprecyzowane w przepisach sektorowych, które niestety nie są jeszcze uchwalone - wyjaśnia Łukasz Rdzeń.
A co ma zrobić Kowalski?
- Brak jednoznacznych przepisów przewidzianych w RODO łączyć też należy z dodatkowymi zapytaniami czy informacjami, które przysyłają do nas ostatnio np. duże serwisy internetowe - mówi Łukasz Rdzeń.
Portale chcą, byśmy zgodzili się na przetwarzanie przez nie naszych danych osobowych. - Często taką zgodę wyraziliśmy już wcześniej. Firmy nie są jednak pewne, czy te zgody i obowiązki informacyjne jakie wykonywali na gruncie ustawy o ochronie danych osobowych, spełniają warunki RODO. Dlatego przysyłają nam je raz jeszcze - tłumaczy Łukasz Rdzeń.
W praktyce oznacza to więc, że w większości wypadków, jak wyrazimy zgodę, portal będzie nam dalej świadczył te same usługi, co teraz, bez żadnych zmian.
- Może się jednak zdarzyć, że poza pytaniem o zgodę na przetwarzanie naszych danych osobowych w celu np. dalszego wyświetlania nam informacji dnia łącznie z dedykowanymi reklamami lub obsługi skrzynki pocztowej, pojawi się dodatkowe pytanie o to, czy wyrażamy zgodę na przekazywanie naszych danych innym podmiotom lub poszerzone zostaną cele, w jakich administrator będzie te dane przetwarzać. A to np. może spowodować, że częściej niż do tej pory będziemy otrzymywali reklamy w e-mailach lub sms-ach - mówi Łukasz Rdzeń.
W praktyce więc, kiedy zobaczymy na ekranie komputera lub smartfona kolejne pytanie o to, czy zgadzamy się na przetwarzanie danych osobowych w związku z wejściem w życie RODO, przeczytajmy uważnie, na co się zgadzamy lub nie. I wyraźmy zgodę tylko na te czynności, które są faktycznie niezbędne do tego, by interesujące nas usługi były nam nadal świadczone.
Szczególnie ostrożni bądźmy w sytuacji, gdy w okienku pytania pojawia się pole na dodatkowy e-mail, numer naszego telefonu lub inną identyfikującą nas informację.
Tekst pochodzi z blogu "Giełda i gospodarka.pl".
