RODO, rozporządzenie dotyczące ochrony danych osobowych, funkcjonuje we wszystkich krajach Unii od 25 maja. Dzięki nowym przepisom informacje, które są przetwarzane o każdym z nas muszą być lepiej chronione. Firmy, którym przekażą dane nie mogą ich swobodnie przekazywać.
Rozporządzenie przewiduje surowe kary dla tych, którzy ochronę danych zaniedbują. Nie jest też, zdaniem wielu, napisane prostym językiem. Przepisy budzą respekt, sprawiły, że do ochrony danych osobowych firmy i urzędy zaczęły podchodzić z należytą ostrożnością. Niestety, czasami jest ona zbyt daleko posunięta co doprowadza do wielu absurdów.
Jak donosi "Rzeczpospolita" po wejściu w życie przepisów RODO pracownicy skarbówek częściej odmawiają udzielania informacji przez telefon. Jedna z czytelniczek próbowała w ten sposób dowiedzieć się czegoś o zwrocie podatku PIT za zeszły rok. Chciała podać numer PESEL, dowodu osobistego. Urzędnik pozostał jednak nieugięty i powołując się na RODO poprosił o wizytę osobiście.
Według jednego z ekspertów podobne problemy spotykane są w innych urzędach, a nawet sądach. Można nawet mówić o psychozie spowodowanej RODO.
O opinię w tej sprawie spytaliśmy prawników: Justynę Ryter i Erwina Ryter, z Kancelarii Prawnej Ryter prowadzącej serwis RODO Ekspert. Na pytanie "Czy RODO jest podstawą by odmówić informacji przez telefon czy wystarczy identyfikacja PESELEM" uzyskaliśmy następującą odpowiedź.
To zależy o jaki zakres informacji chodzi, tj. czy informacji odnoszącej się do tzw. danych zwykłych czy danych szczególnego rodzaju, jak np. stanu zdrowia. Dla Urzędu Skarbowego, który ma udzielić podatnikowi telefonicznej informacji na temat zwrotu nadpłaconego podatku, a zatem informacji kwalifikującej się jako dane osobowe zwykłe wprawdzie sam nr PESEL może nie być daną wystarczającą do identyfikacji, ale w połączeniu z innymi ściśle dotyczącymi danej osoby informacjami, takimi jak numer telefonu do kontaktu, data urodzenia, czy nazwisko rodowe matki powinien wystarczyć do prawidłowej weryfikacji rozmówcy i uprawniać do udzielenia odpowiedzi przez telefon.
Justyna Ryter wyjaśniła też, że załatwienie prostych spraw przez telefon nie powinno być problemem - istnieją bowiem techniczne możliwości weryfikacji.
Skoro podatnik udostępnił US swój numer telefonu, z którego następnie się kontaktuje i dodatkowo jest odpowiednio zweryfikowany przez urzędnika, nie powinno być odmowy udzielenia informacji tylko ze względu na RODO. W dobie obecnej techniki i nieustannego życia w pośpiechu trudno sobie wyobrazić, aby za każdym razem trzeba było dojeżdżać osobiście do urzędu w celu uzyskania prostej informacji.
Małgorzata Spychała-Szuszczyńska, rzecznik prasowy Izby Administracji Skarbowej w Poznaniu, stwierdziła w przesłanym nam komentarzu, że sytuacja podatników się nie zmieniła.
Wejście w życie przepisów RODO nie wpłynęło zasadniczo na możliwość uzyskania indywidualnych informacji przez telefon. Z uwagi na przepisy ustawy Ordynacja Podatkowa dotyczące tajemnicy skarbowej, tą drogą nie były i nie są udzielane informacje o charakterze indywidualnym.
- stwierdziła.
Powołując się na RODO władze Ustki wyłączyły kamery pokazujące niektóre z atrakcji turystycznych - przy pomniku Syrenki Usteckiej na falochronie wschodnim, na Promenadzie Nadmorskiej, przy ławeczce Ireny Kwiatkowskiej na Promenadzie Nadmorskiej. Kamery pozwalały na przesyłanie "na żywo" pozdrowień przez internet.
Kamery wyłączono, bo RODO zalicza wizerunek do tzw. danych biometrycznych.
Musieliśmy wyłączyć te kamery, bo wiąże się to z nowymi przepisami, które zaliczają wizerunek do tzw. danych biometrycznych, czyli szczególnie chronionych. Z tego względu musieliśmy wyłączyć m.in. kamerę przy syrence, czego bardzo żałujemy, bo była to bardzo popularna kamera
- wyjaśnia Eliza Mordal z usteckiego ratusza cytowana przez Radio Gdańsk.
Gdyby władze Ustki chciały bardzo restrykcyjnie stosować przepisy pod taką kamerą powinna znaleźć się tabliczka informacyjna z odpowiednią klauzulą. Każdy, kto jest nią filmowany musiałby wyrazić pisemną zgodę. Ze względów technicznych jest to jednak niemożliwe.
Prawnik Justyna Ryter spytana przez nas, czy władze Ustki miały podstawy prawne, by wyłączyć niektóre kamery, odpowiedziała.
Tak, władze Ustki miały zarówno taką podstawę, jak i obowiązek chcąc postępować zgodnie z wymogami
I wyjaśniła powody takiego stanowiska.
RODO wprost się wyraża na temat możliwości przetwarzania danych osobowych szczególnego rodzaju, do których zalicza się również geometrię twarzy, czyli wizerunek osoby. W tych okolicznościach trudno sobie wyobrazić, jak technicznie miałoby wyglądać wyrażenie zgody przez osobę, która korzysta z takiej formy wakacyjnej uciechy w momencie, kiedy RODO nakłada obowiązek uzyskania pisemnej zgody na przetwarzanie tych danych. Jak widać nie ma rozwiązań idealnych, a te, które wprowadziło RODO w zakresie przetwarzania danych biometrycznych, radykalnie ingerują także w różnego rodzaju atrakcje, których usunięcie ze względu na konieczność ochrony danych osobowych niekoniecznie przysparza osobom fizycznym zadowolenia.
Kamer, które służą tylko do monitoringu wyłączać w obawie przed RODO nie trzeba. Muszą być jednak opatrzone informacją: kto prowadzi monitoring i w jakim celu.
Najjaskrawszym przykładem pierwszego z przypadków jest sytuacja, w której szpital nie chce przez telefon udzielić informacji o stanie zdrowia bliskiej osoby. O tego typu przypadkach zrobiło się głośno w czerwcu, kiedy na Zakopiance doszło do wypadku autokaru. Rodzice poszkodowanych dzieci przez telefon nie mogli dowiedzieć się do jakiej jednostki mają jechać.
Szpitale powoływały się w tej sytuacji na RODO. Według Macieja Kaweckiego, eksperta Ministerstwa Cyfryzacji, który zajmuje się koordynacją nowego rozporządzenia, RODO nie ma w tym wypadku zastosowania. Artykuł 9 rozporządzenia zezwala bowiem na przetwarzanie danych osobowych, gdy niezbędne jest to dla ochrony żywotnych interesów osoby, której dotyczą lub osoby, która nie może wyrazić zgody na ich przetwarzanie.
Warto podkreślić, że nie ma tu reguły. Analizowane przez nas przypadki wskazują, że szpitale podchodzą w różny sposób od kwestii udzielania informacji.
Przez RODO część szpitali wprowadza też inne zmiany: nie wiesza kart przy łóżkach pacjentów, nie podpisuje kroplówek nazwiskiem, ani opasek, które noszą osoby starsze lub nieprzytomne.
Maciej Kawecki, koordynator ds RODO w Ministerstwie Cyfryzacji, skomentował niektóre z tych sytuacji w rozmowie z Rzeczpospolitą.
Doszliśmy do wniosku, zakładając, że to stanowisko robocze, że na zwykłych salach osób chorych nie powinno być kart przy łóżkach chorych. W przypadku SOR-ów, oddziałów, gdzie bezpośrednio ratuje się życie, tam ta karta jest bardzo potrzebna, bo czasami o czyimś życiu decyduje sekunda.
Nowe przepisy doprowadzają też do absurdalnych sytuacjach w aptekach. Zdarza się bowiem, że farmaceuta pomyli się wydając leki. W szczególnie groźnych przypadkach swój błąd próbuje naprawić dzwoniąc do pacjenta. W tym celu chce uzyskać numer telefonu od przychodni lub szpitala. Zdarza się, że trafia na mur.
Szpitale twierdzą że nie mogą udostępniać danych medycznych pacjentów aptekarzom, bo przepisy wyraźnie regulują komu takie informacje można przekazywać. Farmaceutów na liście podmiotów nie ma. Eksperci Urzędu Ochrony Danych Osobowych podkreślają jednak, że rozporządzenie RODO pozwala dane przekazać. Bo mogą być one przetwarzane, kiedy chodzi o ochronę interesu, który ma istotne znaczenie dla zdrowia i życia osoby, której dane dotyczą. Sytuacja, w której pomylono lek, jest właśnie taka.
O tym, że RODO może być podstawą do odmowy przyjęcia telefonu do naprawy przekonał się klient jednej z polskich sieci komórkowych. Usłyszał on w salonie, że serwis możne odmówić naprawy jeśli z telefonu nie usunięto danych. Dlaczego? Bo , bo serwis nie chce być administratorem danych zgodnie z nowymi przepisami RODO.
Serwis odmówił przyjęcia sprzętu do naprawy przez RODO Fot. Niebezpiecznik
I w tym wypadku doszło do niezrozumienia przepisów. Unijne rozporządzenie nie ma tu bowiem zastosowania. Prawdą jest, że przed wysłaniem telefonu do serwisu dane powinny być z niego zgrane. Jak poinformował nas przedstawiciel jednej z firm zajmujących się naprawą urządzeń standardową procedurą jest instalowanie systemu od nowa. Nie chodzi tu więc o RODO, ale o to, by użytkownik nie miał pretensji o wykasowane dane.
Naprawa urządzenia może być też utrudniona, kiedy firma, która je sprzedała przestała istnieć. Jeden z użytkowników routera TP-LINK usłyszał, że jego sprzęt nie zostanie przyjęty do serwis. Konsultant zapomniał jednak dodać, że jeżeli klient udzieli odpowiedniej zgody, to naprawa jednak będzie możliwa. W tym wypadku intencje firmy były dobre, jednak procedury niedoskonałe.
Nowe przepisy sprawiają też, że kurierzy nie chcą zostawiać paczek u sąsiadów, kiedy nie zastaną adresata w domu. Już przed wejściem RODO przekazanie przesyłki było ryzykowne, bo w końcu widnieją na niej nasze dane osobowe. Wejście rozporządzenia sprawiło jednak, że firmy kurierskie boją się kar, które sięgać mogą nawet 25 tys. euro. Dlatego też zostawienie paczki u sąsiada, ochroniarza, kolegi z pracy może wymagać odpowiedniej zgody.
Piotr Richert, z firmy serwisu KurJerzy.pl, potwierdził, że docierają do niego sygnały iż coraz więcej kurierów wymagana pisemnego lub SMS-owego upoważnienie do pozostawienia przesyłki np. u sąsiada bądź w recepcji budynku. Wielu przewoźników woli też po prostu zostawić awizo.
Opisywaliśmy też przypadki, w których RODO utrudnia zamawianie taksówki. Do naszej redakcji zgłosiła się czytelniczka, którą spotkała dość niecodzienna sytuacja przy podróży taksówką. Wsiadając do pojazdu została spytana o imię, co sprawiło, że poczuła się lekko skrępowana.
Informacje zweryfikowaliśmy w kilku firmach taksówkarskich. Okazało się, że faktycznie - niektóre korporacje boją się identyfikować klientów po nazwisku - wolą, by ci używali specjalnych kodów. Podstawą do takiej procedury są obawy związane z RODO.
Nowe rozporządzenie skłoniła kierujących niektórymi placówkami oświatowymi do daleko posuniętej ostrożności. W niektórych szatniach zniknęły naklejki z imieniem i nazwiskiem. Nauczyciele wywoływali dzieci do tablicy po numerze w dzienniku. I w tym wypadku ostrożność wynika ze strachu przed łamaniem przepisów. Przedstawiciele Ministerstwa Cyfryzacji nie mają w ogóle wątpliwości, że opisywane przypadki nie podlegają nowemu rozporządzeniu.
Nawet czynność tak trywialna jak uzyskanie faktury za zakupiony towar może być problemem. Taką sytuację opisała znana blogerka Kataryna, która w jednym sklepów nie mogła pozostawić swoich danych potrzebnych do wystawienia faktury. Powód? RODO.
Kolejnym przykładem na to, że przepisy nowego rozporządzenia można wprowadzać ze zbytnią gorliwością jest sprawa jednego z cmentarzy, który na początku czerwca został zamknięty dla odwiedzających. Powód? Na niektórych nagrobkach znajdują się dane osób żyjących. Groby podlegają bowiem rezerwacji, wtedy też są oznaczane imieniem i nazwiskiem. RODO cmentarzu jednak nie dotyczy. Po pierwsze osoby nieżyjące nie są z definicji osobami fizycznymi. Z kolei osoby żyjące, których dane znajdują się na zarezerwowanych nagrobkach, zawierają odpowiednią umowę w tym celu.
RODO zmieniło też kwestię publikowania informacji o udzielanych sakramentach. W internecie mogą być one publikowane wyłącznie za zgodą zainteresowanych. W tradycyjnych publikacjach tylko wtedy, jeśli te są przeznaczone do użytku wewnętrznego.
Jedyne czego RODO nie zmienia to publikacja tzw. zapowiedzi. Informacja o tym, że osoby o danym imieniu i nazwisku pochodzące z danej parafii chcą się pobrać muszą być udostępniane publicznie. Wynika to z prawa kanonicznego.
Problemów, które niesie ze sobą wdrażanie RODO jest więcej. Jeden z ekspertów opisał nam sytuację pacjentki, która nie mogła otrzymać od swojego ginekologa zaświadczenia o tym, że jest w ciąży. Powodem był strach przed tym, że wypisując dokument w nieodpowiedni sposób narazi się na karę. Ostatecznie dokument udało się wystawić, ale dopiero po poradzie prawnej.
Podobne kłopoty miewają księgowi, pracownicy odpowiadający za kadry - w codziennej pracy zdarzają im się sytuacje, w których obawa przez złamaniem RODO utrudnia wystawienie standardowego do tej pory dokumentu.
Z powyższych przykładów jasno wynika jedno: wiele branż ma problemy ze stosowaniem RODO. Potwierdza to dr Maciej Kawecki, koordynator RODO w Ministerstwie Cyfryzacji. Dlatego w Ministerstwie Cyfryzacji powstał zespół roboczy, który wypracowuje rekomendacje dla konkretnych sytuacji. Nad przepisami pracuje pięć zespołów. Efektem pracy ekspertów ma być przewodnik, który ma odpowiedzieć na najbardziej skomplikowane i nurtujące pytania. Dokument może być gotowy już na początku sierpnia.
***