AUTOR: Łukasz Kolatorski

Co z tym RODO? – dlaczego wciąż mamy problemy z jego stosowaniem i dochodzi do absurdalnych sytuacji?

O RODO, jego zastosowaniu oraz wpływie na nas jako osoby fizyczne powstało wiele książek i publikacji – lepszych i gorszych, wnoszących coś nowego i powtarzających to, co napisali wcześniej inni. Niebawem minie 4 lata, odkąd RODO weszło w życie i 2 lata, odkąd obowiązuje jego stosowanie. A my nadal borykamy się z problemami w prawidłowym stosowaniu. Nierzadko dochodzi do sytuacji absurdalnych, kiedy RODO stawiane jest ponad innymi przepisami, co przekłada się na rozważania o problemach, których niema i prowadzi do śmiesznych, a zarazem tragicznych sytuacji (śmiesznych dla osób, które są w temacie; tragicznych dla osób, które szukają pomocy w interpretacji przepisu – głównie mali przedsiębiorcy – którzy blokują sobie biznes przez opinie/dywagacje oderwane od rzeczywistości).

Co z tym RODO? – fundamentalne błędy interpretacji i stosowania.

Błąd nr 1 – po co te nowe przepisy „głupie wymagania”.

RODO nie jest niczym nowym, geneza prywatności sięga późnych lat 40-stych (Powszechna Deklaracja Praw człowieka), 50-tych (Konwencja o ochronie praw człowieka i podstawowych wolności), lat 80-tych bliższych sercu specom od ochrony danych (Konwencja Nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych). Aż do clue naszego obszaru, czyli roku 95 (Dyrektywa 95/46/WE), na bazie którego powstała nasza ustawa ODO 1997 (zaznaczam, iż nie jest to pełny katalog historyczny).

Jak widać ochrona danych osobowych od lat ma się dobrze. Co w takim razie jest nie tak? Prawidłowa norma prawna składa się z hipotezy, dyspozycji i sankcji. Teoretycznie poprzedniej dyrektywie i naszej poprzedniej ustawie ODO nic nie brakowało, ale sankcja była jakby to powiedzieć ,,nie odstraszająca”. I nagle wchodzi RODO z mainstream-owym (klik-bajtowym) przekazem 10-20 baniek euro kary (swoją drogą błąd w tłumaczeniu RODO na język polski, ponieważ walutą obowiązującą w Polsce jest złotówka) lub 2-4% obrotów przedsiębiorstwa – a to robi wrażenie.

Błąd nr 2– jednowymiarowe założenia, przysłaniające zakres materialny i nieczytanie przepisów w całości.

Niestety nawet organy ochrony danych osobowych w Europie starają się wychodzić z założenia, że wszystko co związane z danymi osobowymi osób fizycznych podlega pod RODO. I tu mamy niezgodność, ponieważ RODO ma swój zakres materialny (zakres zastosowania), który wynika wprost z art. 2, jego rozwinięcie znajdziemy w motywach 14-21, dla zainteresowanych polecam szczególnie motyw 15.

Nieczytanie przepisów w całości jest sporym problemem. Pamiętam pierwsze przekazy stosowania art. 9 „nie można przetwarzać danych szczególnych kategorii” co do zasady, tak mówi ustęp pierwszy. I tu już wchodzi ustęp drugi z pewnymi wyjątkami i zależnościami.

Błąd nr 3 – RODO stoi ponad prawem.

Mam dwie wiadomości: złą dla RODO-wyznawców – RODO nie wyłącza zarówno stosowania innych przepisów prawa, jak i obowiązków wynikających i nakładanych na nas przez nie. Tym samym nie stoi ponad innymi przepisami prawa (krajowymi, europejskimi, jakimikolwiek innymi). Dobrą dla RODO-speców (w zasadzie już o tym wiecie) – RODO stosujemy dla przetwarzania danych osób fizycznych w takim zakresie, abyśmy nie mieli problemów z wykazaniem zgodności z wymaganiami innych przepisów. Przy okazji, inne przepisy rozwiązują nam w większości problemy związane z retencją danych i doborem podstawy do wyznaczenia okresu tejże retencji czy podstawy przetwarzania przede wszystkim.

Błąd nr 4 – przepisy są niejasne.

Jeśli ktoś szuka w RODO szczegółowych wytycznych co i jak, to faktycznie ma rację – przepis jest niejasny. Jednakże w rzeczywistości RODO jest bardzo jasnym przepisem, a wręcz pomocnym w stosowaniu – dlaczego? Ponieważ będąc administratorem danych to my mamy prześledzić swój proces i dobrać odpowiednie podstawy, zabezpieczenia, środki techniczne i organizacyjne, polityki i inne. A to jest pomocne, ponieważ pozwala nam uniknąć przysłowiowych sytuacji „porywania się z armatą na muchę”. Dodatkowo, co jest plusem, jeśli dobrze opiszemy co, jak i dlaczego robimy to tak, a nie inaczej to w większości przypadków będzie nam to pomocne do wykazania tej pełnej magii „rozliczalności”. Nie potrzebujemy tu elaboratów na miarę prac naukowych, tylko rzetelnego podejścia do tematu u siebie w firmie (taki myk prawa anglosaskiego). Pamiętajcie, że przede wszystkim nasz opis ma odzwierciedlać przebieg procesu, a nie ładnie wyglądać.

Błąd nr 5 – poszukiwanie zaginionej arki, czyli szablonu.

Na wstępie zła wiadomość: nie ma szablonu zastosowania dla RODO, nawet dla firm działających w tej samej branży. Nawet przedsiębiorstwo działające w Grupie Przedsiębiorstw, nie zawsze ma możliwość wykazania takiego samego przebiegu procesu. Niestety inny lokalny system prawny, inni ludzie, inna mentalność, inne zależności i relacje „księstewka” powodują, że ten sam proces może wyglądać inaczej. A RODO wprost wymaga od nas procesowego podejścia do ochrony danych przetwarzanych w naszych firmach. Tu warto mieć na względzie złotą regułę, że „myślenie nie boli” a otwarty umysł i spokój mogą nas uratować.

Błąd 6 – podział ról: administrator czy podmiot przetwarzający (procesor), a może jedno i drugie.

Coś banalnie prostego, co niestety spędza sen z powiek niejednemu IOD(zie). Szanowni, o ile powierzenie przetwarzania najprościej rzecz ujmując dotyczy outsourcingu usług operacji na danych wykonywanych w imieniu naszej firmy innej firmie, niezależnie od tego, czy jest to związane z brakiem naszej wiedzy, naszych zasobów, czy cięciem kosztów (przepraszam – optymalizacją). To w relacji dwóch podmiotów (pominę tu rozważania nad typowym udostępnieniem danych – to temat na osobny artykuł) w relacji administrator – podmiot przetwarzający, często się zdarza, że ten nasz procesor może być osobnym administratorem danych.

Powyższe nie zmienia faktu, że mamy na rynku firmy, które pomimo, że są administratorem danych to w pierwszej kolejności są podmiotem przetwarzającym, ponieważ od kogoś muszą te dane pozyskać, aby stać się administratorem, a nie pozyskują ich od osoby fizycznej, tylko od drugiego administratora (nie mówię tu o kupowaniu baz, tylko o świadczeniu profesjonalnych usług drugiemu administratorowi). No cóż, kijem Wisły nie zawrócimy, ale gorąco pozdrawiamy życząc powodzenia w wykazaniu zgodności w oparciu o zapis art. 28 ustęp 10 RODO.

Błąd nr 7 – umowy powierzenia i ich zapisy.

Niestety tu kładą się podstawy. Wskazanie rodzaju danych osobowych nagminnie mylone jest z kategoriami (RODO wskazuje na 3 rodzaje danych: art. 9 dane szczególnych kategorii; art. 10 dane dotyczące wyroków skazujących i naruszeń prawa: pozostałe dane, potocznie nazywane „zwykłymi”). Wymagania oderwane od kontekstu współpracy (tak niezłomne szablony nr 5). Przerzucanie obowiązków administratora na procesora (swoją drogą bardzo odważne, jak ktoś kto nie zna naszych procesów ma wykonać za nas całą pracę).

Kary umowne – temat rzeka, niby niezabronione, ale spójrz na art. 82 RODO. Często mamy je zawarte minimum w trzech umowach (NDA, główna, powierzenia) – mała dygresja, szanujmy się wzajemnie i nie traktujmy drugiej strony jak potencjalnej krowy dojnej i nie okazujmy jej na wstępie braku zaufania, nie o to w biznesie chodzi. Zdarza się, że nie mamy na to wpływu „bo centrala”. Oceńmy w tym przypadku wartość usług i ponoszone koszty względem zapisów wysokości kar. Ponadto niezłomni mają zawsze możliwość zrobienia czegoś sami (mogą zatrudnić specjalistę) lub wynająć „lepszą” firmę, jeśli nie ufają na wstępie swojemu kontrahentowi (czyt. droższą, za markę również się płaci).

Błąd 8 – RODO „zabrania wszystkiego”, „blokuje biznes”.

Na wstępie będzie trochę prześmiewczo – RODO niczego nie zabrania! Dlaczego to śmiałe twierdzenie? A otóż dlatego, że to administrator ocenia ryzyko dla podejmowanych przez niego działań i ewentualnego spełnienia wymogów lub ich niespełnienia. Jak to się mówi: „kto bogatemu zabroni”.

Podchodząc do tego poważnie, nie bójmy się nieszablonowego myślenia i nie szukajmy problemów tam, gdzie ich nie ma. Zastanówmy się co robimy, po co to robimy, dlaczego robimy w taki sposób, opiszmy proces zgodnie z prawdą i dobierzmy do niego odpowiednie środki zabezpieczające. W razie problemów zawsze możemy skorzystać z pomocy specjalistów: przepis wytłumaczy nam mecenas (adwokat, radca prawny), specjalista obszarowy pomoże dobrać odpowiednie zabezpieczenia, a specjalista od ochrony danych zepnie to w całość, tak aby spełnić wymagania przepisu odzwierciedlające wymagania naszego indywidualnego procesu.

Błąd 9 – Ogromne kary są wymierzone w przedsiębiorców.

Kolejny raz mamy mainstream i klik-bajty o 20 bańkach euro kary. Prostując temat: po pierwsze, kary mają swoje widełki, które są rozpisane szczegółowo w art. 83 RODO za co, kiedy i do jakiej wartości. Po drugie, wysokość kary jest indywidualna, każdorazowo uzależniona od braku spełnienia określonych przesłanek. Po trzecie, organ nadzorczy może skorzystać z bardziej bolesnego uprawnienia niżeli kara finansowa, może to być ograniczenie lub zakaz przetwarzania danych. Karę się zapłaci, straty finansowe odrobi, ale jeśli nie będzie można działać to już raczej nici z biznesu.

Na zakończenie

Powyższe punkty stanowią subiektywny zbiór błędów związanych z postrzeganiem RODO. Do większości wymagań z RDOO dla administratora i podmiotu przetwarzającego można coś ciekawego znaleźć na rynku. Póki co, nie dajmy się zwariować i nie starajmy się na siłę zmieniać przepisów. Zmieńmy natomiast swoje podejście, a to znacząco ułatwi nam postrzeganie RODO.

 

Szkolenia on-line z zakresu RODO:

  • 29 kwietnia 2020 ,,RODO dla Managerów”,
  • 05 maja 2020 ,,RODO – poziom zaawansowany”,
  • 11 maja 2020 ,,Zarządzanie incydentami”,
  • 19-20 maja 2020 ,,Audytor RODO”,
  • 28 maja 2020 ,,Bezpieczeństwo informacji w organizacji”.

Więcej informacji oraz zapisy: szkolenia@essa.pro