Blog

RODO: Jak uniknąć pułapki absurdów RODO?

4 października 2018
Szymon Goździk
Blog, Ochrona danych osobowych

RODO: Jak uniknąć pułapki absurdów RODO?

Niestety kolejne miesiące obowiązywania RODO (tj. Rozporządzenia o ochronie danych osobowych) przynoszą kolejne absurdy związane ze stosowaniem tych przepisów. W ostatnim czasie najgłośniejszym przykładem było wywieszenie listy pacjentów w jednej z przychodni w ramach kolejki do lekarza specjalisty, którym nadano pseudonimy takie jak „Han Solo” czy „Batman” w związku z zasadą pseudonimizacji określoną w  RODO. Ale to tylko jeden z wielu przykładów. Wygląda na to, że zgodnie z moimi obawami rozpowszechniane jeszcze przed wejściem w życie RODO informacje, jakoby większość podmiotów mogła samodzielnie przygotować się do tej reformy, okazały się błędne. 

RODO jest przede wszystkim tekstem prawnym, dlatego powinien on być odczytywany przez prawnika, tj. osobę posiadająca niezbędną wiedzę dotyczącą hierarchii aktów prawnych, wykładni prawniczych czy roli orzecznictwa i poglądów doktryny w stosowaniu prawa. Co więcej niezbędna jest także wiedza z innych dziedzin prawa niż ochrona danych osobowych, np. prawa mediów elektronicznych, prawa Unii Europejskiej, prawa pracy czy prawa zobowiązań, aby np. poprawnie ustalić okres przetwarzania danych osobowych, o którym administrator informuje w klauzulach informacyjnych. No i przydałoby się także, żeby taki specjalista od RODO posiadał przynajmniej podstawową wiedzę z zakresu IT, np. o budowie sieci internetowych czy o przechowywaniu danych w chmurze. Do tego wszystkiego potrzebny jest jeszcze zdrowy rozsądek, który będzie takiemu ekspertowi przypominał, że podstawowym zadaniem przedsiębiorstwa czy podmiotów publicznych jest świadczenie usług, a nie zajmowanie się obowiązkami biurokratycznymi.

Trzeba też pamiętać, że w niedługim czasie zostanie przyjęta kolejna nowelizacja wielu ustaw w związku z RODO. W tym momencie liczy sobie ona ponad 200 stron. W przypadku Kodeksu pracy będzie to już druga zamiana przepisów związanych z RODO od 25 maja br. Pamiętajmy również, że Prezes Urzędu Ochrony Danych Osobowych wciąż wydaje nowe wytyczne, a we wrześniu kończy się „okres ochronny” po którym rozpoczną się pierwsze kontrole. Tylko w pierwszym miesiącu obowiązywania RODO do Prezesa Urzędu Ochrony Danych osobowych wpłynęło ok. 500 skarg. Co ciekawe część z nich dotyczyła wprowadzenia RODO, np. rozesłania informacji o przetwarzaniu danych osobowych z ujawnieniem adresów e-mail wszystkich odbiorców takiej wiadomości. W dalszym ciągu brakuje też wystarczającego orzecznictwa sądowego w zakresie tego nowego aktu prawnego, a powoli pojawiające się wyroki Trybunału Sprawiedliwości Unii Europejskiej, jak choćby ten mówiący o tym, że administratorem danych osobowych jest również administrator fanpage na Facebooku, wcale nie ułatwiają interpretacji RODO.

Z drugiej strony wielu przedsiębiorców czy inne państwowe podmioty nie mogą poświęcić RODO zbyt wiele czasu. W związku z tym tak ważny jest dobór odpowiednich specjalistów, którzy doradzą w zakresie ochrony danych osobowych. Ta uwaga ma tym większe znaczenie, jeśli dany podmiot ma obowiązek powołać Inspektora Ochrony Danych Osobowych. Powołanie niewłaściwych osób albo korzystanie z usług firm szkoleniowych, które specjalizują się w różnych szkoleniach i których szkoleniowcy nie są prawnikami i nie posiadają doświadczenia w stosowaniu prawa, wskazywana jest w mediach jako najczęstsza przyczyna powstania absurdów RODO. Bazując na własnych obserwacjach i doświadczeniu, mogę tylko to potwierdzić.

Szymon Goździk
Prawnik