Ochrona danych osobowych

Mimo że RODO zostało wprowadzone już ponad dwa lata temu, to, jakie niesie ze sobą konsekwencje, dla wielu nadal stanowi zagadkę. Narosłe wokół niego legendy czy tzw. fake newsy wciąż są bardzo powszechne – rzadko który akt prawny budzi tak duże zainteresowanie.

Fakty i mity o Ogólnym Rozporządzeniu o Ochronie Danych Osobowych

Nowe zasady ochrony danych nie stanowią rewolucji względem tych poprzednio obowiązujących. Oczywiście w pewnym zakresie zmiany są diametralne, jednak kardynalne zasady jako takie pozostają niezmienne.

Oznacza to, że nagle znikająca możliwość przetwarzania danych jest mitem, a wejście w życie RODO nie przekreśliło możliwości przyjmowania pacjentów na podstawie nazwisk czy też funkcjonowania cmentarzy. Przeciwnie – można zaryzykować stwierdzenie, że RODO daje większe możliwości bazowania na uzasadnionym interesie administratora, a zgoda osoby, której dane dotyczą, może w niektórych przypadkach stracić znaczenie.

Mitem jest także to, że Rozporządzenie znajduje zastosowanie w każdym możliwym przypadku – zakres jego zastosowania jest przecież ograniczony, a ponadto przepisy szczególne mogą wprowadzać znaczne ułatwienia dla administratorów, odciążając ich od niektórych obowiązków. Zdarza się jednak, że przedstawiciele danej branży funkcjonują bez znajomości obowiązujących ich przepisów, ignorując tym samym możliwości udostępnione przez prawo.

Z perspektywy osoby, której dane dotyczą, Rozporządzenie o Ochronie Danych Osobowych kojarzy się zapewne przede wszystkim ze wzrostem obszerności komunikatów dotyczących przetwarzania danych – chodzi tu o klauzule informacyjne, oświadczenia o wyrażeniu zgody, polityki, regulaminy, zasady. Faktem jest natomiast, że jedną z kardynalnych zasad Rozporządzenia jest przedstawianie informacji prostym i zrozumiałym językiem, co łączy się z domniemaniem, że adresat zapozna się z przekazem w całości.

Mitem, który w mojej ocenie jest jednak najbardziej niebezpieczny dla administratora, jest przekonanie, że RODO wymusza jedynie zmiany formalne, a nie faktyczne. Powielanie tych samych rozwiązań niezależnie od branży i zakresu operacji przetwarzania czy też od rodzaju danych jest praktyką powszechną, choć błędną. Sporządzanie obszernej dokumentacji tylko po to, aby odłożyć ją na półkę, zarzucanie klientów, kontrahentów czy pracowników zbędnymi komunikatami tylko po to, aby zamknąć je w specjalnej szafie na kłódkę, nie jest prawidłowym wypełnieniem obowiązków administratora. Przeciwnie – to, co prawodawca unijny zamierzał osiągnąć, to przede wszystkim zmiana podejścia do przetwarzania na bardziej świadome i indywidualne. Analiza, dopasowanie, aktualizacja – oto wyzwania, które stawia przed administratorami RODO, i z tych właśnie obowiązków są oni rozliczani w postępowaniach o nałożenie kary przez organ nadzorczy. Poprawne dostosowanie praktyki przetwarzania do zasad ochrony danych wymaga zatem nie tylko odróżnienia krążących w społeczeństwie mitów od faktów, ale także rzetelnego zgromadzenia informacji o tym, co dzieje się z danymi w przedsiębiorstwie administratora, i dostosowania operacji do aktualnych przepisów.