Tuż po rozpoczęciustosowania RODOniemal codziennie dowiadywaliśmy się o niedorzecznych pomysłach administratorów, których celem miała być ochrona danych. Jedni zamykali bramy cmentarzy, aby uniemożliwić zapoznanie się z danymi na nagrobkach. Niektóre szkoły rozważały zaprzestanie używania imion i nazwisk uczniów. Uczeń na klasówkach miałby się podpisywać numerem, zaś nauczyciel odczytywać ten sam numer przy sprawdzaniu listy obecności.
W niektórych przedszkolach zrezygnowano z publicznego prezentowania podpisanych prac plastycznych dzieci w obawie przed ujawnieniem ich nazwisk. Sprawcy wypadków drogowych odmawiali przekazania danych ofiarom w celu dochodzenia roszczeń "bo RODO". Jak przypomina radca prawny dr Dominik Lubasz z niektórych tablic informujących o budowie, zniknęły informacje o inwestorze, kierowniku budowy czy wykonawcy.
Niedorzeczne sytuacje zdarzały się również w zakładach pracy. Obawiano się, że posługiwanie się nazwiskami pracowników może spowodować naruszenie przepisów RODO. Z tego względu część pracodawców zdecydowała się zastąpić nazwiska pracowników indywidualnie przypisanymi numerami. To właśnie z tego powodu będąc w supermarketach mogliśmy niekiedy usłyszeć komunikat, że "pracownik nr 4541 proszony jest na linię kas".
Do szczególnie kuriozalnych sytuacji dochodziło w placówkach medycznych, które z uwagi na przetwarzanie danych dotyczących stanu zdrowia, wykazały się szczególną kreatywnością w zakresie ich ochrony. W mediach pojawiały się historie rodziców, którzy nie mogli dowiedzieć się, czy ich dziecko przebywa w szpitalu oraz jaki jest jego stan zdrowia.
Dostępu do informacji i wyników badań odmawiano nawet najbliższym członkom rodziny, którzy zostali przez pacjenta upoważnieni do dostępu do dokumentacji medycznej. W trosce o ochronę tzw. danych wrażliwych usuwano także tabliczki ze specjalizacjami lekarzy.
Głośno było również o przypadku przychodni, w której obowiązywał zakaz ustnego przedstawiania się i podawania innych danych osobowych. Do historii przeszedł już pomysł jednej z placówek, w której zdecydowano, że nazwiska pacjentów zostaną zastąpione nazwami postaci fikcyjnych, np. z bajek. Tym samym na liście pacjentów znalazł się m.in. Gargamel, Batman, Smerf, a także Wróbelek Elemelek.
Nietrudno wyobrazić sobie, jak duże było rozbawienie i zaskoczenie pacjentów, którym nadano tego rodzaju pseudonimy. Na dodatek osoby wprowadzające tak kuriozalne rozwiązania nie brały pod uwagę tego, że według prawa numer czy pseudonim także są danymi osobowymi.
RODO – robisz to źle
Jednym z najczęstszych błędów w stosowaniu RODO jest wymaganie udzielenia zgody na przetwarzanie danych niemal w każdym przypadku. Dzieje się tak w sklepach, przychodniach i szpitalach, szkołach, urzędach, u notariuszy, a także przy korzystaniu z różnego rodzaju usług.
- Zdarzają się przypadki usługodawców, którzy odmawiają zawarcia umowy i wykonania usługi bez uzyskania zgody na przetwarzanie danych. Tego rodzaju działanie jest nie tylko irytujące i kłopotliwe dla klientów, ale przede wszystkim niezgodne z RODO – mówi radca prawny dr Dominik Lubasz, wspólnik w kancelarii Lubasz i Wspólnicy.
Jedynym z podstawowych mitów, jakie narosły wokół RODO i są powielane do dziś, jest przekonanie, że RODO ograniczyło lub nawet zakazało przetwarzania danych osobowych. To nieprawda, RODO określiło jedynie zasady, na jakich to przetwarzanie ma się odbywać.
Odbieranie zgody na przetwarzanie danych w sytuacjach nieuzasadnionych może rodzić poważne konsekwencje. Wyobraźmy sobie przedsiębiorcę, który uzyskuje od klienta dane niezbędne do zawarcia umowy i zgodę na ich przetwarzanie. Realizuje usługę, ale klient nie płaci, na dodatek wycofuje swoją zgodę na przetwarzanie swoich danych i żąda ich usunięcia.
Co w tej sytuacji ma zrobić przedsiębiorca? Usunąć wszystkie dane klienta, w tym także umowę i fakturę, a tym samym pozbawić się możliwości dochodzenia zapłaty od klienta? A może nie usuwać danych, a tym samym odmówić podmiotowi danych realizacji jego prawa wprost wynikającego z RODO. Żadne z wyjść nie jest ani satysfakcjonujące, ani zgodne z prawem.
- W myśl art. 5 RODO dane powinny być przetwarzane w wyraźnych i prawnie uzasadnionych celach, w zakresie proporcjonalnym do potrzeb administratora. Jako naruszenie przepisów RODO należy traktować wykorzystywanie danych w celach innych niż te, które zostały zakomunikowane podmiotowi danych i których może się on obiektywnie spodziewać - przypomina Dominik Lubasz.
Jeśli więc klient podaje przedsiębiorcy dane do wystawienia faktury, administratorowi nie wolno ich wykorzystywać w innych celach, np. marketingowych, chyba że spełnione są dodatkowe warunki.
Kluczem do zrozumienia RODO jest zastosowanie podejścia opartego na ryzyku.
Administrator powinien na każdym etapie swojej działalności oceniać i szacować, z jakim ryzykiem wiąże się przetwarzanie przez niego danych. A potem podjąć odpowiednie środki. Nie chodzi o stworzenie szeregu dokumentów, procedur, tylko aktywne podejście do ochrony i nietracenie z pola widzenia jej istoty, tj. ochrony nas, podmiotów których dane są przetwarzane i naszych praw.
Analiza ryzyka jest jednak jednym z najtrudniejszych zobowiązań nałożonych przez RODO. Prawodawca unijny nie podpowiada bowiem jaką metodą taką analizę wykonać. W tym aspekcie sięgnąć można do wytycznych Europejskiej Rady Ochrony Danych, poradników opracowanych przez Prezesa Urzędu Ochrony Danych Osobowych, czy wreszcie opracowanych aplikacji np. przez francuski organ nadzorczy (CNIL), czy też aplikacji eksperckiej GDPR Risk Tracker.
Masz newsa, zdjęcie lub filmik? Prześlij nam przez dziejesie.wp.pl