Lektura internetowych komentarzy prowadzi do przekonania, że po wejściu w życie RODO praktycznie nie będziemy mogli się ze sobą normalnie kontaktować, bo każde podanie imienia i nazwiska będzie naruszeniem ochrony danych. Sprawdzamy, ile w tej histerii prawdy.
- To jakiś absurd. Zamawiam taksówkę, samochód podjeżdża pod blok, więc otwieram drzwi i chcąc się upewnić, czy pan przyjechał po mnie, podaję swoje nazwisko. Kierowca wzdryga się i mówi, że teraz podaje się hasło, bo RODO każe chronić dane osobowe – pisze w sieci zdziwiona użytkowniczka.
Straszenie RODO wkracza w decydującą fazę. Rozporządzenie regulujące ochronę danych osobowych wchodzi w życie 25 maja i zacznie obowiązywać jednocześnie we wszystkich krajach Unii Europejskiej.
- W przychodni powiedzieli mi, że od końca maja pielęgniarki nie będą już wzywały pacjentów do gabinetu za pomocą nazwisk, ale numerków – pisze ktoś inny i zaraz dodaje, że przyczyną jest oczywiście RODO, które wszystko stawia na głowie.
To nic, że wiele przychodni już dawno odeszło od wyczytywania nazwisk pacjentów, uznając, że nie każdy chce, by pół kolejki słyszało, do którego gabinetu jest proszony. Informacje o stanie zdrowia to przecież dane wrażliwe.
- Rozporządzenie nie wymaga, by korporacje taksówkarskie zastępowały nazwiska pasażerów jakimiś hasłami. To decyzja tych firm, które uznały, że w ten sposób ograniczają liczbę przetwarzanych danych i minimalizują ryzyko kłopotów w razie ich wycieku – wyjaśnia radca prawny Tomasz Palak z kancelarii Profit Plus Prawo w Gdyni.
Gdyby taki wyciek miał miejsce, to w ręce osób niepowołanych wpadną numery telefonów i jakieś przypadkowe hasła, a nie nazwiska klientów. W tym sensie pomysł z niezbieraniem nazwisk może dodatkowo zabezpieczać pasażerów, ale decyzja o zastosowaniu tego środka pochodzi od przedsiębiorcy, a nie wynika wprost z rozporządzenia.
Zobacz też: * *W maju zaczną obowiązywać nowe przepisy o danych osobowych
Prawnik wyjaśnia, że RODO wyznacza przedsiębiorcom cele (przetwarzanie tylko tych danych, które są naprawdę konieczne dla realizacji umowy, przechowywanie ich przez czas niezbędny do zrealizowania zadania), ale nie przesądza, w jaki sposób mają to zrobić. Jeśli firma uzna, że rezygnacja z przetwarzania nazwisk pasażerów pomoże osiągnąć cel, to jak najbardziej może się na to zdecydować. Jest to jak najbardziej w duchu RODO, ale - jak dodaje – brzmi jak nadgorliwość.
Nowa filozofia ochrony danych osobowych
Trudno się dziwić, że RODO jest demonizowane, skoro tak często pisze się o nim w kontekście bardzo wysokich kar (do 20 mln euro, ale to poziom maksymalny, nakładany tylko w razie naprawdę drastycznego naruszenia przepisów) i niekończącej się liczby wymogów, które muszą wdrożyć przedsiębiorcy, by dostosować się do regulacji.
Strach ma z reguły wielkie oczy i tak chyba jest w tym przypadku. RODO nie jest po to, by w ciemno karać i dokładać firmom nieuzasadnionych obowiązków, lecz ma na celu zmuszenie przedsiębiorców, by zastanowili się, po co tak naprawdę zbierają dane i jakie informacje o klientach są im rzeczywiście potrzebne.
- Przedsiębiorcy bardzo często robią pewne rzeczy bezrefleksyjnie, tłumacząc to tym, że "zawsze tak było". Przykładowo: zawierają umowę i domagają się od klienta wpisania do formularza numeru dowodu – bo to, ich zdaniem, niezbędne dla wszczęcia ewentualnego procesu sądowego. Wyjaśniam im, że w zupełności wystarczy numer PESEL, tym bardziej, że dokument tożsamości można co kilka lat zmieniać, a PESEL jest na stałe przypisany do człowieka – mówi Tomasz Palak.
Przedsiębiorcy, z którymi o tym rozmawia, przyznają mu rację, ale wieloletnie przyzwyczajenie każe im jednak zbierać komplet danych.
- RODO zmusza firmę do refleksji, czy na pewno potrzebuje wszystkich informacji, by zawrzeć umowę. Pozytywnym skutkiem „histerii” wokół rozporządzenia jest to, że ludzie nareszcie zaczęli myśleć o swoich danych osobowych, zastanawiać się, komu je przekazują i po co – wyjaśnia prawnik.
Dotychczas do kwestii ochrony danych podchodziliśmy instrumentalnie, a odmieniane od pewnego czasu przez wszystkie przypadki "dane osobowe" dały impuls do tego, by zastanowić się nad wagą informacji o nas samych. Firmy, choć z ich przygotowaniem do nowych przepisów jest różnie, mogą wykorzystać tę okazję do zrobienia porządku w przechowywanych danych, zaktualizować bazy oraz wprowadzić nową, lepszą politykę ochrony danych klientów.
"Niszczarki zgodne z RODO"? Nie dajmy się zwariować
Niekiedy dyskusje o zasadach ochrony danych przybierają absurdalny kierunek. Specjaliści uśmiechają się, gdy widzą reklamy niszczarek zgodnych z RODO, sejfów odpowiadających nowym wymogom czy nawet pieczątek, które "zapewniają najwyższą ochronę zgodną ze standardami RODO".
Rzeczywiście, dokumenty powinny być niszczone tak, by nie sposób było odczytać zawartych w nich informacji, ale to żadne nowe wytyczne. Już teraz obowiązują normy (a konkretnie DIN 66399), zgodnie z którymi wszelkie informacje poufne oraz dane osobowe powinny być niszczone przez urządzenia spełniające wymagania na poziomie P-3, co oznacza, że fragmenty pozostałe po zniszczeniu nie mogą być większe niż 320 mm2.
"Drukarka zgodna z RODO" to żadna przełomowa technologia opracowana na okoliczność nowych przepisów, ale po prostu sprzęt, który odpowiada wytycznym. Na upartego można więc uznać, że „jest dostosowana do RODO”, ale jednak takie hasło brzmi jak trik marketingowy.
Mecenas Palak podkreśla, że istotą RODO jest stworzenie przepisów, które się nie zestarzeją, a więc pojawienie się nowych technologii nie spowoduje, że staną się one bezprzedmiotowe. Absurdem byłoby więc regulowanie, jakie parametry musi spełniać drukarka, by jej użycie nie naruszało przepisów. Co innego cel, czyli określenie, jakiej wielkości mogą być pozostałe po zniszczeniu paski dokumentu.
Zgłoszenie do RODO i wzór oświadczenia
-W trakcie szkoleń przedsiębiorcy często zadają mi krótkie, składające się z pięciu słów pytanie, w którym zawarte są aż trzy błędy – opowiada mecenas Tomasz Palak.
To problematyczne pytanie brzmi: "Ile kosztuje zgłoszenie do RODO?".
- RODO nie jest organem, więc nic nie można do niego zgłosić (zadający pytanie mają pewnie na myśliGIODO)
. Po drugie, w nowych przepisach w ogóle znika obowiązek zgłaszania (z pewnymi wyjątkami, bo duzi przedsiębiorcy muszą na przykład dokonać zgłoszenia inspektora ochrony danych) – wylicza prawnik. –I po trzecie, skoro nie ma obowiązku dokonywania zgłoszenia, to tym bardziej nie trzeba niczego płacić.
Przyznaje, że choć przedsiębiorcy zdają się rozumieć, że RODO kładzie nacisk na osiągnięcie celu poprzez dowolne środki, które będą temu służyły (inne metody zastosuje duża firma, po inne sięgnie osiedlowy zakład kosmetyczny), to w praktyce wciąż pozostają niewolnikami dotychczasowego myślenia.
- Na szkoleniach widzę wyraźnie, że wciąż panuje u nas „kult wzorów”. Ludzie słuchają, notują, ale i tak najbardziej interesuje ich, kiedy rozdam wzory zgód na przetwarzanie danych. To nic, że rozporządzenie nie zawiera żadnego uniwersalnego wzoru oświadczenia – opowiada.
A skoro nie dostają nowych gotowców, to stosują dotychczasowe.
"Zapukaj dwa razy i powiedz tajne hasło". Zdrowy rozsądek nadal w cenie
Czy po 25 maja czeka nas posługiwanie się tajnymi kodami i zamiast zamówić w restauracji stolik na nazwisko Nowak, będziemy go rezerwować z użyciem kryptonimu? Raczej nie, bo choć to może niewidoczne na pierwszy rzut oka, RODO bardzo silnie stawia na zdrowy rozsądek przedsiębiorców. Wielu z nich, nawet nieświadomie, już się w jakimś stopniu do nowych regulacji przygotowała. Skontaktowaliśmy się z wybraną losowo korporacją taksówkarską z Warszawy (padło na Sawa Taxi) z pytaniem, czy zamierza odejść od zapisywania nazwisk pasażerów na rzecz haseł.
Nie ma takiej potrzeby, bo już od wielu miesięcy klienci mają wybór, czy chcą podać nazwisko, czy pozostać anonimowi. Podobno Królewny Śnieżki i Kot Filemon regularnie zamawiają kursy.
Masz newsa, zdjęcie lub filmik? Prześlij nam przez * *dziejesie.wp.pl