fbTrack
REKLAMA
REKLAMA

Opinie

Wszyscy łamiemy RODO - czy będziemy skazani na stosowanie źle napisanego prawa?

AdobeStock
Nie można poddawać szczególnej ochronie podstawowych danych, jakimi posługujemy się na co dzień, w tym w obrocie prawnym podczas wykonywania obowiązków służbowych – pisze ekspert.

Ktoś kiedyś powiedział, że gdyby Bóg nie dał ludziom pogody i polityki, to nie mieliby o czym rozmawiać. Do listy tematów dyżurnych poruszanych podczas towarzyskich spotkań dorzuciłabym po 25 maja 2018 roku niedorzeczności związane z wejściem w życie rozporządzenia Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, zwanego powszechnie RODO. W jednym z liceów już zaczęto usuwać z tablic pamiątkowych zdjęcia uczniów. Mnie w przychodni odmówiono rejestracji, ponieważ swoje imię i nazwisko chciałam podać na głos w obecności pacjentów stojących w kolejce. I gdy próbowałam zaprotestować, usłyszałam głos nieznoszący sprzeciwu:

– Albo pani napisze swoje imię i nazwisko na kartce, albo pani nie zarejestruję.

Numer zamiast nazwiska

W innej szkole dzieciom zaczęto nadawać numery niczym w obozach pracy (i to bynajmniej nie chronionej), bo ktoś uznał, że wypowiadanie przez nauczyciela na głos imienia i nazwiska podczas czytania listy obecności stanowi ujawnienie danych osobowych. Autorowi takiego rozwiązania podpowiem, że zgodnie z art. 4.1 RODO każda informacja o możliwej do zidentyfikowania osobie stanowi jej dane osobowe, a więc numer mający zastępować nazwisko także. Ja natomiast zostałam zobligowana do tego, aby po zakończeniu szkolenia podczas rozdawania dyplomów – broń Boże – nie wyczytywać nazwisk uczestników. Mogę posługiwać się co najwyżej określeniami typu „Aneta W.", „Marianna S.". I nie ukrywam, że podczas tej osobliwej operacji czuję się, jak gdybym odczytywała listę osadzonych w zakładzie karnym. Jeszcze ktoś inny uznał, że nie będzie już można w firmach wysyłać pocztą świątecznych kartek na adres prywatny, ponieważ stanowiłoby to naruszenie danych osobowych. Chyba że adresat wcześniej wyraził na to zgodę.

Gdy na imieninach u przysłowiowej cioci Halinki słucham tego typu opowieści z dreszczykiem, wywoływanym wizją wielomilionowych kar, do pewnego momentu jest śmiesznie, z czasem jednak robi się strasznie i smutno.

W oparach absurdu

Jak dla mnie RODO jest jednym z najgorszych aktów prawnych, jakie przyszło mi czytać w swojej prawniczej karierze. Po 25 maja 2018 roku zaczęliśmy żyć w świecie pełnym niedorzeczności. W dodatku RODO przewiduje wiele obowiązków wręcz niemożliwych do spełnienia.

Przeanalizujmy choćby treść art. 5.1e, zgodnie z którym dane osobowe mają być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których są przetwarzane. Wyobraźmy sobie pracodawcę, który dygitalizuje dokumenty i przechowuje je w sposób zautomatyzowany, tym samym podlega treści rozporządzenia. Dokumentami tymi są wyroki, pisma, decyzje administracyjne, umowy, faktury, pisma od komorników, dokumentacja techniczna kontraktów budowlanych... Na każdym z nich mamy dane osobowe podpisujących je pracowników: imię i nazwisko, stanowisko, dane zakładu pracy. Po roku w średniej wielkości firmie zbiór taki sięga kilkunastu tysięcy pozycji.

Pojawia się pytanie, kto będzie miał czas na to, aby regularnie przeglądać każdy z tysiąca dokumentów i zastanawiać się nad tym, czy może być on jeszcze przechowywany, czy może należy go wyrzucić z uwagi na ochronę danych osobowych. Rozsądek podpowiada, aby dokumenty firmowe przechowywać przez wiele lat po upływie okresu przedawnienia wszelkich związanych z nimi roszczeń. Nigdy bowiem nie wiadomo, czy w międzyczasie nie doszło do przerwania biegu przedawnienia przez pracownika, który np. w mailu uznał roszczenia. W dodatku bywa tak, że dokument, który wydaje się już bezwartościowy dla sprawy, z którą jest związany bezpośrednio, staje się bezcennym dowodem w innej sprawie. Sądzę, że żaden pracodawca nie ma wystarczających środków na to, aby regularnie badać, czy każdy posiadany przez niego w formie elektronicznej dokument nie jest już przechowywany „przez okres nie dłuższy, niż jest to niezbędne" w rozumieniu RODO.

Oświadczenie goni fakturę

A teraz wyobraźmy sobie firmę budowlaną zatrudniającą 150 pracowników. Wszyscy oni otrzymują dziennie kilkaset maili i dokumentów. Każdy z nich – o zgrozo – zawiera cudze dane osobowe choćby w postaci imienia i nazwiska podpisującej je osoby. Zgodnie z tym, co twierdzą specjaliści na szkoleniach, nawet przy otrzymywaniu faktury należy wręczyć podpisanej na niej osobie informacje o zasadach przetwarzania jej danych. Już to widzę, jak pracownik fizyczny na budowie będzie miał czas na to, aby podczas odbierania faktury wraz z towarem pamiętać o wręczeniu dostawcy oświadczenia o przetwarzaniu jego danych, no i  oczywiście o zachowaniu drugiego egzemplarza z podpisem odbierającego, a następnie przesłaniu go do firmy celem archiwizacji. Choć w tym przypadku i tak można mówić o dużej dozie szczęścia, bo oświadczenie jest komu wręczyć. W pozostałych przypadkach tam, gdzie pismo otrzymujemy pocztą, pozostaje tylko pocztowe odesłanie oświadczenia na adres pracodawcy podpisującego, którego i tak nikt nie przeczyta. Co nie zmienia postaci rzeczy, że koszty wysyłki trzeba będzie ponieść.

W mojej ocenie prezentowana na szkoleniach interpretacja, zgodnie z którą każdej osobie podpisującej dokument (np. fakturę) należy wręczyć oświadczenie o przetwarzaniu jej danych osobowych, nie jest trafna. Zgodnie z art. 2.1 RODO stosujemy je bowiem do zbioru danych. Tymczasem pojedynczy dokument i zawarte w nim dane nie są zbiorem. Dokument ten nie stanie się także zborem, gdy włożony zostanie do segregatora. Zgodnie z art. 4.6 RODO zbiór danych oznacza uporządkowany zestaw danych dostępnych według określonych kryteriów. Natomiast w przypadku segregatora trudno mówić o uporządkowaniu danych osobowych i możliwości odnalezienia ich po określonym kryterium. Jeżeli już, porządkuje się w nim dokumenty, ale nie dane osobowe. Imiona i nazwiska zawarte na podpisywanych dokumentach znajdują się raczej na nich przy okazji i  nie ma możliwości ich odnalezienia na podstawie określonego klucza. Problem natomiast powstanie, gdy dokument zostanie zdigitalizowany i będzie przetwarzany w sposób zautomatyzowany w rozumieniu art. 2.1 RODO.

Jednak na boku interpretacje piszącej ten artykuł, których nie podzielają autorzy szkoleń nakazujących nawet podczas odbierania odpisu z KRS wręczać osobom fizycznym (np. członkom zarządu) oświadczenia o przetwarzaniu ich danych. W dodatku nie ma żadnej gwarancji, że organ kontrolny zechce przychylić się do prezentowanej tu bardziej liberalnej wykładni przepisów.

Ochrona na wyrost

Uważam, że nie można poddawać szczególnej ochronie podstawowych danych, jakimi posługujemy się na co dzień, w tym w obrocie prawnym podczas wykonywania obowiązków służbowych. Każdy człowiek ma imię i nazwisko, najczęściej jeszcze jakieś stanowisko, zakład pracy i nie uciekniemy od tego. Nie do końca też wiem, co złego miałoby wyniknąć z tego, że ktoś będzie wiedział, jak się nazywam, skoro nie zna mojego adresu, PESEL-u i innych identyfikatorów pozwalających na wyrobienie dowodu osobistego. Posiadam niczym niewyróżniające się nazwisko i zapewniam, że miliony podobnych mu nazwisk można znaleźć w książce telefonicznej czy w bibliotece. Czy podawanie szczególnej ochronie prawnej podstawowych identyfikatorów, jakimi każdy człowiek musi posługiwać się w życiu codziennym, a pracownik w pracy, ma sens? Czy nie jest to przez przypadek nadgorliwość legislatora? Jak dla mnie, ochrona ta, wprowadzona grubo na wyrost, skazuje przedsiębiorców na koszty i wykonywanie tysiąca niepotrzebnych czynności, w tym wysyłanie milionów oświadczeń o przetwarzaniu danych osobowych, których nikt nie czyta. Drugie tyle samo oświadczeń należy przechowywać na wypadek kontroli.

RODO niestety nie daje konkretnych wskazówek odnośnie do właściwych zachowań. Stwierdza jedynie ogólnikowo, że „administrator wdraża odpowiednie środki techniczne i organizacyjne", a przetwarzanie danych ma być „adekwatne", co napędza lawinę osobliwych interpretacji. W dodatku groźba wielomilionowych kar działa na wyobraźnię, w konsekwencji mamy na rynku coraz więcej pseudo specjalistów, pseudo szkoleń, pseudo firm doradczych, pseudo procedur ochronnych wdrażanych za ciężkie pieniądze i zwykłych oszustów, żerujących na ludzkich obawach.

Uważam, że RODO jest nieprzemyślanym aktem prawnym, niedostosowanym do realiów obrotu gospodarczego. Urząd Ochrony Danych Osobowych powinien podjąć działania sygnalizacyjne zmierzające do jego poprawienia. Gdyby opisane wyżej kwestie były regulowane ustawą, moglibyśmy liczyć na w miarę sprawną interwencję polskiego prawodawcy. W tym przypadku jednak mamy do czynienia z rozporządzeniem Parlamentu Europejskiego. Z tego powodu trzeba liczyć się z tym, że przez wiele lat będziemy skazani na stosowanie źle napisanego prawa, powodującego niedorzeczne wykładnie i zachowania. Nie można utrzymywać, że rozporządzenie jest dobre, tylko nikt w kraju nie potrafi go mądrze interpretować.

Agnieszka Lisak jest radcą prawnym

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA