Liczba wypowiedzi na temat RODO jest ogromna. Od pół roku staram się je śledzić oraz słuchać licznych komentarzy ekspertów i narasta we mnie przekonanie, że coś jest z tym RODO w Polsce nie tak. Jeśli przyjąć za trafne dominujące wypowiedzi w przestrzeni publicznej, to RODO jest po prostu „niestosowalne". Zaryzykuję twierdzenie, że w sektorze prywatnym w podgrupie mikro i małych przedsiębiorców 95 proc. podmiotów nigdy nie spełni wymagań rozporządzenia, jeśli propagowana w Polsce wykładnia jest trafna. Jest to bowiem nieracjonalne i niewykonalne. Zaryzykuję nawet twierdzenie oparte o własne doświadczenia i obserwację, że nasi specjaliści nauczający nas RODO w większości nie stosują się do niego w takim zakresie, w jakim nas tego nauczają.
Czytaj także: RODO: 20 rzeczy, które musisz wiedzieć o RODO
Z powodu zdrowego rozsądku przedsiębiorcy wykazują wobec RODO narastający opór. Istnieją więc trzy możliwości. Pierwsza, że nasi przedsiębiorcy się mylą, a ich zdrowy rozsądek jest niczym innym jak oznaką niechęci do ponoszenia dodatkowych wydatków i wysiłku. Druga, że RODO jest bezsensowne. Bo jeśli jest prawdą, że muszę przetwarzać dane, które ktoś sam mi przysyła (adres mailowy, adres na który mam dojechać, aby wykonać usługę, numer telefonu, który ktoś zostawił z prośbą o informację, gdy samochód będzie naprawiony), że muszę wykonywać obowiązek informacyjny w stosunku do osoby, która sama wnioskuje o wystawienie faktury lub w stosunku do pracownika, którego dane przetwarzane są zgodnie z detalicznym rozporządzeniem, które nie powala pracodawcy na żadne odstępstwo, to RODO jest rzeczywiście bez sensu.
Administrator źle zdefiniowany
Jest i trzecia możliwość, że prawnicy interpretujący RODO coś pominęli w trakcie jego interpretacji. Wydaje się, że zanim sparaliżujemy codzienność wymaganiami RODO, prawnicy polscy muszą przeprowadzić jednak nieco głębszą dyskusję niż ta, sprowadzająca się często do straszenia karami. Niniejszy głos jest właśnie próbą jej rozpoczęcia. A teza, jaką stawiam do publicznej dyskusji, jest taka, że błędnie definiujemy kluczowe dla RODO pojęcie, jakim jest administrator danych osobowych.
Nie będzie uproszczeniem stwierdzenie, że w interpretacji RODO w Polsce obowiązuje aksjomat, który brzmi: „jeśli przetwarzasz dane w obrocie komercyjnym, to jesteś administratorem i stosujesz RODO". Posłużmy się prostym przykładem: skoro wystawiasz fakturę – to jesteś administratorem danych klienta. Skoro otrzymałeś maila od pracownika kontrahenta, to jest administratorem danych jego pracownika. Skoro dostałeś zapytanie o ofertę wykonania usługi, to jesteś administratorem danych pytającego. Innymi słowy, jesteś administratorem danych pomimo tego, że zmusza cię do tego państwo (faktura) albo dlatego, że ktoś nie pytając cię o zdanie wysyła ci swoje dane.