ABI EXPERT
Wydanie: lipiec – wrzesień 2018
Ochrona danych osobowych w Polsce ma już ponad 20-letnią historię. Mimo to można powiedzieć, że niektóre przepisy z tego zakresu nie do końca „się przyjęły”, a krzewienie ochrony danych osobowych wraz z Rodo przynosi często absurdalne efekty.
Poprzednia uodo nie była doskonała, jednak uszczegóławiała pewne zasady oraz definicje dotyczące ochrony danych osobowych, które do tej pory były zawarte jedynie w bardzo ogólnej formie, przede wszystkim w Konstytucji RP oraz w ratyfikowanych przez Polskę konwencjach międzynarodowych. Jako akt prawny, który stanowił swoiste novum, regulując to, co do tej pory było bardziej intuicyjne, wniósł do systemu prawnego dużo rozwiązań, które trzeba było oswoić i zastosować.
W takiej sytuacji (nieoczywistości i nowości tematyki) na gruncie uodo oraz przepisów wykonawczych powstało wiele wątpliwości i rozbieżności w jej rozumieniu i stosowaniu. Już wtedy dochodziło do absurdalnych sytuacji, które były wynikiem niezrozumienia przepisów prawnych w tym zakresie i opacznego ich stosowania. Częściowo wynikało to także z naturalnego strachu przed czymś nowym. Objawem paniki było m.in. zdjęcie wszystkich list lokatorów, zniknięcie tabliczek z nazwiskami urzędników z drzwi gabinetów, odcięcie informacji telefonicznej z powodu braku zgody na przetwarzanie danych czy skargi (ze względu na bezpieczeństwo osobiste) na noszenie identyfikatorów z imieniem i nazwiskiem przez pracowników.
Jednocześnie dochodziło do sytuacji, w których uodo stanowiła tarczę ochronną dla informacji, które z punktu widzenia prawa powinny być transparentne, np. gdy urzędy odmawiały dostępu do umów cywilnych, których były stroną w trybie dostępu do informacji publicznej.
Obecnie znajdujemy się w bardzo podobnej sytuacji, z tym że skala ryzyka samej regulacji, a więc i absurdów jest nieproporcjonalna.
Skąd to znamy?
Należy podkreślić, że część absurdów, które pojawiły się w ciągu ostatnich 20 lat, zachowuje swoją aktualność do dziś. Historia lubi się powtarzać, a zmiana sposobu zachowania to proces, który nie dokonuje się z dnia na dzień. Jednym z problemów z najdłuższą metryką jest zbieranie zgody na przetwarzanie danych osobowych w sytuacjach, w których nie jest to wymagane. Dotyczy to w szczególności zbierania zgody na przetwarzanie w sytuacji, w której podstawą powinna być umowa lub przepis prawa. Tworzy się wówczas paradoks, gdy osoba została poinformowana, że jej dane przetwarzane są na podstawie zgody, a w rzeczywistości jest pozbawiona większości swoich praw, które są z tą zgodą związane.
W przypadku umowy o pracę wycofanie zgody nie spowoduje usunięcia danych przez pracodawcę, bo rzeczywista podstawa jest inna, a pracodawca musi dalej przetwarzać takie dane osobowe. Co więcej, takie zachowanie może być uznane za wprowadzające w błąd, bowiem z jednej strony z wyrażeniem zgody wiąże się prawo do jej cofnięcia w każdym czasie i usunięcia danych na skutek skorzystania z tego prawa, a z drugiej dane pozostaną. Co więcej, muszą pozostać, a cel ich przetwarzania i zakres w ogóle nie ulegną (nie mogą ulec) zmianie.
Przyczyny (dez)informacji
Mimo że zasady ochrony danych nie uległy zmianom, to jednak wraz z rozpoczęciem stosowania Rodo byliśmy świadkami paniki i dezinformacji. Skąd to się wzięło?
[…]
Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.
r. pr. Tomasz Osiej