5 lat obowiązywania RODO za nami! Co jest największym sukcesem RODO, a co porażką?
Postanowiliśmy z tej okazji krótko podsumować ten okres poczynając od sukcesów i rozczarowań, aż po absurdy.
Największy sukces
– podniesienie rangi prywatności jako wartości i dobra osobistego
Rozpoczęcie stosowania Rozporządzenia w 2018 r. wiązało się z niespotykanym wcześniej szumem medialnym i istną paniką wśród przedsiębiorców, co spowodowane było przemawiającymi do wyobraźni karami grożącymi za niedostosowanie do nowych realiów ochrony danych. Tym samym nałożono na przedsiębiorców silny imperatyw, aby w kilka miesięcy nadrobić wieloletnie zaniedbania, a nade wszystko: zmienić mentalność i zacząć traktować prywatność z należytą powagą i dbałością. Analogiczna zmiana zaistniała po drugiej stronie – klientów i konsumentów, pośród których świadomość praw przysługujących w zakresie ochrony danych znacząco wzrosła, co również stanowi silną motywację dla rynku – do podnoszenia standardów ochrony i dbałość o jakość komunikacji z interesariuszami. Groźba „zgłoszenia sprawy do UODO” jest wprawdzie okazjonalnie nadużywana jako narzędzie „szantażu” ze strony konsumenta, jednak zasadniczo zmiany należy ocenić pozytywnie.
W tym miejscu warto wspomnieć o jednej ważnej zmianie w przepisach, oto bowiem w kodeksie karnym dokonano zmiany jednej z istotniejszych definicji i groźbę bezprawną zdefiniowano jako zarówno groźbę, o której mowa w art. 190, jak i groźbę spowodowania postępowania karnego lub innego postępowania, w którym może zostać nałożona administracyjna kara pieniężna jak również rozgłoszenia wiadomości uwłaczającej czci zagrożonego lub jego osoby najbliższej; nie stanowi groźby zapowiedź spowodowania postępowania karnego lub innego postępowania, w którym może zostać nałożona administracyjna kara pieniężna, jeżeli ma ona jedynie na celu ochronę prawa naruszonego przestępstwem lub zachowaniem zagrożonym administracyjną karą pieniężną. To zmiana wymuszona presją RODO i być może zapobiegła ona i zapobiega nadużywaniu prawa i gróźb nałożenia gigantycznych kar. Nie znaczy, że naciąganie na RODO nie miało i nie ma miejsca, o czym piszemy dalej.
To, co szybko zostało zauważone, to fakt, że RODO zmusiło gigantów technologicznych z rynku „big data” (Google, Microsoft, Facebook) do wprowadzenia istotnej poprawy standardów i sposobu przetwarzania danych – choć wciąż niektóre jego aspekty pozostawiają wiele do życzenia (vide: kara nałożona niedawno na META).
Sukcesem jest z pewnością dostrzeżenie problemu przetwarzania transferowanych danych w państwach trzecich np. w USA, jednakże z drugiej strony niezrozumiały jest brak podobnego rygorystycznego podejścia w przypadku np. Rosji czy Chin (m.in. Tik Tok).
Największa porażka/rozczarowanie
– powierzchowność i papierowość wdrożenia
Mimo powyższych zmian, w praktyce okazało się, że gruntowna restrukturyzacja procesów organizacji i dostosowanie jej do „zgodności z RODO” jest niemożliwe do zrealizowania w krótkim czasie, szczególnie w podmiotach, które nie funkcjonują w standardach wielkokorporacyjnych. Częściowo z konieczności, częściowo z powodów finansowych i mentalnościowych, wielu administratorów i podmiotów przetwarzających zdecydowało się na wdrożenie „RODO-wydmuszek”, a więc stworzenie taniej i szybkiej prowizorki prawdziwego wdrożenia, polegającej np. na zakupie pakietu gotowych procedur i umów powierzenia, skopiowaniu z Internetu wzorów kilku klauzul i pobieraniu na wszystko obowiązkowej zgody na przetwarzanie. Z zewnątrz organizacja realizuje najważniejsze obowiązki administratora/podmiotu przetwarzającego – a de facto, jak w piosence „wszystko zostanie tak jak jest”. Częściowo winne temu może być nieco biurokratyczne podejście Urzędu do przeprowadzanych kontroli. Pojawiają się opinie (niezweryfikowane przez redakcję), iż im więcej dokumentów, procedur i innego rodzaju „papierów” przedłożymy UODO, tym większa szansa na łaskawe potraktowanie.
Z powyższym koresponduje coraz powszechniejsza refleksja, iż część organizacji traktuje RODO jako zbędny obowiązek, przeszkadzający jedynie w prowadzeniu działalności, a spełnienie wymogów sprowadzane jest do posiadania kilku dokumentów, które można szybko opracować przy użyciu generatora (np. obowiązki informacyjne).
Poza powyższym, do katalogu porażek zaliczyć można także:
- Znikome wykorzystanie przepisów karnych (wprowadzonych na szczeblu krajowym) – w przypadku nawet największych naruszeń z zakresu ochrony danych. Często w tych sprawach organy ścigania umarzają postępowania, wskazując na znikomą szkodliwość społeczną.
- RODO-naciągactwo różnego typu, np. w postaci popularnych w pierwszym okresie stosowania RODO szkoleń o niewysokim poziome merytorycznym i bardzo ogólnym (niekiedy nawet wprowadzającym w błąd) charakterze, które często prowadzone były przez celebrytów lub inne osoby z RODO związane jedynie wspólnym kontynentem). Formułowane były również fikcyjne obowiązki posiadania specjalnych, oczywiście odpłatnych certyfikatów („firma zgodna z RODO”) czy nawet określonego typu mebli („szafy zgodne z RODO”).
- Ułomne umiejscowienie działu ochrony danych w strukturze. Częstą bolączką organizacyjną podmiotów na rynku było postrzeganie RODO jako dodatku do opracowania na samym końcu listy zadań. Powodowało to brak realnego konsultowania tematyki ochrony danych osobowych z osobą odpowiedzialną za te kwestie do ostatniej chwili. Inspektorzy/koordynatorzy Ochrony Danych otrzymywali dany problem do rozwikłania na samym końcu – gdy proces i sam projekt był już przygotowany do uruchomienia, co stawiało taką osobę w roli „hamulcowego”. Symptomatyczny oraz brzemienny w skutki jest także „ochronodanowy” impas po stronie zarządów spółek, w postaci: braku wiedzy o obowiązkach ADO, braku świadomości standardów ochrony danych oraz braku zaangażowania decyzyjnego, przez co pozycja nawet najlepiej przygotowanego i pełnego dobrych chęci wdrożeniowca RODO jest słaba i często przegrywa z biznesem.
Największe pozytywne RODO-zaskoczenie
Skuteczność działalności Maxa Schremsa – okazuje się, że bezkompromisowe i masowe działanie jest w stanie zmienić rzeczywistość przetwarzania danych, czego byliśmy świadkami wobec obalenia Privacy Shield oraz modyfikacji absurdu cookiesów.
Ukrócenie samowoli pracodawców w zakresie wszelkiego rodzaju form monitoringu i drastyczne zwiększenie ich świadomości w kwestii odpowiedniego przetwarzania danych pracowników. Znamienne jest to, że wdrożenie zasad ochrony danych w obszarze kadr i księgowości zazwyczaj nie przysparza problemów, z uwagi na skuteczność systemu nadzoru ze strony organów skarbowych czy inspekcji pracy, co mogłoby być inspiracją dla organu nadzorującego także sektor prywatności.
Największy problem
Obok ogólnej tendencji, by wskazywać absurdy na polu wdrożenia RODO, pojawiają się głosy, iż ostrze swojej karzącej działalności UODO skierował przeciwko przedsiębiorcom, którzy co do zasady zapewniają podstawowe standardy ochrony danych, podczas gdy wciąż na masową skalę jesteśmy nękani spamem telefonicznym i elektronicznym w postaci fotowoltaiki, ankiet, garnków i innych „Niezwykle Interesujących Ofert”. Słowem: priorytety zainteresowania i działalności organu nadzorczego, które rozmijają się z rzeczywistymi problemami i naruszeniami prywatności obywateli.
Potrzeby i postulaty de lege ferenda
Odwiecznym RODO-problemem pozostają rozwlekłe treściowo klauzule informacyjne, które mamy obowiązek umieszczać przy każdej okazji, a których realnie nikt, poza może prawnikami z branży, nie czyta. Założona funkcja informacyjna jest więc iluzoryczna. Klauzule nie przyczyniają się w żaden sposób do zwiększenia świadomości osoby do czasu, kiedy pojawia się spór czy roszczenie i rzeczywiście sięga się do tych treści w celu rozliczenia administratora. I tu postulat „de lege ferenda”: obowiązkiem administratora powinno być umożliwianie dostępu podmiotowi danych do potrzebnych informacji w prosty sposób, wtedy kiedy będzie miał realną potrzebę, nie zaś bombardowanie ścianą tekstu przy każdej możliwej okazji.
Pojawił się także postulat wprowadzenia możliwości nakładania przez organ nadzorczy w przyspieszonym i uproszczonym trybie kar o niskiej wysokości – tak by można było szybko i celnie reagować, nie wylewając jednocześnie administratorów z kąpielą.
Firmy czują także niewystarczające wsparcie w zakresie transferów danych do państw trzecich, w szczególności przy ocenie ryzyka transferowego, wyborze właściwej podstawy i kontaktach z dużymi podmiotami (Facebook, Microsoft, Amazon).
Podsumowując, pięć lat obowiązywania RODO przyniosło zarówno pozytywne efekty, jak i obszary do poprawy. Największym sukcesem było podniesienie rangi prywatności jako wartości osobistej. Giganci technologiczni musieli poprawić standardy przetwarzania danych, choć wciąż są obszary do poprawy. Największą porażką było powierzchowne i papierowe wdrożenie RODO przez niektóre organizacje. Wprowadzenie przepisów karnych nie przyniosło oczekiwanych skutków, a wiele szkoleń i certyfikatów związanych z RODO okazało się naciągactwem. Pozytywnym zaskoczeniem było skuteczne działanie Maxa Schremsa w zmianie rzeczywistości przetwarzania danych. Wciąż jednak istnieje potrzeba uproszczenia klauzul informacyjnych i wprowadzenia sankcji o niskiej wysokości w szybkim trybie. Firmy odczuwają także brak wsparcia przy transferach danych do państw trzecich. RODO jest nadal wyzwaniem, ale także szansą na lepszą ochronę danych osobowych.
