Tym razem przyjrzymy się pozycji Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania. Jest to kolejna publikacja poświęcona ochronie danych osobowych, tym razem wydana w formie pytań i odpowiedzi. Czy dobry pomysł spotkał się z równie dobrym wykonaniem?
W skrócie – nie.
Nieco szerzej – nie do końca.
W pierwszej kolejności wskazać trzeba, że forma pytań i odpowiedzi z pewnością sprawia, że lektura jest bardziej dynamiczna, a czytelnikowi pozwala dokonać swobodnego wyboru interesujących go obszarów z pośród których wyróżniono m.in: rekrutację, zatrudnienie, zatrudnienie niepracownicze (umowy cywilnoprawne), podmioty spoza EOG, prawa osób, marketing, procedury, analizę ryzyka, obowiązki informacyjne, profilowanie i zautomatyzowane podejmowanie decyzji, privacy by design oraz privacy by dafault, grupy kapitałowe, dokumentację, transfer danych do państw trzecich, kontrolę, czy też notyfikację naruszeń bezpieczeństwa. Plus za przejrzystość.
Poszczególne części różnią się jednak drastycznie nie tylko poziomem merytorycznym, ale i objętością, np. część poświęcona dokumentacji zajmuje trzy i pół strony, procedury opisano zaś na prawie trzech stronach. Wydaje się, że zagadnienie te zasługują na nieco obszerniejsze omówienie. Podobnie problematyka grup kapitałowych została kompaktowo potraktowana na powierzchni prawie dwóch stron. Przy czym autorom mogła tu przyświecać troska o los płonących obecnie lasów tropikalnych.
Ale to kwestie merytoryczne sprawiają, że pozycję te trudno polecić pasjonatom RODO lub choćby osobom, które w tematyce tej mają się dopiero rozsmakować. Może nawet szczególnie nie tej drugiej grupie, bo o ile pierwsza będzie miała refleksję aby sprawdzić szczegóły lub wiedzę by odczytać skrót myślowy, to osoby początkujące może najzwyczajniej w świecie wprowadzić w błąd.
Po pierwsze „najtrudniejsze” pytania odnoszą nas często bezpośrednio do treści poszczególnych artykułów RODO np. Jakie obowiązki implikuje pozyskiwanie danych osobowych od osoby, której dane dotyczą? Czy pobieranie danych w sposób pośredni determinuje obowiązek informacyjny wobec osoby, której dane dotyczą? – oczywiście odpowiedzi znajdziemy stosunkowo szybko bezpośrednio w art. 13 i 14 RODO. Podobnie: Jakie elementy musi zawierać rejestr czynności przetwarzania? Jakie funkcje pełni inspektor ochrony danych? Czym jest naruszenie ochrony danych osobowych? Czym są dane szczególnej kategorii? Kto kontroluje przestrzeganie przepisów o ochronie danych osobowych? Do czego odnoszą się kodeksy postępowania? – kwestię stopnia trudności tych zagadnień można oczywiście pozostawić swobodzie semantycznej autorów.
Znacznie bardziej niebezpieczne są skróty myślowe, niedopatrzenia i nieścisłości z dominującą na rynku linią interpretacyjną, a publikacja nie ostrzega czytelnika, iż zderzy się on z prywatnymi opiniami i luźnymi refleksjami poszczególnych prawników.
I tu m.in.:
PYTANIE 11.4. Czy profilowanie wymaga jakichkolwiek dodatkowych zgód?
ODPOWIEDŹ Nie, profilowanie nie wymaga zgody osoby, której dane dotyczą.
Z pewnością odpowiedź ta ucieszyłaby działy marketingu w całej UE, jednak jest ona nieścisła. Profilowanie nie wymaga bowiem zgody jeśli istnieje inna przesłanka prawna takiego przetwarzania (choć może nią być przecież także zgoda). Przy czym podejmowanie decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec osoby skutki prawne lub w podobny sposób istotnie na nią wpływa, może opierać się na wyraźnej zgodzie takiej osoby.
PYTANIE 10.3 Kiedy należy zrealizować obowiązek informacyjny?
ODPOWIEDŹ (fragment) W związku z tym uznaje się, że podanie informacji wskazanych w art. 13 Rodo może mieć miejsce zarówno przed pozyskanie danych, jak i po nim – jednak należy to wykonać bezpośrednio przed i po chwili pozyskania. Np. równie akceptowalne powinno być zrealizowanie obowiązku informacyjnego przed wypełnieniem kwestionariusza osobowego, jak i w e-mailu zwrotnym wysłanym w związku z zapisem na newsletter.
Jest to podejście co prawda liberalne i nowatorskie, jednak całkowicie sprzeczne z dominującym w doktrynie i orzecznictwie poglądem, zgodnie z którym obowiązek ten spełniamy najpóźniej w momencie zbierania danych ,np. zgoda tak wyrażona byłaby nieważna, gdyż nie byłaby świadoma („proszę się zgodzić, a informacje o celu otrzyma Pan e-mailem”).
PYTANIE 2.19 Czy pracodawca może stosować kamery atrapy?
ODPOWIEDŹ Tak. Stosowanie kamer atrap nie jest zabronione przez obowiązujące przepisy prawa. W wyniku atrap nie dochodzi do pozyskiwania i przetwarzania danych osobowych pracowników, zatem zasady dotyczące przetwarzania danych osobowych nie znajdują zastosowania.
W wytycznych UODO dotyczących monitoringu wizyjnego wskazano jednak, iż stanowisko organu ds. ochrony danych osobowych jest w tej kwestii niezmienne – stosowanie atrap powinno być zakazane. Atrapy kamer z jednej strony wprowadzają u potencjalnie monitorowanych poczucie ingerencji w sferę prywatności, a z drugiej mylne poczucie zwiększonego bezpieczeństwa.
PYTANIA: 13.8 Jak należy rozumieć pojęcie „czynności przetwarzania” w kontekście obowiązku prowadzenia rejestru czynności? 13.9. Jak należy rozumieć pojęcie „kategorie czynności przetwarzania” oraz „kategorie przetwarzań” w kontekście obowiązku prowadzenia rejestru kategorii czynności? 13.9.
Formułując definicję tych pojęć autorzy nie uwzględnili faktu, iż zostały już one wyjaśnione jeszcze w publikacji GIODO – Wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO.
Do tego dodajmy nadużywanie pojęcia zbiór danych, które w RODO pojawia się raz, użycie określenia procesor (a nie podmiot przetwarzający).
To wszystko czyni pozycję lekturą podwyższonego ryzyka. Być może publikacja wydana została w pośpiechu (częsty brak podstaw prawnych, przypisów), być może zabrakło zewnętrznej konsultacji merytorycznej albo po prostu…
regularnej lektury GDPR.pl.
Czekamy na wydanie II poprawione, uzupełnione i sprawdzone.
Zobacz inne nasze recenzje, które ukazały się na portalu:
Przeczytać, przejrzeć czy pominąć? Recenzja: Ochrona danych osobowych w sądach i prokuraturze
Recenzja: Prawo ochrony danych osobowych wobec profilowania osób fizycznych