Od 25 maja unijne rozporządzenie o ochronie danych osobowych (RODO) zamiast z ochroną prywatności kojarzy się z absurdem. Wszystko przez bałagan związany z jego wdrażaniem – ustawa uchwalona na ostatnią chwilę, brak przepisów dla poszczególnych branż, zbyt późno przeprowadzona kampania informacyjna.

Czy mogło być inaczej? Dlaczego społeczeństwo nie zrozumiało RODO, nie doceniło jego wagi? O tym, jak to zmienić dyskutowali uczestnicy debaty "RODO w pierwszych miesiącach – fakty, mity, absurdy” zorganizowanej we wtorek przez wydawnictwo Wolters Kluwer Polska podczas Kongresu RODO. Poprowadziła ją  Ewa Usowicz, dyrektor Działu Serwisów Informacyjnych Wolters Kluwer, a uczestniczyli w niej: dr Arwid Mednis, radca prawny, partner w PwC Legal, Xawery Konarski, adwokat, starszy partner i współzałożyciel kancelarii Traple Konarski Podrecki i Wspólnicy,  Michał Jaworski, członek zarządu i dyrektor ds. strategii technologicznej Microsoft Polska, Maciej Gawroński, radca prawny, partner w kancelarii Gawroński & Partners, dr Dominik Lubasz, radca prawny, wspólnik w kancelarii Lubasz & Wspólnicy oraz dr Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji.

RODO w oparach absurdu

Rozmowy o RODO są zdominowane przez prawników. Tak na pytanie Ewy Usowicz: dlaczego wdrożenie RODO niekiedy prowadzi do absurdów prawnych,  odpowiedział Michał Jaworski. – Ubrał się diabeł w ornat i ogonem do mszy dzwoni – odpowiedział Maciej Gawroński. - Stąd się wzięła regulacja, że cała informatyka przerzuca ciężar bezpieczeństwa ochrony danych na biznes i odbiorcę.  Musieli wejść prawnicy, bo w biznesie zabrakło odpowiedzialności – ripostował Gawroński.  - W którym miejscu rozmawialiśmy o tym, co jest fundamentalną zasadą RODO, czyli ochronie praw i wolności osób – odpowiedział Michał Jaworski. - Rozmawialiśmy jak szyfrować, jak interpretować kolejny artykuł, jaką dokumentację przygotować, jak informować, jak formułować zgody. Tymczasem potrzebny jest zdrowy rozsądek, odpowiedź na pytanie czy ja swoimi czynnościami nie naruszam praw i wolności osób, których dane przetwarzam. On jest jednak zagłuszony przez artykuły, przepisy, interpretacje, liczne publikacje. To wywołało obawy wśród ludzi, i tu widzę winę palestry. Nie daliście szansy powiedzieć ludziom po co jest RODO – argumentował Jaworski.

 



Maciej Kawecki przyznał, że we wszystkich pytaniach, na które odpowiada przewija się niezrozumienie RODO. – RODO zaś nie chroni danych osobowych, tylko osobę fizyczną w związku z przetwarzaniem jej danych. Czasami jest tak, że interes konkretnej osoby przemawia za chronieniem innej wartości, niż dane osobowe. Najlepiej to widać w ochronie zdrowia, ale także w oświacie. Dla ludzi niezrozumiałe jest, dlaczego mają przekazywać zgodę na przetwarzanie danych osobowych babci, która odbiera dziecko ze szkoły – mówił Maciej Kawecki. - Tyle, że w świecie osób związanych z ochroną danych zapomniano, że prawo chroni osobę, nie dane. A o tym trzeba pamiętać.

Według Dominika Lubasza, w ostatecznym rozrachunku szum medialny służy RODO. - Z niszowej dziedziny nagle ochrona danych osobowych weszła do mainstreamu prawnego – podkreślił Lubasz. Michałowi Jaworskiemu nie podoba się, że wdrożenie RODO trafiło w opary absurdu. – Zamawiam taksówkę i muszę mieć hasło. Jakie? Jaworski, bo mogę sobie wybrać, jakie chcę. Śmieszne, ale i smutne, bo mnożenie takich absurdów opóźniło podjęcie właściwych działań. Zgadzam się bowiem z Maciejem Gawrońskim, że przetwarzamy dane w ogromnych ilościach, co powoduje, że kwestia ochrony tożsamości staje się bardzo ważna – mówił Jaworski.

Czy RODO jest potrzebne

Uczestnicy debaty przyznali, że wszyscy skupili się na zgodach na przetwarzanie, obowiązkach informacyjnych, prawniczych detalach, a to nie dlatego powstało RODO. - Czy udostępnianie danych może obrócić się przeciwko nam – pytała Ewa Usowicz. - Gdyby nie RODO nikt z Facebooka nie rozmawiałby z nami o wycieku danych 93 588  Polaków. To jest efekt RODO - mówił Maciej Kawecki. Arwid Mednis, by uświadomić klientom istotę zagrożeń mówi im, że jedna z aplikacji, którą większość z nas używa w samochodzie, przesyła za naszą zgodą, o czym zwykle nie mamy świadomości, dane do zakładów ubezpieczeniowych. - To działa na wyobraźnię - mówi Mednis.

- Proszę sobie uzmysłowić, że połowa wszystkich danych, które wytworzyła ludzkość, powstała po 2016 roku do dziś. Będziemy przetwarzać ich  jeszcze więcej. Jeśli Państwo nie wierzą, to proszę powiedzieć, ile każdy z nas ma urządzeń w domu podpiętych do sieci, a ile miał 10 lat temu. 10 lat temu był zwykle jeden komputer. Dziś jest to już kilkanaście: smartfony, tablety, telewizory, systemy sterowania, lodówki, pralki, etc. A będzie ich jeszcze więcej, bo sztuczna inteligencja nie jest bajką. Dlatego ważna jest tez kwestia etyki i stosowania RODO – mówił Michał Jaworski. - Czy jednak RODOabsurdy nie wywrócą RODO - dopytywała Ewa Usowicz. - Choć ropzorządzenie jest miejscami absurdalne, to nie zniknie ze względu właśnie na ogromną cyfryzację tożsamości. Wręcz przeciwnie, śruba może być mocniej dokręcona, zwłaszcza przepisy o cyberbezpieczeństwie - odpowiedział Maciej Gawroński.

Prawo, które się tworzy

 – Ten Kongres pokazał, że osoby, które muszą w firmach, kancelariach zmierzyć się z przepisami, mają dużo wątpliwości, pytań, praktycznych problemów. I nie chodzi o to, czy nauczyciel może wyczytywać ucznia  po nazwisku, ale np. czy szyfrować maile, jak traktować monitoring, kiedy, odmawiać prawa do zapomnienia. Czy można było uniknąć tego bałaganu – pytała Ewa Usowicz. Uczestniczy debaty zgodnie twierdzą, że nie było takiej możliwości. - Mówiąc o absurdach wdrażania RODO trzeba mieć świadomość, że to jest akt o całkiem innej naturze, niż polskie ustawy. To nie jest gotowiec do wdrożenia, to jest zbiór pewnych zasad, które wzajemnie mogą być sprzeczne. Został jednak tak stworzony, by rynek wypracował metody wdrażania. Tak naprawdę  cały czas tworzymy to prawo, stosując je w konkretnych sytuacjach – tłumaczył Maciej Gawroński.

Dominik Lubasz dodał, że przedsiębiorcy muszą się być gotowi na pojawianie się różnych interpretacji.

 


 

Brakuje zmian w ponad 140 aktach

Czy jednak to jest normalna sytuacja, że po prawie pół roku stosowania RODO wciąż nie mamy zmian w ponad 140 ustawach, mamy za to poradniki wydawane przez ministerstwa – pytała Ewa Usowicz.  – Czuje się wywołany do tablicy – powiedział Maciej Kawecki, który w Ministerstwie Cyfryzacji odpowiada za przygotowanie wszystkich przepisów dotyczących RODO. – Po pierwsze Unia nam dała tylko dwa lata na dostosowanie krajowych przepisów do RODO. Ten czas okazał się niewystarczający, mimo że do prac przystąpiliśmy już w 2016 r. – tłumaczył Maciej Kawecki. Xawery Konarski zauważył, że sama Unia nie zdążyła z przyjęciem rozporządzenia w sprawie poszanowania życia prywatnego w łączności elektronicznej, tzw. ePrivacy, które ma być komplementarne do RODO. - Nie pastwmy się tylko nad polskim prawodawcą, pastwy się też na unijnym – mówił Konarski.

Maciej Kawecki tłumaczył też, że poradniki nie mają za zadanie zastąpienia aktów prawnych. – Nie wypowiadamy się w nich na tematy, które dotyczą kwestii legislacyjnych. Cel poradników jest inny – mają pomóc ludziom zrozumieć RODO, nauczyć się z nim żyć i pracować tak, aby ich nie paraliżowało – tłumaczył Maciej Kawecki. – Tworzymy je dla pracowników służby zdrowia, którzy nie muszą znać się na RODO, tylko na ratowaniu życia, i oczekują konkretnych odpowiedzi na swoje pytania. Pomagają walczyć ze zjawiskiem RODOpaniki – mówił Maciej Kawecki. Xawery Konarski przyznał, że poradniki przygotowane przez Ministerstwo Cyfryzacji zadziałały. - Mam nadzieję, że takie zacznie wydawać Urząd Ochrony Danych Osobowych - dodał Konarski.

Uczmy się od Hiszpanów, Francuzów, Anglików

Inne spojrzenie na kwestie braku przepisów, wyjaśnień przedstawił Maciej Gawroński. - W dobie internetu wolałbym więcej wyjaśnień, wytycznych, a mniej prawa. W serwisie Prawo.pl opublikowaliście państwo ciekawy artykuł  o tym, czy objaśnienia prawne mogą pomóc RODO. I moim zdaniem to jest dobry kierunek – mówił Maciej  Gawroński

W Prawo.pl pisaliśmy, że zgodnie z art. 33 Prawa przedsiębiorców, ministrowie oraz organy, które upoważnione są do przedkładania projektów aktów prawnych mogą wydawać tzw. objaśnienia prawne. I pytaliśmy ekspertów, czy takie objaśnienia mogłyby pomóc wyjaśnić wątpliwości związane z RODO. Maciej Kawecki przypomniał, że przepis ten był wzorowany na prawie brytyjskim. - Tam do stanu prawnego tworzy się objaśnienia prawne. Można je porównywać do interpretacji podatkowych, ale w sprawach ogólnych, a nie indywidualnych. Są nimi związane organy administracji publicznej, ale nie sądy. Jeśli sąd wyda rozstrzygnięcie sprzeczne z objaśnieniem, to trzeba je zmienić – tłumaczył Kawecki.

Czy Ministerstwo Cyfryzacji zamierza z nich skorzystać w związku z RODO – zapytała Ewa Usowicz. – Analizujemy taką możliwość. Znamy to uprawnienie, znamy jego moc i na pewno będzie traktowane jako ostateczność. Wydaje się, że byłby to dobry sposób na wyjaśnienie wątpliwości związanych z monitoringiem – odpowiedział Maciej Kawecki.

Przeciwnikiem uprawnień do wydawania różnych interpretacji jest Arwid Mednis.- Może jestem zbytnim formalistą, ale uważam, że trochę się zaciera podział między władzą ustawodawczą, wykonawczą, a sądowniczą. Mam wątpliwość czy RODO może być objaśnianie tym trybem. To sądy są od interpretowania. Zgadza się, że wyjaśnienia mają się opierać o orzecznictwo, a sądy nie są nimi związane. Jeśli więc zmienia się linia orzecznicza, to powinny się zmienić objaśnienia – mówił Mednis. - Z drugiej strony wszyscy, którzy zajmujemy się ochroną danych patrzymy na wytyczne Grupy Artykułu 29 czy innych organów, np.  ICO, CNIL. De facto stosujemy te wyjaśnienia, bo RODO jest tak niejasne, napisane takim językiem, że bez takich podpórek ani rusz – mówił Mednis.

- Cały czas będą się pojawiać różne interpretacje. Czy będą to wytyczne, przewodniki, objaśnienia, to nie ma znaczenia. Bardzo dobrze, żeby się pojawiały. To jest materiał pomagający odszyfrować, co legislator miał na myśli, przynajmniej do czasu, gdy utrwali się linia orzecznicza - zauważył Dominik Lubasz.

Zdaniem Xawerego Konarskiego, lepiej mieć przepisy i wytyczne, ale wydawane przez UODO. Przyznał jednak, że są one bardzo potrzebne. Polecił też śledzenie tych publikowanych przez organy innych krajów. – RODO wszędzie, w całej Unii jest takie samo. Dlatego taka metoda się sprawdza. Inni mają inne spojrzenie. My siedzimy 20 lat w jakiejś koleinie, a oni widzą jak się z niej wyrwać – tłumaczył Konarski.

Urząd ma pomagać

Inaczej na sprawę spojrzał Michał Jaworski. – W Dani przedsiębiorca wie, że jak przyjdzie kontrola z urzędu ochrony danych osobowych, to pochyli się z troską nad tym, co on robi. Jeśli zobaczy, że robi coś nie tak, pomoże mu, żeby było lepiej. I tu jest różnica. W Polsce potrzebujemy opinii, dokumentów - opowiadał Jaworski. Jeden z uczestników Kongresu zauważył, że każdy, kto zetknął się z problemami podatkowymi w tym kraju, musi pogodzić się z tym, że takie same problemy będzie miał przedsiębiorca z punktu widzenia RODO. - Będzie nękany w oparach absurdu i musi przygotować się na najgorsze – mówił. - Tak wygląda nasza kultura, a RODO jest z innej bajki. Może jednak pomoże zmienić naszą kulturę – podsumował Maciej Jaworski.