Rozmowa z Piotrem Drobkiem, dyrektorem Zespołu Analiz i Strategii Urzędu Ochrony Danych Osobowych

Katarzyna Żaczkiewicz-Zborska: Jakie są podstawowe błędy w stosowaniu RODO?

Piotr Drobek:  W polskiej praktyce podmioty zobowiązane do stosowania RODO - z powodu strachu przed karami finansowymi - zachowują daleko idącą ostrożność, przyjmując zasadę: róbmy więcej niż to jest wymagane. RODO, czyli ogólne rozporządzenie o ochronie danych, wywołało panikę, która często przejawia się nadgorliwym podejściem do ochrony danych osobowych. Opiera się ono na błędnym założeniu, że przed 25 maja 2018 r. nie było żadnych regulacji w tym zakresie. A przecież w Polsce przepisy o ochronie danych osobowych funkcjonują od ponad 20 lat. RODO nie ma charakteru rewolucyjnego, bo nie wprowadza zupełnie nowych obowiązków. Ma charakter ewolucyjny. Opiera się na zasadach, które już obowiązywały, i wprowadza nowe narzędzia, ułatwiające działanie, zwłaszcza w dobie rozwoju nowoczesnych technologii.

Proszę wymieć te najczęstsze nieporozumienia.

Błędy polegają na opatrznym rozumieniu przepisów, co najczęściej powoduje:

  •  „odkrycie” nowych obowiązków, które w istocie należało wypełniać od wielu lat,
  • nadmiarowość, czyli żądanie przez administratorów więcej danych osobowych niż jest to potrzebne do zrealizowania celu przetwarzania, co narusza zasadę tzw. minimalizacji danych,
  • używanie języka niezrozumiałego dla adresatów, prawniczych formuł i wyrażeń specjalistycznych. A przecież np. dopełniając obowiązku informacyjnego wystarczy napisać po prostu: „Przetwarzamy Państwa dane w celu zawarcia umowy. Będziemy je przechowywać pięć lat.”,
  •  utajnianie informacji o osobach w sytuacjach, w których nie wynika to ani z unijnego rozporządzenia, ani z ustawy o ochronie danych osobowych,
  • nieinformowanie, co się będzie działo z pozyskanymi danymi i ile czasu będą przechowywane, a także kiedy zostaną zniszczone.

Czy do takiej grupy błędów z ostrożności należał przypadek odmowy podania rodzicom nazwisk dzieci, które uległy wypadkowi?

Tak. To świadczy, że szpital nie wdrożył odpowiedniej procedury, żeby pracownik, który rozmawiał z rodzicami wiedział, jak ma się zachować.

Urzędnicy wielu instytucji dostrzegli teraz, że na liście obecności pracowników nie można dopisywać, że absencja jest spowodowana chorobą. Sądzą, że to „wina RODO”, czy słusznie?

Niesłusznie, bo nie jest to nowa sytuacja. Od dawna tego typu dane muszą być chronione przed dostępem osób nieuprawnionych. Dlatego na listach obecności nie powinno się wskazywać powodu absencji. Jeśli takie adnotacje miałyby ułatwić prowadzenie dokumentacji pracowniczej czy rozliczanie czasu pracy, to tego typu informacje mogłyby zostać uzupełnione przez kadry później, gdy już osoby nieuprawnione nie mogłyby się z nimi zapoznać.

Nowym obowiązkiem są zgody na przetwarzanie danych w formie bardziej czytelnej niż dotychczas.

W Polsce przed rozpoczęciem stosowania RODO i tak bardzo rygorystycznie podchodziliśmy do pozyskiwania zgód na przetwarzanie danych osobowych. Można wręcz powiedzieć, że RODO zmniejszyło wymagania w tym zakresie. Obecnie wyrażenie zgody nie zawsze musi następować na piśmie. RODO przesądza bowiem, że zgodą może być jednoznaczne okazanie woli w formie wyraźnego działania potwierdzającego.

Czytaj: Źle wdrożone RODO to straty dla firm

Warto też pamiętać, że RODO posługuje się takimi sformułowaniami, jak „przejrzyste informowanie” i „przejrzysta komunikacja”. To pojęcia kluczowe dla umożliwienia nam świadomego podejmowania decyzji, w tym wyrażania zgody na wykorzystanie naszych danych, a także dla korzystania z praw, jakie nam przysługują. Zasada przejrzystości ma być stosowana na wszystkich etapach komunikowania się z osobą, której dane są przetwarzane. Przesądza ona, że wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych mają być zwięzłe, przejrzyste i zrozumiałe oraz sformułowane jasnym i prostym językiem.

Należy więc odpowiednio zorganizować proces komunikacji z osobami, których dane przetwarzamy, i zadbać o właściwe formułowanie kierowanych do nich przekazów i informacji. Chodzi o to, żeby nie były to noty pisane przez prawników dla prawników – jak to często bywało dotąd. RODO wymusza, by w większym stopniu skoncentrować się na tym, aby informacja była jasna, klarowna i zrozumiała dla odbiorcy. To wymaga większego skupienia się na treści i sposobie przekazania informacji.

Przy kupnie biletów samolotowych czy na imprezy rozrywkowe firmy żądają zgody na przetwarzanie danych osobowych dla celów marketingowych. Bez kliknięcia w to okienko nie można zrealizować umowy. Czy to jest dozwolone?

Nie. Jeśli zgoda na przetwarzanie danych w celach marketingowych jest warunkiem zawarcia i realizacji umowy, to trudno mówić o jej dobrowolności. Wyrażona niejako pod przymusem byłaby uznana za sprzeczną z prawem, a przez to nieważną. Taki warunek w umowie naruszał zresztą również przepisy o ochronie danych osobowych obowiązujące przed 25 maja 2018 r.

Jak długo można przechowywać dane osobowe zebrane w celu realizacji umowy?

To zależy, które dane. Część z nich może być przechowywana jedynie do czasu zakończenia umowy. Ale np. ze względów rachunkowych niektóre dane mogłyby być przetwarzane przez okres wskazany w ustawie o rachunkowości. Dane mogłyby być też przechowywane dłużej, gdyby np. zaistniała konieczność dochodzenia roszczeń.

Jakie ostrzeżenia miałby Pan wobec komitetów wyborczych, jeśli idzie o czas przechowywania danych?

Dane nie mogą być przechowywane po osiągnięciu celu, dla którego zostały zebrane. Nie mogą być gromadzone na zapas, tylko dlatego, że mogą się przydać. Niestety, obecne przepisy wyborcze nie określają odrębnie zasad archiwizacji danych przetwarzanych przez komitety wyborcze, co w naszej opinii wyjaśniłoby pojawiające się tutaj wątpliwości. Po wyborach komitety wyborcze mogą przechowywać dane, jeżeli istnieje uprawniająca je do tego podstawa prawna. Gdy takiej podstawy nie mają, to powinny dane osobowe wyborców zniszczyć.

Partie są trwalsze niż komitety wyborcze i te mogą chować dane do przyszłych wyborów.

Często nie odróżnia się komitetów wyborczych od podmiotów, które je tworzą, na przykład grup mieszkańców, stowarzyszeń, partii politycznych. Tymczasem to jest ważne, gdyż komitet wyborczy jest administratorem do czasu rozwiązania lub przekazania danych komisji wyborczej. Dane zebrane przez komitet wyborczy nie mogą być później wykorzystywane przez partię polityczną w jej codziennej działalności. Listy poparcia kandydatów nie mogą być wykorzystywane w okresie powyborczym.

Dane obywateli popierających konkretnych kandydatów nie są jawne?

Tak. Mają oni prawo do prywatności.

A dane osobowe mężów zaufania są jawne?

Można wykorzystywać informacje o tych osobach w zakresie, w jakim łączą się z wykonywaniem funkcji. Warto też przypomnieć, że również mężowie zaufania muszą chronić dane osobowe wyborców, z którymi zapoznają się, pracując w komisji wyborczej. Nie mogą tych informacji wykorzystywać w swoich celach. To samo dotyczy członków komisji wyborczych.

Czytaj: Listy obecności muszą być zgodne z RODO>>