Rozmowa z dr Maciejem Kaweckim, dyrektorem Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji.
Katarzyna Żaczkiewicz-Zborska: - Jakie są największe nieporozumienia dotyczące stosowania RODO? Gdzie jest najwięcej naruszeń?
Maciej Kawecki: Lada dzień minister zdrowia opublikuje przewodnik RODO dotyczący służby zdrowia. Wyjdzie także przewodnik RODO po edukacji. Liczne są bowiem pytania związane z organizacją wywiadówek, wycieczek szkolnych i udostępnieniem danych osobowych uczniów przez szkoły biurom turystycznym oraz hotelem. Jakie dane można przekazać i czy potrzebna jest zgoda rodziców? Czy można udostępniać dane uczniów przyjętych do szkoły?
I jak Pan odpowiada?
Nazwiska i imiona uczniów przyjętych są jawne. Są też pytania: Czy szkoła może udostępnić skany dowodów osobistych rodziców uczniów?
Może?
Nie, nie ma prawa.
A jakie odnotowuje Ministerstwo Cyfryzacji naruszenia z powodu tzw. nadmiarowości spowodowanej nadgorliwością w nieujawnianiu danych?
Przykładem nadgorliwości, o którym dowiedziałem się będąc na Podlasiu, było zaniechanie przez proboszcza jednej z parafii podawania na stronie internetowej godzin rozpoczęcia mszy świętych. Proboszcz powołał się na przepisy RODO. Ale licytowanie się na absurdy nie ma większego sensu. Zależy nam na wyjaśnianiu przepisów, a nie obśmiewaniu adresatów tych norm.
Inne przykłady nadmiarowości?
Na przykład pobieranie zgód na przetwarzanie danych, gdy te zgody nie są potrzebne. Zdarza się tak w sektorze zatrudnienia. Jeśli przesyłamy dobrowolnie CV, aby wziąć udział w określonej rekrutacji, to zgoda nie jest potrzebna. Ważne są tylko czynności przed zawarciem umowy. Nawet jeśli już przyjmiemy, że jest potrzebna zgoda, to zapominamy czytając RODO, że zgodą nie musi być podpisanie klauzuli, ale może nią być sam fakt przesłania CV.
Problemy też występują ze sprawdzaniem list obecności.
Jeśli mamy grono, które się zna i które nie jest anonimowe, a na liście obecności, np. na kursie językowym znajduje się tylko imię i nazwisko, to można puścić listę po klasie. Nie trzeba rozdawać pliku białych karteczek, oddzielnie dla każdego uczestnika.
Jest też dużo firm, które z RODO nic sobie nie robi. Dane są gromadzone, bez poinformowania w jakim celu. Cały czas hotele skanują dokumenty osobiste.
Ostatnio prezes Urzędu ochrony Danych Osobowych zmieniła zdanie na temat skanowania dokumentów tożsamości przez bank.
To zależy w jakim celu banki wykorzystują te dane. Cały czas znajduje zastosowanie ustawa o przeciwdziałaniu praniu brudnych pieniędzy i zwalczaniu terroryzmu. I to jest ustawa, która mówi, że kopie dokumentów mogą być gromadzone. Nawet dane jak wizerunek mogą posłużyć bankowi do walki z przestępczością finansową i praniem pieniędzy.
Na przykład, przy ocenie wiarygodności kredytowej klienta, wątpliwe jest, czy prawo bankowe uprawnia do pozyskiwania kopii dowodów osobistych. Wypowiedz regulatora, tj. Urzędu Ochrony Danych Osobowych jest bardzo potrzebna, gdyż Prawo bankowe nie mówi o kopiach dokumentów tożsamości, mówi tylko o danych z tych dokumentów.
Rozmawiała: Katarzyna Żaczkiewicz-Zborska