RODO to wielkie zmiany — które już od dawna znamy

Uwaga, czas na tekst z tezą; teza tekstu brzmi: całe gadanie, że RODO to wielka rewolucja w ochronie danych osobowych to bzdura, bo właściwie wszystko już było — a istotnych zmian jest niewiele i właściwie sprowadzają się do zdania no, teraz proszę już wszystko przetwarzać prawidłowo! Co pozwala mi na konstatację, że ten, kto postępował w sposób właściwy dotąd (właściwszy byłby czas teraźniejszy: postępuje), nie musi drżeć na dźwięk tych czterech literek.


RODO zmiany jakie zmiany

Pamiętacie moje zdziwienie, że monitoring prowadzony przez ZEW Niedzica S.A. został — nieco skromnie, ale jednak — opisany na tablicach wywieszonych na ogrodzeniu elektrowni? (fot. Olgierd Rudak, CC-BY-SA 3.0)


Oto moja subiektywna Lista Wielkich Zmian Narzuconych przez GDPR, które w gruncie rzeczy są kosmetyką lub nawet napisaniem od nowa (czasem szerzej, czasem przez wykreowanie trzech akapitów tam, gdzie wcześniej były dwa słowa) tego, co było mniej lub bardziej oczywiste od 20 lat:

  • zasada minimalizacji danych, obowiązek ograniczenia celu i „prawo do bycia zapomnianym” (art. 5 ust. 1, art. 17 RODO) — wszystkie te obowiązki mieszczą się w dzisiejszej zasadzie poprawności i adekwatności przetwarzania danych (art. 26 ust. 1 pkt 3 uoodo), z której wynika m.in. obowiązek usunięcia danych, które nie są już potrzebne (usunięcie danych nie wymaga zgody zainteresowanego, art. 23 ust. 1 pkt 1 uoodo); ba, przecież nie ma wątpliwości, że wyinterpretowane w orzecznictwie prawo do zapomnienia też wynika z wcale nie tak ortodoksyjnie rozumianej zasady adekwatności przetwarzania danych;
  • obowiązek uzyskania zgody na przetwarzanie danych osobowych dziecka (art. 8 RODO) — od 20 lat było jasne, że zgoda na przetwarzanie danych osobowych jest oświadczeniem woli (art. 7 pkt 5 uoodo), skutecznie złożyć oświadczenie woli może tylko osoba o pełnej zdolności do czynności prawnych, zatem co najwyżej polemizować można co do skutków wyrażenia zgody na przetwarzanie danych osobowych w przypadku młodzieży między 13 rokiem życia a uzyskaniem pełnoletności. GDPR o tyle jest uprzejme, że wprowadza swoją własną granicę wieku (16 lat) i pozwala prawodawstwu krajowemu na dalsze obniżanie tej cezury (ale mniej niż do 13 roku życia);
  • obowiązek informacyjny — lakoniczny jak dotąd katalog informacji, które należało przekazać przy zbieraniu danych od osoby (art. 24 ust. 1 uoodo) po prostu mocno się wydłuża (art. 13 RODO), zaś zszokowanych katalogiem informacji, które należy podać „w przypadku pozyskiwania danych w inny sposób, niż od osoby, której dane dotyczą” (art. 14 RODO) śmiem zapewnić, że podobnie szokujący przepis obowiązuje od 20 lat i na imię mu art. 25 uoodo — i nakazuje on każdemu, bezpośrednio po utrwaleniu danych, poinformować zainteresowaną osobę m.in. o zakresie i celu danych, źródle danych, a także prawie dostępu i poprawiania danych, etc.;
  • podmiot przetwarzający (art. 28 RODO) — to jest dla mnie największe zdziwienie, bo chociaż już dawno temu zauważyłem, że obowiązek pisemnej umowy o powierzenie przetwarzania się nie przyjął (art. 31 uoodo) — z czasem chyba sam zacząłem myśleć o tej normie w kategoriach desuetudo — to jednak rola procesora danych, odpowiedzialność administratora za działania procesora, etc. etc., zmieniają się tylko w szczegółach;
  • privacy by default & privacy by design (art. 25 i 26 RODO) — to kolejna wielka zmiana wynikająca z RODO, która w ogólnym zrębie już obowiązuje. Jakby na to nie patrzeć administrator już dziś ma obowiązek stosować środki techniczne i organizacyjne, które zapewnią bezpieczeństwo informacji (art. 36 uoodo) — różnica (ułatwienie dla administratora) jest taka, że RODO nie narzuca tych środków, lecz pozwala wybrać takie środki, jakie uzna za niezbędne i właściwe;
  • obowiązek powiadomienia innych administratorów, którym dane zostały ujawnione, o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych (art. 19 RODO) — wyjąwszy samo ograniczenie przetwarzania, które jest nowością obowiązek powiadomienia o uaktualnieniu lub sprostowaniu danych wynika z nadal obowiązującego art. 35 ust. 3 uoodo — do którego rzecz jasna mało kto się stosował (a próba stosowania często kończyła się niezrozumieniem oraz odrzuceniem przekazanej informacji — wie o tym ten, kto się użerał z pewną bazą informacji o przedsiębiorcach);

Część zmian oznacza tak naprawdę ułatwienie życia podmiotów, które przetwarzają dane osobowe, a mam tu na myśli zwłaszcza:

  • nowa definicja zgody na przetwarzanie danych osobowych (art. 4 pkt 11 RODO) — wprawdzie nadal okazanie woli musi być „dobrowolne, konkretne, świadome i jednoznaczne” — ale nie musi mieć stanowić oświadczenia woli, dopusczalne jest bowiem „wyraźne działanie potwierdzające”; dla przypomnienia dotąd zgoda musiała mieć postać oświadczenia woli i nie wolno jej było domniemywać lub dorozumieć z innej czynności (art. 7 pkt 5 uoodo);
  • zwiększenie liczby przesłanek przetwarzania danych osobowych (art. 6 ust. 1 RODO) — oczywiście nadal podstawą przetwarzania danych osobowych nie musi być wyłącznie zgoda osoby, łącznie przesłanek jest sześć, podczas gdy dotąd było ich tylko pięć (art. 23 ust. 1 uoodo);
  • możliwość zmiany celu przetwarzania danych osobowych (art. 14 ust. 4 RODO) — administrator może przetwarzać dane osobowe — niezależnie od podstawy prawnej ich przetwarzania — w innym celu niż wskazany przy ich pozyskaniu, pod warunkiem przekazania osobie zainteresowanej kompletu informacji; obecnie administrator nie może nawet odebrać uprzedniej zgody na przyszłą zmianę celu (art. 23 ust. 2 uoodo), zmiana celu bez zgody jest w ogóle niemożliwa (ergo zmiana celu wymaga dodatkowego „przepuszczenia” osoby przez procedurę odebrania zgody) — zaś zbieranie zgód na zapas jest oczywiście niedopuszczalne ze względu na zasadę adekwatności przetwarzania;
  • brak obowiązku prowadzenia rejestru czynności przetwarzania w przypadku małych i średnich przedsiębiorców (art. 30 ust. 5 RODO) — czyli takich, którzy zatrudniają do 250 pracowników, pod warunkiem, że nie przetwarzają danych wrażliwych lub też przetwarzanie „nie ma charakteru sporadycznego” i może powodować ryzyko naruszenia praw lub wolności osób, nie ma charakteru sporadycznego; dla porównania dotąd rejestracji podlegały praktycznie wszystkie zbiory (art. 40 uoodo, z niewielkimi wyjątkami — art. 43 ust. 1 uoodo);
  • brak obowiązku wyznaczenia inspektora ochrony danych przez administratora przetwarzającego dane incydentalnie (art. 37 ust. 1 RODO) — oczywiście obowiązująca jeszcze ustawa także nie nakłada obowiązku powołania ABI (art. 36a uoodo), jednak uważam, że regulacja wynikająca z GDPR jest klarowniejsza i bardziej przyjazna (chociaż niech będzie też jasne, że są sytuacje, w których wyznaczenie IOD będzie obowiązkowe!).

Oczywiście RODO wprowadza też rzeczywiste zmiany — m.in. obowiązek samodonosu do organu nadzorczego (art. 33 RODO) oraz do osoby zainteresowanej (art. 34 RODO), określenie zasad odpowiedzialności odszkodowawczej wprost w rozporządzeniu (art. 77, art. 82 RODO), możliwość nałożenia przez organ nadzorczych kar pieniężnych za naruszenie przepisów o ochronie danych osobowych (art. 83 RODO) — ale sumarycznie naprawdę można powiedzieć, że całe to zamieszanie to w sumie pic na wodę fotomontaż (co nie oznacza, że temat wolno zignorować).

13 comments for “RODO to wielkie zmiany — które już od dawna znamy

  1. Piotr
    24 maja 2018 at 06:41

    Panie Olgierdzie, z perspektywy podanych przez Pana zmian to rzeczywiście tylko update/upgrade dotychczasowych standardów. Jakaś ewolucja i już. Tyle że pominął Pan filary nowego prawa czyli podejście oparte na ryzyku i zasadę rozliczalności (do sześcianu). Te zaś odwracają istniejącą perspektywę prawną niemalże do góry nogami. Niby dane osobowe zawsze były „dobrem szczególnym” ale teraz powierzenie ich wiąże się dla osoby otrzymującej z czasem większymi restrykcjami niż powierzenie pieniędzy dla banku. Minimalny standard „o zmiennej treści” (nawiązując do jednej z teorii prawa naturalnego) i odwrócenie ciężaru dowodu (de facto) to zmiany, których od dawna i często nada – nie znamy.

    • Olgierd Rudak
      24 maja 2018 at 09:50

      Nigdy nie miałem wątpliwości, że niezależnie od tego, że to zainteresowany ma „wykazać”, że dane są „niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane”, w takim przypadku to administrator musi udowodnić (jeśli dane chce dalej przetwarzać), że pozyskał je w sposób prawidłowy (art. 35 ust. 1 uoodo).
      Wiem, że ludzi denerwowała praktyka GIODO — który postępowanie dot. skarg na przetwarzanie rzekomo bez podstawy umarza, o ile administrator dane usunął.
      Cała reszta (rozliczalność, czai się w art. 26 ust. 1 uoodo, chociaż może teraz ma być większy nacisk.

      Jaka będzie praktyka, zobaczymy, bo pamiętam, że w 1997 r. też miało być świetnie-pięknie.

      PS upraszam o nie-Panowanie w komentarzach!

  2. 24 maja 2018 at 09:34

    Czy wcześniej był obowiązek informacyjny? Wydaje mi się, że jest upierdliwą nowością (być może potrzebną) – konieczność informowania o przetwarzaniu w połączeniu z rozliczalnością, czyli prawdopodobnie sterty papierów

    • Olgierd Rudak
      24 maja 2018 at 09:40

      Zawsze był, niezależnie od tego czy zbierałeś dane ode mnie (art. 23 uoodo) czy kupowałeś bazę (art. 25 uoodo). Fruwające teraz wiadomości wynikają z konstatacji, że RODO wymaga znacznie szerszego zakresu tych informacji, zatem jeśli ich nie przekażesz zainteresowanemu, to… być może nie wolno ich dalej przetwarzać.

  3. seti
    24 maja 2018 at 10:41

    A może ktoś mi wytłumaczyć czy w sytuacji gdy na serwerze np. skarbówki znajdę plik xls z danymi US w Polsce (dane teleadresowe, nazwisko naczelnika, e-mail) i na podstawie tych danym spreparuje swoją stronę to jest to przetwarzanie danych czy nie? Podpada pod RODO czy nie?

    • Olgierd Rudak
      24 maja 2018 at 10:51

      Nie.

  4. Robert
    24 maja 2018 at 13:24

    „…wprawdzie nadal okazanie woli musi być „dobrowolne, konkretne, świadome i jednoznaczne” — ale nie musi mieć stanowić oświadczenia woli, dopusczalne jest bowiem „wyraźne działanie potwierdzające”” –> Czy to nie jest właśnie oświadczenie woli, tyle że konkludentne?

    • Olgierd Rudak
      24 maja 2018 at 13:35

      Też tak myślę, ale przepis mówi „w formie oświadczenia lub wyraźnego działania potwierdzającego”, więc nie będę się upierał — są oświadczenia woli i są inne wyraźne działania potwierdzające.

      Zastanawiałem się czy nie wynika to z błędów w tłumaczeniu, ale w języku lengłydż też idzie tak:

      by a statement or by a clear affirmative action

      Bo przecież w RODO parę byków jest, mój ulubiony to:

      pomyłka błąd RODO

  5. Paweł
    24 maja 2018 at 19:20

    Bardzo interesujące jest to co od niedawna robią duże portale. Takie WP wyświetla ścianę tekstu, na której końcu, jeśli ktoś przewinie okno jest zdanie „Dlatego też proszę naciśnij przycisk „PRZEJDŹ DALEJ” lub klikając na symbol „X” w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie Twoich danych osobowych(…)”. Część przed przecinkiem jest dodatkowo pogrubiona. Okna nie można zamknąć inaczej niż klikając wspomniany przycisk lub symbol.

    Zastanawia mnie na ile to jest zgodne z RODO. W końcu kliknięcie „X” nie wygląda jak wyrażenie świadomej zgody.

    • Paweł
      24 maja 2018 at 21:36

      Widzę, że Gazeta poszła nawet dalej. Pozostanie na stronie (na przykład scrollowanie) oznacza akceptację zgód.

  6. pcs
    29 maja 2018 at 06:05

    Dostrzegam 3 zmiany:
    -pierwsza nie wynika wprost z rodo – ludzie usłyszeli o ochronie danych osobowych… Przedsiębiorcy zaczęli obowiązków informacyjnych dopełniać. A podmioty danych zaczną się teraz swoich praw dopominać (oczywiście zaczną od nieprzysługującego im prawa do bycia zapomnianym).

    -druga nie wynika wprost z rodo – ludzie zwariowali… W sobotę, w sklepie nie mogłem odebrać paczki z zamówioną koszulą. Na paczce było moje nazwisko, ale pani stwierdziła, że w czwartek nie byłoby problemu, ale dzisiaj to już jej nie wolno mojego nazwiska usłyszeć. Oczywiście powiedziałem jak się nazywam. Strach i przerażenie w jej oczach były potworne. Więcej tego nie zrobię – naprawdę żal mi się kobiety zrobiło.

    -zasada rozliczalności jest moim zdaniem naprawdę istotną zmianą. Nikt nie będzie nam mówił jaką dokumentację mamy prowadzić. I to jest przerażające – przecież wiemy, że gdy jakiś organ nas dopadnie, to będzie robił wszystko, żeby coś na nas znaleźć. Dlatego będziemy odnotowywać wszystko… Stworzymy precyzyjne procedury podłączania zasilacza do laptopa, odbierając telefon dopełnimy obowiązku informacyjnego (zanim rozmówca się przedstawi) w przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem, upierając się, że 15 minut było niezbędne dla zwięzłego ich przekazania, wydamy upoważnienia do każdej czynności przetwarzania w rozbiciu na operacje przetwarzania w każdym systemie i dokumencie. Hmm… Nie jestem przekonany czy zwariowaliśmy, czy może jednak jest to racjonalne postępowanie wynikające z doświadczenia z różnymi organami i lektury prowadzonych przez prawników blogów ;)

    • Olgierd Rudak
      29 maja 2018 at 08:47

      Ale tak usilnie tylko przez miesiąc, do końca roku w miarę możliwości, a później to się zobaczy — bo życie weryfikuje wszystkie, nawet najbardziej absurdalne, wymysły i oczekiwania :)

      W 1997 r. była, toutes proportions gardées, podobna gorączka (nie było internetów, więc podkreślić proporcję trzeba) — nałożyły się na to umowy z komórkowymi (którym nie wolno było, jak dziś pamiętam jedną z pierwszych informacji „Pani GIODO”, kserować dowodów osobistych) — i co? I nico.

Dodaj komentarz

This site uses Akismet to reduce spam. Learn how your comment data is processed.