RODO to wielkie zmiany — które już od dawna znamy

Uwaga, czas na tekst z tezą; teza tekstu brzmi: całe gadanie, że RODO to wielka rewolucja w ochronie danych osobowych to bzdura, bo właściwie wszystko już było — a istotnych zmian jest niewiele i właściwie sprowadzają się do zdania no, teraz proszę już wszystko przetwarzać prawidłowo! Co pozwala mi na konstatację, że ten, kto postępował w sposób właściwy dotąd (właściwszy byłby czas teraźniejszy: postępuje), nie musi drżeć na dźwięk tych czterech literek.


RODO zmiany jakie zmiany
Pamiętacie moje zdziwienie, że monitoring prowadzony przez ZEW Niedzica S.A. został — nieco skromnie, ale jednak — opisany na tablicach wywieszonych na ogrodzeniu elektrowni? (fot. Olgierd Rudak, CC-BY-SA 3.0)

Oto moja subiektywna Lista Wielkich Zmian Narzuconych przez GDPR, które w gruncie rzeczy są kosmetyką lub nawet napisaniem od nowa (czasem szerzej, czasem przez wykreowanie trzech akapitów tam, gdzie wcześniej były dwa słowa) tego, co było mniej lub bardziej oczywiste od 20 lat:

  • zasada minimalizacji danych, obowiązek ograniczenia celu i „prawo do bycia zapomnianym” (art. 5 ust. 1, art. 17 RODO) — wszystkie te obowiązki mieszczą się w dzisiejszej zasadzie poprawności i adekwatności przetwarzania danych (art. 26 ust. 1 pkt 3 uoodo), z której wynika m.in. obowiązek usunięcia danych, które nie są już potrzebne (usunięcie danych nie wymaga zgody zainteresowanego, art. 23 ust. 1 pkt 1 uoodo); ba, przecież nie ma wątpliwości, że wyinterpretowane w orzecznictwie prawo do zapomnienia też wynika z wcale nie tak ortodoksyjnie rozumianej zasady adekwatności przetwarzania danych;
  • obowiązek uzyskania zgody na przetwarzanie danych osobowych dziecka (art. 8 RODO) — od 20 lat było jasne, że zgoda na przetwarzanie danych osobowych jest oświadczeniem woli (art. 7 pkt 5 uoodo), skutecznie złożyć oświadczenie woli może tylko osoba o pełnej zdolności do czynności prawnych, zatem co najwyżej polemizować można co do skutków wyrażenia zgody na przetwarzanie danych osobowych w przypadku młodzieży między 13 rokiem życia a uzyskaniem pełnoletności. GDPR o tyle jest uprzejme, że wprowadza swoją własną granicę wieku (16 lat) i pozwala prawodawstwu krajowemu na dalsze obniżanie tej cezury (ale mniej niż do 13 roku życia);
  • obowiązek informacyjny — lakoniczny jak dotąd katalog informacji, które należało przekazać przy zbieraniu danych od osoby (art. 24 ust. 1 uoodo) po prostu mocno się wydłuża (art. 13 RODO), zaś zszokowanych katalogiem informacji, które należy podać „w przypadku pozyskiwania danych w inny sposób, niż od osoby, której dane dotyczą” (art. 14 RODO) śmiem zapewnić, że podobnie szokujący przepis obowiązuje od 20 lat i na imię mu art. 25 uoodo — i nakazuje on każdemu, bezpośrednio po utrwaleniu danych, poinformować zainteresowaną osobę m.in. o zakresie i celu danych, źródle danych, a także prawie dostępu i poprawiania danych, etc.;
  • podmiot przetwarzający (art. 28 RODO) — to jest dla mnie największe zdziwienie, bo chociaż już dawno temu zauważyłem, że obowiązek pisemnej umowy o powierzenie przetwarzania się nie przyjął (art. 31 uoodo) — z czasem chyba sam zacząłem myśleć o tej normie w kategoriach desuetudo — to jednak rola procesora danych, odpowiedzialność administratora za działania procesora, etc. etc., zmieniają się tylko w szczegółach;
  • privacy by default & privacy by design (art. 25 i 26 RODO) — to kolejna wielka zmiana wynikająca z RODO, która w ogólnym zrębie już obowiązuje. Jakby na to nie patrzeć administrator już dziś ma obowiązek stosować środki techniczne i organizacyjne, które zapewnią bezpieczeństwo informacji (art. 36 uoodo) — różnica (ułatwienie dla administratora) jest taka, że RODO nie narzuca tych środków, lecz pozwala wybrać takie środki, jakie uzna za niezbędne i właściwe;
  • obowiązek powiadomienia innych administratorów, którym dane zostały ujawnione, o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych (art. 19 RODO) — wyjąwszy samo ograniczenie przetwarzania, które jest nowością obowiązek powiadomienia o uaktualnieniu lub sprostowaniu danych wynika z nadal obowiązującego art. 35 ust. 3 uoodo — do którego rzecz jasna mało kto się stosował (a próba stosowania często kończyła się niezrozumieniem oraz odrzuceniem przekazanej informacji — wie o tym ten, kto się użerał z pewną bazą informacji o przedsiębiorcach);

Część zmian oznacza tak naprawdę ułatwienie życia podmiotów, które przetwarzają dane osobowe, a mam tu na myśli zwłaszcza:

  • nowa definicja zgody na przetwarzanie danych osobowych (art. 4 pkt 11 RODO) — wprawdzie nadal okazanie woli musi być „dobrowolne, konkretne, świadome i jednoznaczne” — ale nie musi mieć stanowić oświadczenia woli, dopusczalne jest bowiem „wyraźne działanie potwierdzające”; dla przypomnienia dotąd zgoda musiała mieć postać oświadczenia woli i nie wolno jej było domniemywać lub dorozumieć z innej czynności (art. 7 pkt 5 uoodo);
  • zwiększenie liczby przesłanek przetwarzania danych osobowych (art. 6 ust. 1 RODO) — oczywiście nadal podstawą przetwarzania danych osobowych nie musi być wyłącznie zgoda osoby, łącznie przesłanek jest sześć, podczas gdy dotąd było ich tylko pięć (art. 23 ust. 1 uoodo);
  • możliwość zmiany celu przetwarzania danych osobowych (art. 14 ust. 4 RODO) — administrator może przetwarzać dane osobowe — niezależnie od podstawy prawnej ich przetwarzania — w innym celu niż wskazany przy ich pozyskaniu, pod warunkiem przekazania osobie zainteresowanej kompletu informacji; obecnie administrator nie może nawet odebrać uprzedniej zgody na przyszłą zmianę celu (art. 23 ust. 2 uoodo), zmiana celu bez zgody jest w ogóle niemożliwa (ergo zmiana celu wymaga dodatkowego „przepuszczenia” osoby przez procedurę odebrania zgody) — zaś zbieranie zgód na zapas jest oczywiście niedopuszczalne ze względu na zasadę adekwatności przetwarzania;
  • brak obowiązku prowadzenia rejestru czynności przetwarzania w przypadku małych i średnich przedsiębiorców (art. 30 ust. 5 RODO) — czyli takich, którzy zatrudniają do 250 pracowników, pod warunkiem, że nie przetwarzają danych wrażliwych lub też przetwarzanie „nie ma charakteru sporadycznego” i może powodować ryzyko naruszenia praw lub wolności osób, nie ma charakteru sporadycznego; dla porównania dotąd rejestracji podlegały praktycznie wszystkie zbiory (art. 40 uoodo, z niewielkimi wyjątkami — art. 43 ust. 1 uoodo);
  • brak obowiązku wyznaczenia inspektora ochrony danych przez administratora przetwarzającego dane incydentalnie (art. 37 ust. 1 RODO) — oczywiście obowiązująca jeszcze ustawa także nie nakłada obowiązku powołania ABI (art. 36a uoodo), jednak uważam, że regulacja wynikająca z GDPR jest klarowniejsza i bardziej przyjazna (chociaż niech będzie też jasne, że są sytuacje, w których wyznaczenie IOD będzie obowiązkowe!).

Oczywiście RODO wprowadza też rzeczywiste zmiany — m.in. obowiązek samodonosu do organu nadzorczego (art. 33 RODO) oraz do osoby zainteresowanej (art. 34 RODO), określenie zasad odpowiedzialności odszkodowawczej wprost w rozporządzeniu (art. 77, art. 82 RODO), możliwość nałożenia przez organ nadzorczych kar pieniężnych za naruszenie przepisów o ochronie danych osobowych (art. 83 RODO) — ale sumarycznie naprawdę można powiedzieć, że całe to zamieszanie to w sumie pic na wodę fotomontaż (co nie oznacza, że temat wolno zignorować).

subskrybuj
Powiadom o
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

15 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
15
0
komentarze są tam :-)x