Bilans pierwszego roku z RODO - więcej plusów czy minusów?

“Bo RODO” albo “z powodu RODO” — ile razy to słyszeliśmy w ciągu ostatniego roku? Za nami pierwszy rok obowiązywania rozporządzenia o ochronie danych osobowych. Co istotnego wydarzyło się w tym czasie? Co oznacza RODO dla statystycznego Jana Kowalskiego i Marii Nowak? Ułatwiło im życie, czy wręcz przeciwnie?

Bilans pierwszego roku z RODO - więcej plusów czy minusów?
  • Dorota Kraskowska
  • /
  • 24 maja 2019

Przepisy o ochronie danych osobowych obowiązujące od 25 maja 2018 roku dotyczą każdego podmiotu gromadzącego i wykorzystującego dane osobowe, a więc zarówno wielkich korporacji, jak i małych rodzinnych firm czy jednoosobowych działalności gospodarczych. Od roku w każdym państwie Unii Europejskiej obowiązują jednakowe przepisy w zakresie ochrony danych osobowych.

Obiegowa opinia głosi, że RODO oznacza więcej obowiązków dla firm, a więcej praw dla osób fizycznych. Przedsiębiorców odkładamy jednak na bok — w naszym tekście zajmiemy się tzw. zwykłym obywatelem, którego RODO nazywa “osobą fizyczną”.

Pod koniec pierwszego roku obowiązywania RODO doczekaliśmy się dostosowania krajowych przepisów do unijnego rozporządzenia. 4 maja 2019 roku weszła w życie ustawa, która dostosowała prawie 170 aktów prawnych do RODO. Zmiany dotyczą wielu obszarów, m.in.: prawa konsumenckiego, telekomunikacyjnego, kodeksu pracy, sektora bankowego i ubezpieczeniowego, praw pacjenta. I właśnie te zmiany w większości są korzystne dla konsumentów. Autorom zmian przyświecał cel główny — ma być łatwiej, a nie trudniej.

Czytaj także: 10 praw konsumenta gwarantowanych przez RODO

Absurdy RODO

Początki nie były łatwe, wszyscy trochę baliśmy się RODO, a z tego strachu narodziło się sporo absurdów związanych z nadinterpretacją przepisów. Cała Polska oburzała się na absurdalne interpretacje nadgorliwych “znawców” RODO, którzy uznali, że nowe przepisy zabraniają np. telefonicznego udzielania informacji rodzicom, do którego szpitala trafiły ich pociechy po wypadku autokaru szkolnego wiozącego dzieci na wycieczkę.

Obecnie, rok po obowiązywaniu przepisów RODO, taka sytuacja wydaje się niemożliwa. Ale rok temu zdecydowanie więcej było tych wystraszonych, a nóż Urząd Ochrony Danych Osobowych (UODO) wlepi wysoką karę za złamanie przepisów, lepiej więc dmuchać na zimne…

Pierwsza kara za naruszenie przepisów RODO w Polsce

W 10. miesiącu obowiązywania RODO przeżyliśmy pierwszą spektakularną karę nałożoną przez Prezesa UODO. Kwota była niebagatelna, bo wynosiła prawie 1 mln zł. Warszawska firma Bisnode została ukarana za złamanie przepisów RODO, ponieważ nie poinformowała wszystkich osób, których dane przetwarzała, bo wymagałoby to "niewspółmiernie dużego wysiłku". Sprawa jest w toku, bo firma uznała decyzję za niesprawiedliwą i odwołała się do sądu.

Pierwsza kara UODO wywołała jednak niemałe poruszenie wśród polskich przedsiębiorców. Wielu dopiero po tej decyzji zaczęło poważniej traktować kwestię podjęcia koniecznych czynności w kierunku dostosowania działalności do wymogów RODO.

Nasze podsumowanie zaczynamy od pozytywnej strony. Jakie korzyści przyniosło RODO?

Sprawdź też: QUIZ RODO — co wiesz o ochronie danych osobowych?

Plusy RODO

1. Większa świadomość swoich praw w temacie danych osobowych

RODO pozytywnie wpływa na rynek. Jak wynika z badań Deloitte, 58 proc. ankietowanych przyznaje, że przepisy wymogły na nich większą ostrożność w dzieleniu się danymi osobowymi z organizacjami. 44 proc. respondentów uważa, że za sprawą unijnego rozporządzenia firmy bardziej dbają o poufność ich danych osobowych.

Dodatnim aspektem jest więc bez wątpienia zmiana naszego podejścia do kwestii związanych z ochroną danych osobowych. Zarządzamy nimi ostrożniej, jesteśmy bardziej świadomi wszelkiego rodzaju zagrożeń, nadużyć i konsekwencji płynących z ignorancji w tym temacie.

2. Szerszy wachlarz praw dotyczących ochrony danych osobowych

Jan Kowalski i Maria Nowak po roku z RODO mają większą świadomość swoich praw i wiedzą, że jeśli ich dane są przetwarzane, przysługują im następujące prawa:

  • dostępu do danych,
  • sprostowania i aktualizacji danych,
  • usunięcia danych (prawo do bycia zapomnianym),
  • ograniczenia przetwarzania danych,
  • przenoszenia danych,
  • wniesienia sprzeciwu wobec przetwarzania danych
  • złożenia skargi do Urzędu Ochrony Danych Osobowych

Obejrzyj film: RODO i nowe prawa konsumentów

3. Większa świadomość na temat ochrony danych osobowych dzieci poniżej 16 roku życia

Sporo zmieniło się również w temacie przetwarzania danych dzieci w szkołach czy przedszkolach. Pomocny w tej kwestii może być poradnik „Ochrona danych osobowych w szkołach i placówkach oświatowych” wydany przez UODO przy współpracy z Ministerstwem Edukacji Narodowej.

Instytucje oświatowe musiały wprowadzić szereg zmian organizacyjnych oraz dostosować wykorzystywane systemy informatyczne do nowych wymogów prawnych dotyczących ochrony danych osobowych. Dopiero po wejściu RODO wielu rodziców dowiedziało się, że jeśli szkoła chce publikować zdjęcia uczniów na swojej stronie internetowej, musi wcześniej zebrać zgody rodziców lub opiekunów prawnych.

Ważną kwestią, która pojawiła się wraz z RODO, jest temat monitoringu w placówkach oświatowych. Stosowanie monitoringu w takich miejscach jest dopuszczalne tylko wtedy, gdy jest niezbędne i nie narusza godności ani innych dóbr osobistych dzieci. Przed instalacją monitoringu wizyjnego administrator powinien skonsultować tę decyzję z radą pedagogiczną i radą rodziców.

A co z publikacją list rekrutacyjnych dzieci w szkołach czy przedszkolach? Zgodnie z RODO publikowanie wyników procesu rekrutacyjnego na stronach internetowych placówek oświatowych jest niedopuszczalne, natomiast umieszczenie takiej listy na terenie przedszkola jest zgodne z prawem, choć musi być ograniczone w czasie. Te zmiany były również nowością dla wielu rodziców, którym przed wejściem przepisów RODO nie przyszłoby nawet do głowy, aby zaprotestować z powodu umieszczenia przez szkołę w internecie nazwiska swojego dziecka na liście przyjętych uczniów do 1 klasy.

Czytaj także: Jak chronić dzieci przed nieuprawnionym przetwarzaniem danych przez szkołę?

4. Korzystne zmiany dla pracowników

RODO wprowadziło szereg nowych obowiązków dla pracodawców. Zobowiązało ich do spełnienia obowiązku informacyjnego, czyli poinformowania pracowników o tym, kto jest administratorem danych osobowych, o celu przetwarzania danych, a także o uprawnieniach przysługujących pracownikom w tym obszarze.

Pracodawcy nie mogą już zbierać danych „na zapas”. Mogą zbierać tylko te dane, które są niezbędne w związku z wykonywaniem przez pracownika obowiązków zawodowych.

Pracodawcy muszą również z większą rozwagą stosować monitoring. Muszą mieć ku temu konkretną przesłankę, np. zapewnienie bezpieczeństwa pracownikom. Jeśli już monitorują, mają obowiązek poinformowania o tym swoich pracowników. Nie wolno “podglądać” pracowników w pomieszczenia sanitarnych, szatniach, stołówkach czy palarniach. Zakaz dotyczy również pomieszczeń udostępnianych zakładowym organizacjom związkowym.

Korzystne dla pracowników są również wytyczne w temacie monitoringu poczty elektronicznej. I tak na przykład nawet w sytuacji, w której z aktów wewnętrznych pracodawcy wynika zakaz korzystania z poczty służbowej dla celów prywatnych, a pracodawca natknie się na prywatną korespondencję pracownika, nie ma prawa jej przeczytać.

A co w wyrywkową kontrolą trzeźwości pracowników? RODO tego zabrania. Informacja o zawartości alkoholu we krwi pracownika jest daną osobową. Pracodawca może użyć alkomatu tylko wtedy, kiedy pracownik wyrazi zgodę na takie badanie.

Czytaj też: Wchodzą w życie tzw. e-akta. Co to oznacza dla pracowników i pracodawców?

5. Bezpieczniejszy konsument w sieci

Trzeba przyznać, że przepisy prawa przed RODO nie nadążały już za współczesną technologią, co oznaczało mnóstwo zagrożeń dla danych osobowych. Kwestia zmian w tym obszarze była już koniecznością. Dzięki RODO danymi osobowymi są również adresy IP i pliki cookies. RODO uregulowało nowe tematy dotyczące danych osobowych biometrycznych: źrenic czy linii papilarnych. Wykorzystywanie tych danych jako kodów dostępu do sprzętu IT jest dziś coraz powszechniejsze.

Dane osobowe są obecnie niezwykle cennym towarem. Dlatego RODO rozszerzyło zakres danych, które muszą podlegać większej ochronie oraz nakazuje podmiotom przetwarzającym minimalizowanie ilości przetwarzanych danych.

Czytaj także: Podpis odbioru przesyłek na tablecie. Czy to bezpieczne?

6. Większa ochrona przed nachalnym marketingiem

Agresywny marketing stosowany przez firmy budzi dzisiaj coraz większy sprzeciw wobec nadmiarowego przetwarzania danych osobowych. I choć większość z nas ma obecnie świadomość, że sprzedawcy nie mają prawa dzwonić do nas, bez naszej wcześniejszej zgody, z zaproszeniem na pokaz garnków czy pościeli, to i tak cały czas tego typu działania mają miejsce. Ale do czasu, bo już pojawiają się pierwsze kary za stosowanie takich praktyk. UOKiK ostatnio ukarał spółkę Smak i Zdrowie (dawniej Philipiak Polska) za telefonowanie do różnych osób i zapraszanie na pokazy sprzedażowe garnków.

Art. 6 ust. 1 RODO mówi wyraźnie o przetwarzaniem danych osobowych na podstawie zgody. Musi być ona dobrowolna, konkretna, świadoma i jednoznaczna, w formie oświadczenia lub wyraźnego działania potwierdzającego. Może to polegać na przykład na zaznaczeniu okienka wyboru (checkboxa) podczas przeglądania strony internetowej lub wypełnieniu formularza zgody w formie papierowej. Wyrażenie zgody na przetwarzanie danych osobowych nie może być domniemane lub dorozumiane z oświadczenia woli o innej treści. Zakazane jest także łączenie zgód. Zgoda powinna dotyczyć jednego celu. Wtedy klient ma wybór, w jakich konkretnych celach zostaną wykorzystane jego dane osobowe. No i oczywiście konsument ma prawo w każdej chwili wycofać wcześniej udzieloną zgodę.

Czytaj też: Kara UOKiK dla sprzedawcy garnków za zapraszanie na pokazy bez zgody klienta

Zobacz film: Jak stosować przepisy RODO w marketingu?

Minusy RODO

Czy RODO wiąże się z jakimiś utrudnieniami czy ograniczeniami dla konsumenta? Zdecydowanie przeważają plusy, choć parę negatywnych aspektów należy tutaj wymienić.

1. Nowy wachlarz oszustw — na RODO

Kreatywności w narodzie nie brakuje, bo wraz z wejściem RODO pojawiła się nowa fala naciągaczy — hasło “oszustwo na RODO” ma w prawie 3,5 mln różnych wyników w wyszukiwarce Google. Na przykład wiele firm otrzymywało wezwania do zapłaty za rzekome łamanie przepisów RODO. I karnie płacili…

Na rynku pojawiło się również wiele fałszywych firm doradczych oferujących wsparcie we wdrożeniu RODO w atrakcyjnych cenach, czy fałszywych urzędników przeprowadzających kontrole w firmach.

Czytaj też: Dotpay, Przelewy24 na celowniku oszustów. Cyberprzestępcy oszukują nas na potęgę

2. Nadinterpretacja przepisów — nadgorliwość, bezsensowne argumenty “to z powodu RODO”

Nadgorliwość i nadinterpretacja — te dwa “grzechy” były szczególnie często popełniane w pierwszych miesiącach obowiązywania RODO. Jaskrawym przykładem była sytuacja sprzed roku, dotycząca wątpliwości wielu placówek oświatowych, czy na koniec roku szkolnego można podczas uroczystej akademii wyczytać najlepszych uczniów ze świadectwami z czerwonym paskiem!

3. Niezrozumiałe dla konsumenta i rozbudowane w treści obowiązki informacyjne

Wszystkie podmioty przetwarzające dane osobowe są zobowiązane jest do spełnienia obowiązku informacyjnego, czyli poinformowania, kto jest administratorem danych osobowych, w jakim celu dane są przetwarzane, jakie uprawnienia ma osoba osoba, której dane są przetwarzane. I tu niestety zdarza się, że obowiązki informacyjne, wbrew wytycznym RODO, są niejasne, podane niezrozumiałym językiem.

Często nie jest spełniona tzw. zasada przejrzystości, która wymaga, aby wszelkie informacje i komunikaty związane z przetwarzaniem danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.

Czytaj także: Treść zgody i obowiązki informacyjne według RODO

4. Nadmiarowe zbieranie zgód, na wszelki wypadek, na przyszłość

Przed RODO firmy zbierały o klientach zdecydowanie zbyt dużo informacji, więcej niż potrzebowały do wykonania danej usługi. RODO mówi: koniec takich praktyk. Firmy mogą zbierać tylko takie dane, które są niezbędne do wykonania świadczonej usługi. Jeśli Kowalski chce otrzymać darmowego e-booka, wystarczy podanie tylko jego adresu e-mail. Firma oferująca e-booka nie potrzebuje nazwiska, adresu czy numeru telefonu Kowalskiego.

Zdarza się, że również pracodawcy zbierają zbyt dużo danych „na zapas”. Pracodawca musi mieć podstawę prawną do zbierania i przetwarzania konkretnych danych osobowych. Może zbierać tylko te dane, które są niezbędne w związku z wykonywaniem przez pracownika obowiązków wynikających z umowy o pracę. Powinien więc ograniczyć do minimum zakres zbieranych danych.

Podsumowanie

Bilans pierwszego roku wskazuje zdecydowanie na przewagę plusów nad minusami. Okazuje się więc, że nie taki diabeł straszny, jak go malowano na początku. Najważniejszą zmianą jest bardziej świadome podejście Jana Kowalskiego i Marii Nowak do zarządzania swoimi danymi osobowymi. Swoje zrobił też strach przed wysokimi karami za naruszenie przepisów RODO, dzięki temu firmy bardziej dbają o ochronę przetwarzanych danych osobowych. Czas pokaże, jakie zmiany w temacie przyniesie kolejny rok.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami prawnymi, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych - poniżej masz szybkie linki do udostępnień.

Security Magazine

Czy ten artykuł był przydatny?

Tagi: kary konsument RODO umowy firma pracownik Usługi Konsument w sieci Pracodawca

Powiązane posty

Popularne Tagi

Prawo w praktyce

REKLAMA / WSPÓŁPRACA

Sprawdź się

Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!