Po pięciu latach stosowania trudno o jednoznaczną ocenę unijnych przepisów. Plusem jest większa świadomość potrzeby ochrony danych, minusem – papierologia, niepewność prawa i ciągnące się latami postępowania.
Dziś mija równe pięć lat stosowania RODO. Początki były niełatwe – nauczycielka nie może wywoływać dzieci po nazwisku, imię zmarłego nie powinno być umieszczane na nagrobku, szafki na dokumenty trzeba wymienić na zgodne z RODO – to tylko próbka absurdów, o których prawie każdego dnia pisała prasa. Na szczęście większość z nich odeszła już w zapomnienie. Pozostała patologia setek, jeśli nie tysięcy wątpliwej jakości firm szkoleniowych, które nakłaniają przedsiębiorców na kursy, oczywiście gwarantując wystawienie RODO certyfikatu oraz przekazanie kompletnej RODO dokumentacji. W ofercie zazwyczaj wybijana jest groźba kar „do 20 mln euro”.
Próba podsumowania tego pięcioletniego okresu nie jest łatwa. Z jednej strony są ewidentne plusy wprowadzenia RODO, z drugiej jednak wiele z pokładanych w nim nadziei nie zostało spełnionych.
Wiemy więcej
Chyba największą zasługą RODO jest wzrost świadomości, że prywatność trzeba chronić – zarówno wśród obywateli, jak i administratorów.
– Choć przepisy o ochronie danych osobowych w Polsce obowiązują 25 lat, to dopiero za sprawą RODO wiele podmiotów dowiedziało się, że powinny chronić dane osobowe. Niektórzy lekceważyli obowiązki w tym zakresie i dopiero po rozpoczęciu stosowania nowych regulacji zmienili swoje podejście. Wiele osób dowiedziało się, że może kierować konkretne żądania wobec administratorów danych – podkreśla Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych.
Podobne spostrzeżenia ma większość zapytanych przez nas komentatorów.
– Ochrona danych osobowych przestała być czymś niszowym, nikomu nieznanym i trafiła na pierwsze strony gazet; wzrosła świadomość nas wszystkich dotycząca naszego prawa do ochrony danych osobowych i wartości naszych danych – zauważa dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.
Z drugiej strony wiedza na temat przepisów bywa bardzo powierzchowna. Wiele osób wciąż jest np. przekonanych, że RODO zakazuje telemarketerom dzwonienia z ofertami. Nic bardziej mylnego. Te kwestie reguluje ustawa – Prawo telekomunikacyjne (t.j. Dz.U. z 2022 r. poz. 1648 ze zm.), a skargi należy kierować do Urzędu Komunikacji Elektronicznej. Tymczasem wiele z nich, jeśli nie większość, wpływa do UODO.
Lepsza ochrona
Bez wątpienia dane osobowe są lepiej chronione niż kiedyś.
– Przedsiębiorcy i inne podmioty, które wykorzystują dane w swojej działalności, chcąc nie chcąc musiały podjąć choćby minimum działań chroniących prywatność. Chociaż nie zawsze jest idealnie, to jednak RODO wymusiło zrobienie kroku w stronę większego bezpieczeństwa danych osobowych – mówi Sławomir Kowalski, adwokat, partner w GRC Legal.
– Częściowo, szczególnie wśród dużych podmiotów, zadziałała prewencyjnie możliwość nałożenia administracyjnych kar pieniężnych, ponieważ administratorzy zwracają większą uwagę na swoje obowiązki ochrony danych, mimo że sytuacja nie jest jeszcze idealna – dodaje Grzegorz Sibiga, prof. INP PAN, partner w kancelarii Traple Konarski Podrecki i Wspólnicy.
Co ciekawe, przedsiębiorcy, którzy poważnie podeszli do sprawy, mogli na tym zyskać, także biznesowo.
– RODO z pewnością przyniosło korzyść dla biznesu w postaci przeglądu procesów i zasobów. Niejednokrotnie przy audycie zauważałem zdziwienie, gdy biznes dowiadywał się, jak proces faktycznie przebiega lub jakie zasoby są wykorzystywane. Momentalnie orientowano się, że można to robić bardziej efektywnie. Nie tylko z korzyścią dla danych osobowych, lecz także organizacji – przekonuje Jan Komosa, adwokat z firmy DAPR.
Na to nakłada się inny pozytywny efekt – informowanie zainteresowanych o ich prawach, ale i zagrożeniach.
– Wymagania związane z transparentnością na pewno sprawiły, że znacznie więcej wiemy na temat przetwarzania swoich danych osobowych, i to mimo że często krytykujemy długość i formalizm klauzul informacyjnych – zaznacza prof. Grzegorz Sibiga.
Firmy przestały też zamiatać problemy pod dywan. Przed RODO nikt nie informował zainteresowanych o tym, że ich dane wyciekły – teraz jest taki obowiązek, choć nie w każdej sytuacji. Trzeba też to zgłaszać do UODO.
– Skończyło się ukrywanie naruszeń ochrony danych osobowych, także przed ofiarami tych naruszeń – przyznaje dr Paweł Litwiński.
Big techy poza kontrolą
Nie brakuje jednak głosów krytycznych. Niektórzy, jak dr Litwiński, uważają nawet, że więcej się nie udało, niż udało.
Problemów jest wiele. Jednym z nich jest skupienie się na papierologii zamiast na rzeczywistej poprawie bezpieczeństwa danych.
– Wynika to z nadmiernego skupienia działań nadzorczych na kwestiach formalnej zgodności z RODO. W konsekwencji produkujemy masę procedur, instrukcji, umów i klauzul, które mało kto czyta i które często niewiele wnoszą, jeśli chodzi o skuteczność ochrony danych osobowych i transparentność przetwarzania. Nie tak to miało wyglądać, niestety tracimy energię na rzeczy mało istotne, a kwestie znaczące umykają uwadze – ubolewa Sławomir Kowalski.
Nie spełniły się też nadzieje na ucywilizowanie działalności big techów, które wciąż robią z naszymi danymi, co chcą i jak chcą.
– Dotyczy to niestety najpopularniejszych usług, takich jak sieci społecznościowe, narzędzia analityczne, komunikatory czy pakiety biurowe. Ustalenie, kto, jak i po co wykorzystuje dane użytkowników, jest często trudne lub niemożliwe – zauważa Sławomir Kowalski.
Dużo zastrzeżeń komentatorów wzbudza też działalność organu ochrony danych. Przede wszystkim ciągnące się latami postępowania.
– Jeśli osoba, której dane dotyczą, latami czeka na rozpatrzenie jej skargi na naruszenie prawa do ochrony danych osobowych, to prawo to, przynajmniej w części spraw, zaczyna tracić swe znaczenie – ocenia prof. Grzegorz Sibiga.
Przedsiębiorców niepokoją też niektóre konkretne rozstrzygnięcia organu. Chodzi m.in. o konsekwentne odmawianie prawa do przetwarzania danych po zakończeniu umowy z klientem. Firmy obawiają się, że nie mając danych, np. o zrealizowanej usłudze, nie będą mogły bronić się przed roszczeniami.
– To powinno być dopuszczalne na podstawie przesłanki prawnie uzasadnionego interesu. RODO nie stoi temu na przeszkodzie, a urząd nie działa w próżni społecznej i gospodarczej i powinien zdawać sobie sprawę z tego, że jego decyzje w tym zakresie prowadzą do poważnych problemów, również po stronie konsumentów – argumentuje dr hab. Arwid Mednis z Wydziału Prawa i Administracji UW, wspólnik w kancelarii Kobylańska Lewoszewski Mednis.
Najczęściej pojawiającą się obawą związaną z RODO jest jednak transfer danych do USA. Po decyzji irlandzkiego organu ochrony danych nakładającej gigantyczną karę 1,2 mld euro żaden z przedsiębiorców nie może spać spokojnie. A wielu, zwłaszcza mniejszych, nie ma nawet świadomości, że dane transferuje.
– Trudno sobie wyobrazić funkcjonowanie biznesu bez pakietu Office albo to, że nagle obywatele Unii mają wyłączoną pocztę Gmail – zauważa Jan Komosa.
Po unieważnieniu dwóch porozumień, które legalizowały transfer do USA, Komisja Europejska wynegocjowała kolejne, ale już słychać, że nadal nie zapewnia ono odpowiednich standardów ochrony danych i znów może być podważone. ©℗
