Ochrona danych osobowych i absurdy RODO
Ochrona danych osobowych to rzecz ważna, ale nadgorliwość w jej wdrażaniu może prowadzić do licznych problemów. Polska pod tym względem stała się przodownikiem, a absurdy związane z tym przywołują na myśl filmy Barei. Co ciekawe, dzieje się to w czasach gdy informatyczni giganci przetwarzają dane na niespotykaną u nas skalę.
Ogólne rozporządzenie o ochronie danych autorstwa Parlamentu Europejskiego i Rady Unii Europejskiej zaczęło obowiązywać 25 maja 2018 roku. Dotyczy ono danych osobowych zdefiniowanych jako informacje pozwalające zidentyfikować osobę fizyczną. Może to być zarówno numer PESEL, adres e-mail, jak i na przykład geolokalizacja czy historia zakupów. Zgodnie z nim organizacje zajmujące się przetwarzaniem danych muszą prowadzić rejestr „czynności związanych z przetwarzaniem danych”.
Obowiązek ten dotyczy przedsiębiorstw zatrudniających przynajmniej 250 osób a w przypadku niektórych informacji (np. związanych z zarządzaniem personelem, klientami) także mniejszych instytucji. RODO zapewnia także tak zwane prawo do bycia zapomnianym, a więc usunięcia danych żądającej tego osoby. Firma czy instytucja musi to uczynić, jeśli nie istnieją nadrzędne przyczyny dalszego przechowywania danych. RODO nakłada także obowiązek zgłaszania przypadków naruszania danych zainteresowanym osobom – jeśli istnieje ryzyko naruszenia czyichś praw i wolności – podaje „RODO Informator” dostępny na stronie Ministerstwa Cyfryzacji.
Szaleństwo związane z implementacją RODO wynika w znacznej mierze z kar nałożonych na osoby je łamiące. Maksymalna ich wysokość wynosi 10 milionów euro lub 2% rocznego obrotu w skali światowej z poprzedniego roku (liczy się wyższa kwota). Za niestosowanie stosownego nakazu organu nadzorczego maksymalna wysokość kary rośnie 2-krotnie. Co więcej, RODO dopuszcza łączenie kar administracyjnych (na przykład zakaz przetwarzania danych mogący prowadzić do paraliżu działania firmy) z karami pieniężnymi. Z drugiej jednak strony kara musi być proporcjonalna do szkody i nie prowadzić do nadmiernych utrudnień – jak przypomniał mecenas Stanisław Zawadowski [prawo.gazetaprawna.pl].
Ochrona danych – ważna sprawa
Ochrona danych osobowych jest potrzebna, czego dowodzi przykład Stanów Zjednoczonych, gdzie przepisy w tej kwestii są chaotyczne. W 2017 roku w Equifax – jednej z największych instytucji zajmujących się raportami kredytowymi doszło do wycieku danych aż 143 milionów osób. Hakerzy otrzymali dostęp do imion i nazwisk, numerów ubezpieczenia społecznego, dat narodzin, a niekiedy także numerów paszportów. W przypadku 209 tysięcy osób ukradli także numery kart kredytowych.[ [consumer.ftc.gov]. Znane są także przypadki wycieku e-maili z Yahoo albo danych z Ubera.
W „Stanach Zjednoczonych nie istnieje pojedyncze, spójne prawo federalne, regulujące zbieranie i użycie danych osobowych. Zamiast tego rząd dąży do osiągnięcia prywatności i bezpieczeństwa poprzez regulowanie tylko niektórych sektorów i niektórych rodzajów wrażliwych informacji (na przykład zdrowotnych czy finansowych), co sprzyja istnieniu nakładających się wzajemnie i sprzecznych ze sobą systemów ochrony” – pisze Nuala O’Connor [www.cfr.org].
Dlatego też autorka odwołują się do przykładu Unii Europejskiej jako systemu spójnego i bardziej efektywnego. Podsumowując RODO lub podobny dokument jest jako taki potrzebny. Problemem są jednak jego nieścisłości, a przede wszystkim nadgorliwość w jego wdrażaniu. To ostatnie stanowi w szczególnym stopniu problem Polski.
RODO i problemy w służbie zdrowia
Największe nasilenie absurdów związanych z implementacją RODO istniało tuż po jego wdrożeniu. Na przykład w jednej z przychodni w Wohyniu na Lubelszczyźnie pacjenci umieścili kartkę z godzinami przyjęć do przychodni. Zamiast nazwisk wyposażyli pacjentów w pseudonimy pochodzące ze świata bajek. W efekcie osoby w różnym wielu otrzymały pseudonimy takie jak Pepa, Jogi, Cezar czy Skrzat [wprost.pl].
Dochodzi(ło) jednak również do poważniejszych problemów. W Bielsku-Białej mężczyzna dowiedział się, że jego 27-letnia córkę wzięto do szpitala. Jednak nie mógł uzyskać informacji o nazwie i adresie placówki. Chodził najpierw na SOR szpitala wojewódzkiego, a następnie do siedziby pogotowia ratunkowego. Wszędzie mu jednak odmawiano. Dopiero wędrując po przypadkowych szpitalach, w końcu trafił na ten właściwy [rynekzdrowia.pl / 26.07.2018].
Autor tego tekstu z prywatnej rozmowy zna podobny przypadek. Otóż syn dzwoniąc do szpitala, nie mógł uzyskać informacji o stanie zdrowia matki. Powoływano się na ochronę danych osobowych i brak możliwości potwierdzenia czy rzeczywiście chodzi o najbliższą rodzinę. Jednak nazajutrz otrzymał on telefon od lekarza, który pytał się, jakie rodzaje lekarstw przyjmuje jego matka. W tym przypadku tożsamość nie była już przedmiotem wątpliwości.
Inny zasłyszany przez autora przypadek – również z rzeczywistości naszej służby zdrowia. 50-letni syn podchodzi z matką do okienka rejestracji. Starsza kobieta nie zna bowiem na pamięć swojego numeru PESEL ani nie potrafi go samodzielnie odczytać.
– Pojedynczo proszę – nakazuje recepcjonistka.
– Ale mama niedowidzi i dlatego muszą jej pomóc – brzmi odpowiedź mężczyzny.
Recepcjonistka akceptuje. Po chwili syn zaczyna czytać numer PESEL.
– Niech mama czyta! – brzmi zalecenie recepcjonistki.
– Ale mama niedowidzi – odpowiada mężczyzna.
Pracownik numer 3952434
Garść absurdów związanych ze wdrażaniem w Polsce RODO podał także Marek Krześnicki na portalu Bezprawnik.pl. Na przykład rada miasta Wieluń zwróciła uwagę na przerwanie transmisji Sesji Rady Miejskiej z racji „braku możliwości podpisania z serwisem YouTube, za którego pośrednictwem transmisja była realizowana, umowy powierzenia przetwarzania zgodnej z RODO”.
Do sieci przedostały się także informacje o firmie, która zamiast posługiwać się imionami i nazwiskami pracowników zdecydowała się na używanie numerów. Absurdalne roszczenia pojawiły się też po stronie obywateli. Co najmniej sto osób powołało się na „prawo do bycia zapomnianym”, domagając się usunięcia z bazy PESEL. Co więcej, pojawiły się także absurdalne próby zarobienia na RODO ze strony firm żerujących na niewiedzy obywateli. Przykładem są tu firmy oferujące specjalne „szafy RODO”, co sugeruje ich lepsze dostosowanie do przepisów niż zwykłe szafy.
Polska histeria z wdrażaniem RODO zdaje się już nieco przygasać, lecz wciąż jest na zbyt wysokim poziomie. Tymczasem w innych krajach, a w każdym razie w niektórych ich regionach słowo RODO nie budzi lęku, lecz wręcz jest lekceważone, a nawet całkowicie nieznane. Choć Polakowi trudno w to uwierzyć, to w Hiszpanii można spotkać przedsiębiorcę, który nigdy nie słyszał o czymś takim jak RODO. Choć to także nie jest wzór do naśladowania, to z pewnością warto zachować zdrowy rozsądek. Niestety u urzędników różnej maści nie zawsze jest on w cenie.
Marcin Jendrzejczak
Read more:
http://www.pch24.pl/ochrona-danych-osobowych-i-abs...
https://www.pch24.pl/ochrona-danych-osobowych-i-abs...