Problemy z RODO. Winni prawnicy?

Minął już ponad rok od wejścia w życie drugiego po Konstytucji najpopularniejszego aktu prawnego w Polsce, czyli RODO. W tym czasie w opinii publicznej zwracano uwagę na absurdy związane ze stosowaniem tego rozporządzenia, winę najczęściej zrzucając na firmy szkoleniowe czy na prawników.

Jeden z głośniejszych sporów z RODO w tle dotyczy zakazu badania trzeźwości pracowników bezpośrednio przez pracodawcę. Pod takim stanowiskiem podpisał się nawet Prezes Urzędu Ochrony Danych Osobowych. W środowisku prawniczym wybuchła burza. Podobno któraś ze stacji telewizyjnych zwróciła się do jednego z prawników-ekspertów od RODO z prośbą o komentarz w taki oto sposób:

Potrzeba nam Waszego racjonalnego podejścia. Chce mieć Pan na sumieniu dzieci, które zginęły w wypadku samochodowym dlatego, bo szkoła zrezygnowała z prewencyjnych testów alkomatem wobec kierowców?

W dyskusjach o RODO wciąż nie przestają pojawiać się postulaty o rodoracjonalność w podejściu do tych przepisów. Jeden akt prawny, a tak wiele kontrowersji.

Co jest nie tak z tym RODO?

W mojej ocenie Polacy to w większości niepoprawni unioentuzjaści, dlatego Unia Europejska pozostaje poza jakimikolwiek oskarżeniami. Mało kto zwraca uwagę na szalejącą biurokrację, z rzadka pojawiają się zarzuty „biegunki legislacyjnej”, a jeśli już, to na ogół są skierowane do polskiego Sejmu, ale nie do Brukseli. Znajomość absurdalnych tematów i wniosków rezolucji, które produkuje Parlament Europejski jest wśród Polaków prawie zerowa. Wydaje mi się, że powszechne ubóstwienie unijnych dotacji oraz mentalność pokoleń pamiętających PRL, dla których „Zachód” na zawsze pozostanie wzorem do naśladowania, utrudniają nam trzeźwą ocenę sytuacji.

Patrząc z perspektywy praktyka, moim zdaniem RODO to akt przegadany, nadmiarowo obciążający przetwarzających dane osobowe. Nie jest wypadkiem przy pracy, a rezultatem choroby zwanej biurokracją. Z drugiej strony doceniam, że RODO porusza ważne zagadnienie, jakim jest ochrona danych osobowych, a ponadto zawiera pewną spójną ideę i wiele przemyślanych rozwiązań. Jednak aby zadziałały one w pełni skutecznie, niezbędna jest odpowiednia kultura stosowania prawa, polegająca m. in. na zaufaniu i partnerskim podejściu organów administracji publicznej i podmiotów, na których nakłada się obowiązki. Co więcej ta kultura powinna być podobna w każdym kraju, w którym obowiązuje RODO.

U wielu przedsiębiorców, zmęczonych kolejnymi obowiązkami biurokratycznymi, brakuje woli stosowania RODO. Jeśli już decydują się wdrożyć te przepisy, to często jednorazowo, na zasadzie „proszę przygotować odpowiednie dokumenty i będę miał spokój”. Nie da się w ten sposób być zgodnym z RODO, ponieważ w myśl przepisów tego aktu prawnego ochrona danych osobowych jest procesem, który kończy się wraz z działalnością firmy (a czasem nawet później).

Ale bywa gorzej. Kilka dni temu widziałem ogłoszenia o pracę przy wejściu do jednego ze sklepów popularnej sieci drogerii, informujące o tym, że osoby, które chcą tam pracować muszą w dokumentach aplikacyjnych wyrazić zgodę na przetwarzanie swoich danych w myśl ustawy o ochronie danych osobowych z 1997 r. Ustawa ta już nie obowiązuje (wyparło ją RODO!) a i zgoda na gruncie RODO i przepisów Kodeksu pracy nie jest wystarczającą podstawą przetwarzania danych kandydatów. Jeden z największych banków w Polsce w odpowiedzi na sprzeciw, dotyczący wykorzystania adresu e-mail do badania satysfakcji swoich klientów, powołał się wyłącznie na postanowienia swojego regulaminu. Ani ten regulamin, ani sama odpowiedź dyrektora ds. obsługi klientów banku w ogóle nie wspomniała o RODO. Przede wszystkim bank nie poinformował na jakiej podstawie prawnej przetwarza dane osobowe, w jakim celu i jakie prawa przysługują osobom, których dane są przetwarzane.

Moją uwagę jednak najbardziej zwracają błędnie sformułowane klauzule z informacjami o przetwarzaniu danych osobowych kierowane do kandydatów przez niektóre kancelarie prawne oferujące swoim klientom wsparcie w zakresie RODO. A już wisienką na torcie są takie ogłoszenia, które mają być testem dla aplikujących prawników:

Osoby zainteresowane prosimy o przesłanie CV wraz z prawidłową klauzulą w zakresie przetwarzania danych osobowych.

Ja wysłałbym CV bez klauzuli zgody i z chęcią porozmawiałbym z pracodawcą-prawnikiem o tym, czy przekazując dokumenty rekrutacyjne, mogę jednocześnie nie wyrażać zgody na przetwarzanie zawartych w nich informacji. Ciekawe czy w dobie „rynku pracownika” tacy eksperci oferują swoim klientom rozwiązania, zgodnie z którymi CV bez pisemnych klauzul zgody lądują w koszu…

Kolejnym powodem trudności jakie sprawia nam RODO, jest fakt, że zostało ono napisane bardziej z perspektywy brytyjskiego systemu prawnego niż kontynentalnego. Polscy prawnicy nie są do tego przyzwyczajeni. Skoro sposób napisania RODO sprawia trudności prawnikom, to co dopiero nie prawnikom! Z zażenowaniem wspominam informacje pojawiające się w mediach przed wejściem w życie RODO, zachęcające wielu przedsiębiorców do samodzielnego przygotowania się na stosowanie nowych przepisów. Znam przypadki, gdy przyniosło do nieodwracalne szkody dla przedsiębiorstwa. Na szczęście dziś już tak szalonych głosów prawie nie słychać.

Recepta

Po wielu doświadczeniach i obserwacjach z czystym sumieniem do pomocy w stosowaniu przepisów RODO polecam prawników, ale tych otwartych, odrzucających schematy i rozumiejących stosowanie prawa oparte na ryzyku. Prawników, którzy nie dali się oszukać uproszczeniom i rozumieją, że RODO nie dotyczy bezpieczeństwa informacji a ochrony praw i wolności osób, których dane są przetwarzane. Takich którzy są na bieżąco i nie zajmują się ochroną danych osobowych tylko dorywczo, bo sama literalna znajomość przepisów RODO to zdecydowanie za mało. Potrzeba nam więc nie tylko specjalistów „z prawdziwego zdarzenia”, ale także prawodawcy jak najmniej skażonego chorobą biurokracji, czyli zdającego sobie sprawę, że ustawy i urzędnicy nie rozwiążą wszystkich problemów.