RODO wskazówki - RODO oczami eksperta

Poniższy artykuł otwiera stałą rubrykę, poświęconą zagadnieniom opisującym problematykę ochrony danych osobowych. Niewiele znajdzie się w niej zawiłych definicji, niezrozumiałych odnośników do szybko zmieniających się przepisów prawa i kolejnych wymogów, zawartych w krajowych i europejskich regulacjach. Sporo będzie za to praktyki.

Istotą tej rubryki jest jej wartość praktyczna, ukazana oczami ekspertów, wspierających w codziennej działalności zarządy spółdzielni mieszkaniowych, zarządców nieruchomości, wspólnoty mieszkaniowe i wiele innych podmiotów, reprezentujących sektor państwowy i prywatny. Zachęcamy Państwa do lektury i zapewniamy: RODO nie musi być trudne!

Lawinowy wzrost skarg i wątpliwości

Na początek garść informacji ogólnych, przed którymi nie da się uciec. 29 listopada 2019 r. do publicznej wiadomości dotarł komunikat o reorganizacji Urzędu Ochrony Danych Osobowych. Uwagę przykuły dwa nowe departamenty: Departament Skarg, mający zwiększyć efektywność prowadzonych przez Urząd postępowań oraz Departament Kontroli i Naruszeń, którego zadania, jak sądzę, nie wymagają dodatkowych wyjaśnień.

Zdaniem Urzędu, przeprowadzone zmiany wynikały z konieczności zarządzania, lawinowo przyrastającymi skargami, pochodzącymi od podmiotów danych, a także zgłoszeniami potencjalnych naruszeń ochrony danych osobowych przez administratorów danych. Niby wszystko jasne. Niby! A dziś mówi się o tysiącach spraw, wątpliwości, niejasności i problemów. Skąd zatem się one biorą?

Kiedy w latach 2016–2018 wdrażano do polskiego systemu prawnego wymagania Rozporządzenia o ochronie danych osobowych (dalej: RODO) wiele uwagi poświęcono nieuchronności potencjalnych kar finansowych, nakładanych na administratorów danych, których wrażliwość na prawa i wolności osób fizycznych odbiegać będzie od przyjętych, choć jeszcze nie ugruntowanych norm. Nie zwracano jednak uwagi na trudne i zawiłe ujęcie nowego podejścia do procesu ochrony danych osobowych i tak już wystarczająco skomplikowanego wcześniej. Nie skupiano się na pojedynczych, krytycznych głosach, prorokujących negatywny wpływ nowych wymagań określonych w RODO na procesy biznesowe, a także – o zgrozo – na życie codzienne obywateli. Krytyczne uwagi potwierdziły się w pełnym zakresie, a RODO, pomimo niespełna 2-letniego funkcjonowania w systemie prawa powszechnego, doczekało się własnej „legendy”. Niestety, czasem żenującej, ale faktem jest, że RODO stało się jednym z najbardziej krytykowanych aktów prawnych ostatnich dziesięcioleci.

Niechlubna legenda RODO

Kolejne oceny i bilanse sporządzane przez pracowników organu nadzorczego, podsumowujące funkcjonowanie RODO, wciąż opierają się jego niesławnemu mitowi. I choć nikt oficjalnie nie mówi o „absurdach RODO”, „koszmarze polskiego przedsiębiorcy”, „paraliżującym strachu”, „jedenastej pladze egipskiej”, nie od dziś wiadomo, że przepisy RODO nie należą do najłatwiejszych. Tym bardziej, że stanowią wdrożone wprost rozporządzenie unijne, napisane językiem ani prostym, ani jednoznacznym. Nie budzi zatem zdziwienia fakt, że tak trudno wprowadzić w pełnym zakresie wszystkie wymagania RODO do toczących się procesów biznesowych, gdy w wielu przypadkach działania administratorów danych opierają się, nie na wiedzy eksperckiej, a na tzw. wiedzy powszechnej, usankcjonowanej obiegową zgodnością poglądów, wypracowanych w zaciszu gabinetów przedstawicieli środowisk branżowych.

Prawo a praktyka

Odpowiedzią na pojawiające się wątpliwości wobec praktycznego stosowania RODO, w procesach przetwarzania danych osobowych, stanowią m.in. opinie, wyjaśnienia i interpretacje publikowane na stronie internetowej Urzędu Ochrony Danych Osobowych. Z ich analizy wynika, że choć są niezwykle pomocne, nie zawsze stanowią uniwersalne remedium na RODO, i nie zawsze jednoznacznie wskazują sposób działania w codziennym przetwarzaniu danych osobowych. Przykładem problemów interpretacyjnych może być trwający wiele miesięcy proces konsultacji, związany z prowadzonym przez administratorów danych monitoringiem wizyjnym, czy też stanowisko Prezesa Urzędu Ochrony Danych Osobowych, związane z przetwarzaniem danych osobowych w ramach realizacji wymagań określonych w przepisach o Pracowniczych Planach Kapitałowych (PPK).

Także i procesy przetwarzania danych osobowych, toczące się w spółdzielniach oraz wspólnotach mieszkaniowych, doczekały się opinii i wyjaśnień ze strony organu nadzorczego. Dzisiaj już, mam taką nadzieję, nie stanowią problemu odpowiedzi na pytania: czy można udostępnić najemcy lokalu dane osobowe jego współwłaścicieli oraz informacje o wnoszonych miesięcznych opłatach? Czy na klatce schodowej można umieścić obwieszczenie o licytacji komorniczej? Czy i kiedy można pobrać opłatę za udzielenie informacji osobie, której dane dotyczą? W jaki sposób doręczać korespondencję podmiotom, mającym tytuł prawny do lokalu?

Aby lepsze, nie było wrogiem dobrego

Niezależnie od publikowanych opinii organu nadzorczego, dotychczasowa – ugruntowana – praktyka obrazuje, jak ważnym jest profesjonalne wsparcie administratora danych przez podmiot, wyspecjalizowany w zarządzaniu procesem ochrony danych osobowych. Tym bardziej, że praktyczne wypełnienie norm zapisanych w RODO wymaga zarówno interdyscyplinarnego podejścia, jak i fachowej wiedzy, popartej wieloletnim doświadczeniem. Szczególnie w czasie, gdy z jednej strony wzrasta społeczna świadomość praw i wolności, wynikających z RODO, a z drugiej kary finansowe – nakładane przez organ nadzorczy na nierzetelnych administratorów danych – stały się rzeczywistością. Nader kosztowną. Wydaje się zatem, że zmiany strukturalne Urzędu Ochrony Danych Osobowych mogą wspierać realizację praw i wolności podmiotów danych, ale czy staną się nieodzownym elementem analizy ryzyka, prowadzonego przez administratorów danych, pokażą najbliższe miesiące. I aby lepsze, nie było wrogiem dobrego.

Grzegorz Leśniewski

PDP Group sp. z o.o.