RODO – czyli co?
Od tygodnia żyjemy w Europie z RODO. Co się zmieniło się w naszej codzienności?
25 maja weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 7 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – tak brzmi pełna nazwa RODO.
Przeciętny użytkownik internetu zauważył RODO przede wszystkim w swojej skrzynce mailowej. Dawno zapomniane portale, z których kiedyś korzystaliśmy i sklepy internetowe, w których kiedykolwiek coś kupiliśmy – nagle przypomniały sobie o nas. Zapewniając, że dzięki RODO posiadane przez nich nasze dane osobowe będą bezpieczne.
Rzutem na taśmę
RODO jest rozporządzeniem Parlamentu i Rady Europejskiej. W przeciwieństwie do dyrektywy unijnej obowiązuje w jednakowym brzmieniu w całej Unii Europejskiej. Dyrektywa zaś musi być każdorazowo zaimplementowana do systemu prawnego wszystkich państw.
W hierarchii unijnego systemu prawnego rozporządzenie stoi ponad ustawami uchwalanymi przez parlamenty. A to oznacza, że trzeba zawczasu zadbać, by z chwilą wejścia w życie unijnego rozporządzenia jego zapisy nie pozostawały w sprzeczności z ustawami prawa krajowego. Jak rząd PiS-u poradził sobie z tym problemem?
Marnie. Parlament Europejski uchwalił RODO dokładnie dwa lata temu – wiosną 2016 roku. Dając rządom i parlamentom wszystkich państw unijnych aż dwa lata na dokonanie koniecznych zmian w prawie krajowym. To zresztą żmudna i mrówcza praca. Szacowano, że w Polsce wejście w życie RODO oznacza konieczność przejrzenia całego prawodawstwa i dokonania zmian w ponad 100 ustawach. Rząd Beaty Szydło sprawy RODO nie załatwił, zostawiając ją w spadku rządowi Mateusza Morawieckiego.
Ostatecznie Sejm ustawę o ochronie danych osobowych – dostosowującą polskie prawo do RODO – uchwalił dopiero w maju tego roku. A prezydent podpisał ją 22 maja, na trzy dni przed wejściem w życie RODO. Czyli wszystko po staremu. Rządy się zmieniają, a prawo pisze się na kolanie w ostatniej chwili.
90 milionów
Za jakiś czas okaże się, jakie są skutki dostosowywania polskiego prawa do RODO „na chybcika”. Ile błędów popełniono? Jedno jest pewne. Nie odpowiedzą za nie posłowie i senatorowie rządzącej większości, ani ministrowie z gabinetów Morawieckiego i Szydło. A sprawa jest poważna.
Funkcjonujący dotychczas w Polsce GIODO (Główny Inspektor Ochrony Danych Osobowych) nie dysponował uprawnieniami do nakładania kar w przypadkach naruszenia zasad ochrony danych osobowych. Od 25 maja pojawiły się kary. A ich maksymalna wysokość jest drakońska. W przypadku złamania przepisów RODO można zainkasować karę w wysokości 20 milionów euro (ok. 90 milionów zł) lub nawet do 4 proc. obrotu firmy.
Szefowa GIODO, Edyta Bielak-Jomaa zapewnia, że z możliwości nakładania kar nie chce uczynić żadnego szczególnego narzędzia. „Nie chcemy traktować kar jako narzędzia, które sprawia nam radość” – mówi Bielak-Jomaa. Zobaczymy. Bo w przeciwieństwie do GIODO, ministrom finansów z pewnością sprawi radość nowa możliwość łatania dziur w budżecie. A politykom posiadanie potężnego bata na niepokornych.
RODO to nie tylko przedsiębiorcy i internet. To również „trzeci sektor”. Już teraz rządzący skrupulatnie kontrolują wrogie PiS-owi stowarzyszenie Obywatele RP. Można też sobie wyobrazić jak wiele danych osobowych przetwarza rokrocznie Wielka Orkiestra Świątecznej Pomocy, pochodzących z imiennych darowizn i aukcji.
Udowodnić niewinność
Gdy do firmy lub fundacji przychodzi kontrola finansowa, to zadaniem urzędników jest wykrycie ewentualnych nieprawidłowości w prowadzonej dokumentacji. W RODO będzie odwrotnie. To obowiązkiem administratora danych będzie udowodnienie urzędnikowi lub skarżącemu się, że jest niewinnym. I wykazanie, że kontrolowana lub podejrzewana o nieprawidłowości w przetwarzaniu danych osobowych instytucja wypełnia wszystkie zapisy RODO.
Duzi dadzą sobie radę. Takie firmy jak operatorzy telefonii komórkowej, telewizje satelitarne i kablowe, wiodące sklepy internetowe zatrudnią sztaby fachowców od każdej litery zapisanej w RODO. Ale jak poradzą sobie ci, do których świadomości jeszcze nie dotarł fakt, że są administratorami „baz danych”. Fryzjerka, z którą właśnie umówiliśmy się na mycie i strzyżenie.
Doktor anonim
Leżący obok nożyczek i szamponu otwarty notes z naszym nazwiskiem i telefonem – to niewątpliwie „baza danych” zakładu fryzjerskiego. A rozmowa telefoniczna z klientką i zapisanie jej na wizytę o 14-tej – to oczywiście „przetwarzanie” danych osobowych.
Więcej ciekawych przykładów ochrony danych osobowych znajdziemy w filmiku „RODO dla pacjentów”, przygotowanym przez ministerstwo cyfryzacji. „Lekarzu, koniec z rozkładaniem kart pacjenta na stole” – mówi Maciej Kawecki, dyrektor departamentu zarządzania danymi w resorcie cyfryzacji i jednocześnie koordynator RODO. Wchodzący do gabinetu pacjent nie może wiedzieć, kto był u lekarza przed nami lub pojawi się po nas.
I więcej, zdaniem ministerstwa cyfryzacji z drzwi gabinetów lekarskich powinny zniknąć tabliczki z napisem „lekarz ginekolog” lub „lekarz internista”. Chodzi o to, by inni pacjenci nie dowiedzieli się, do lekarza jakiej specjalności czekamy w kolejce. Trochę to zakrawa na paranoję, bo przecież siedzący obok w tej samej dusznej przychodni też czekają do tego samego lekarza. Moim skromnym zdaniem ważniejsze jest zlikwidowanie kolejek do lekarzy, a nie tabliczek na drzwiach.
Świeckie państwo
Podobno żyjemy w świeckim państwie. I w tym świeckim państwie mamy „państwo w państwie”. Kościół. Proboszczowie i biskupi nie obawiają się kłopotów po wprowadzeniu RODO. Właśnie podjęli próbę ominięcia jego rygorów. Furtką ma być artykuł 91 unijnego rozporządzenia. Mówi on, że kościoły i związki wyznaniowe, które w chwili wejścia w życie RODO stosowały szczegółowe zasady ochrony danych osób fizycznych – mogą je stosować nadal. Taka sytuacja jest na przykład w kościołach niemieckich.
Problem w tym, że polskie kościoły nie miały nigdy uporządkowanych zasad ochrony danych osobowych. Przekonywali się o tym szczególnie ci, którzy toczyli długotrwałe boje z urzędnikami kościelnymi o usunięcie własnych danych osobowych z ksiąg parafialnych – po apostazji, czyli deklaracji wystąpienia z kościoła. Teraz biskupi starają się nadrobić zaległości. Przygotowali „dekret ogólny Konferencji Episkopatu Polski w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim”. Mimo że RODO już weszło w życie, dekret nie nabrał jeszcze mocy kanonicznej. Czeka bowiem w Watykanie na podpis papieża.
Czy po wejściu w życie kościelnego dekretu wierni będą mogli decydować o sposobie wykorzystywania zgromadzonych w parafiach danych osobowych? W szczególności, czy w Kościele będzie obowiązywała jedna z fundamentalnych zasad RODO: prawo do bycia zapomnianym? Nie!
KIODO
Póki co Kościół ma swoje własne „GIODO”. Nazywa się KIODO, czyli Kościelny Inspektor Ochrony Danych Osobowych. Został nim ksiądz Piotr Kroczek. On będzie alfą i omegą „kościelnego RODO”. I ostateczną instancją w ewentualnym sporze wiernych z Kościołem dotyczącym ochrony danych. Wydawać by się mogło, że w świeckim państwie takie sprawy są domeną sądów. Nie w Polsce. Jeśli ktoś z nas uzna, że Kościół narusza prawo, przetwarzając w sposób nieuprawniony nasze dane osobowe, organem odwoławczym na drodze administracyjnej będzie… Kościelny Inspektor Ochrony Danych Osobowych.
Nie należy się również spodziewać skutecznego usuwania naszych danych osobowych z ksiąg kościelnych. Można oczywiście taki wniosek zanieść do proboszcza. Ale zostanie on odrzucony, jeśli okaże się, że nasze dane są kościołowi „niezbędne dla celów, w których zostały zebrane lub w inny sposób przetwarzane” (art. 14 dekretu). Formuła będąca istnym workiem bez dna.
I oczywiście w księgach parafialnych muszą po wsze czasy pozostać informacje o sakramentach – nawet dzisiejszych niewierzących. To na wypadek nawrócenia…
Bilans na plus
Czy mimo wymienionych zagrożeń, bilans Europy i Polski z RODO wychodzi „na plus”. Zdecydowanie tak. W dzisiejszym świecie zbiory danych osobowych są bezcenne. W biznesie baza klientów jest niejednokrotnie cenniejsza niż maszyny i mury fabryki. Dla polityków „bazą klientów” są wyborcy. Znając ich imiona, nazwiska, poglądy, zainteresowania – można do nich adresować specjalnie przygotowany przekaz wyborczy. Przekonała nas o tym nie tak dawna afera z firmą Cambridge Analytica w tle. Dane pozyskane z 87 milionów kont Amerykanów na Facebooku zostały wykorzystane, by pomóc Donaldowi Trumpowi w drodze do Białego Domu. Zresztą ta sama afera pokazała, z jaką nonszalancją traktowane były dane użytkowników przez właściciela tego serwisu społecznościowego.
RODO z pewnością będzie lepiej dbało o bezpieczeństwo danych osobowych obywateli. Będzie zdecydowanie bardziej surowe dla tych wszystkich, którzy gromadzą i wykorzystują te dane.
Czy po wejściu w życie RODO zmniejszy się ilość telefonów, którymi nękają nas sprzedawcy wszystkiego? Kont bankowych, ubezpieczeń, rewelacyjnych nagród, które rzekomo wygraliśmy. I zwykłych – niezwykłych – garnków. To się okaże. Kościół już kombinuje jak RODO ominąć. Ale nie będzie w swoich działaniach osamotniony. „Dziur” w RODO będą szukali wszyscy, dla których przetwarzanie danych osobowych jest po prostu dobrym biznesem.
***
To też ważne. Byśmy żyjąc w świecie RODO zachowali zdrowy rozsądek. I nie wrócili do podpisywania się trzema krzyżykami – dla ochrony naszego cennego imienia i nazwiska.