Wszystkie teksty umieszczane na Linkedin lub naszych stronach internetowych są naszą opinią. Prosimy nie traktować ich jako porady prawnej w konkretnej sprawie, ponieważ konkretna sprawa zawsze wymaga indywidualnej analizy.
Przedsiębiorcy i rodoentuzjaści na całym świecie zostali świątecznie obdarowani długo wyczekiwanymi opiniami Grupy Roboczej art. 29 na temat zgód i transparentności. Oczekiwania były wielkie.
W założeniu, opinie tego grona, składającego się z tęgich i doświadczonych głów, mają pomóc zrozumieć i zastosować przepisy rozporządzenia ogólnego o ochronie danych osobowych. Misja to mesjańska, bo RODO arcydziełem legislacyjnym nie jest, a jego niezrozumienie może kosztować bardzo dużo pieniędzy. Teoretycznie tak dużo, że RODO można uznać za narzędzie niebezpieczne, zdolne mocno poturbować, a nawet wyeliminować z rynku każdego przedsiębiorcę.
Niestety, publikowane na przestrzeni ostatnich dwunastu miesięcy wytyczne dotyczące RODO, nie odpowiadają, a przynajmniej nie odpowiadają jednoznacznie, na najważniejsze pytania jakie zadają sobie od półtora roku przedsiębiorcy i wspierający ich doradcy. Nie ułatwiają dostatecznie zrozumienia czego rzeczywiście wymaga RODO od każdego z nas. Owszem, coś tam tłumaczą i punktowo pomagają, ale biorąc pod uwagę okoliczności nie jest to wystarczające.
W konsekwencji, odpowiedzi, na jak mogłoby się wydawać proste pytania o RODO, powinniśmy zaczynać od „Wydaje się, że z wytycznych może wynikać…”, a kończyć na „…ale jest ryzyko odmiennej (całkowicie) interpretacji”. Dodam tu, że słowa „wytyczne” i „interpretacja” nie powinny nigdy musieć być umieszczane w jednym zdaniu. Nie taki jest sens wytycznych, żeby je interpretować, ale taki żeby przeczytać i wiedzieć, a jeśli nie wszystko może być rozstrzygnięte, to w wytycznych powinny się znaleźć przynajmniej odpowiedzi na kluczowe pytania.
Tak, założeniem RODO jest elastyczność regulacji, a przeniesienie na podmioty przetwarzające dane ciężaru ustalenia zakresu niezbędnego dostosowania leży u podstaw nowej filozofii ochrony danych osobowych. Jednak nawet w tych warunkach odpowiedzi na niektóre pytania mogą i muszą zostać udzielone jednoznacznie. Do takich pytań zaliczam pytanie o zgody na przetwarzanie danych osobowych, udzielone zgodnie z odpowiednimi przepisami obowiązującymi w czasie ich wyrażania, tj. przed przełomowym 25 maja 2018 r. Konkretnie, o utrzymanie po tej dacie wynikającego z tych zgód uprawnienia do przetwarzania danych osobowych.
Wobec takiego, a nie innego brzmienia RODO można zbudować przekonującą odpowiedź na to pytanie zmierzającą w trzech różnych kierunkach (co samo w sobie jest kuriozalne i niepoważne).
W uproszczeniu te trzy możliwe warianty odpowiedzi wyglądają następująco:
O ileż bardziej przyjazny byłby świat, gdyby wczorajsze wytyczne zawierały jednoznaczne wskazanie, która z tych interpretacji jest w ocenie Grupy Roboczej prawidłowa. Niestety, wytyczne wpisują się w trend nieodpowiadania na interesujące nas wszystkich pytania. Można powiedzieć, posiłkując się językiem samego RODO, że wytyczne ponownie nie zostały sformułowane jasnym i prostym językiem ani też nie są zrozumiałe. Najlepiej świadczą o tym toczone od wczoraj dyskusje, w których jedni uznani prawnicy twierdzą, że z wytycznych wynika A, a inni równie uznani, że jednak B. Przy czym A nijak nie da się pogodzić z B. I bądź tu przedsiębiorco mądry…
Sytuacja przestaje być śmieszna bo niedawno upłynął nam osiemnasty miesiąc wdrażania RODO i do mety już tylko nieco ponad pięć miesięcy. Na tym etapie warto byłoby już znać odpowiedzi na szereg ważnych pytań, min. na to o zgody, by móc podjąć odpowiednie działania. Przecież decyzje podejmowane w oparciu o te odpowiedzi mają swój bardzo konkretny wymiar finansowy i organizacyjny, a nie można sobie pozwolić na błąd.
W konsekwencji część przedsiębiorców podejmie niepotrzebne działania i poniesie niepotrzebne koszty „na wszelki wypadek”, a ochronie prywatności szczególnie się to nie przysłuży.
Czy rzeczywiście taki jest sens wytycznych?