Problematyczne wytyczne

Przedsiębiorcy i rodoentuzjaści na całym świecie zostali świątecznie obdarowani długo wyczekiwanymi opiniami Grupy Roboczej art. 29 na temat zgód i transparentności. Oczekiwania były wielkie.

W założeniu, opinie tego grona, składającego się z tęgich i doświadczonych głów, mają pomóc zrozumieć i zastosować przepisy rozporządzenia ogólnego o ochronie danych osobowych. Misja to mesjańska, bo RODO arcydziełem legislacyjnym nie jest, a jego niezrozumienie może kosztować bardzo dużo pieniędzy. Teoretycznie tak dużo, że RODO można uznać za narzędzie niebezpieczne, zdolne mocno poturbować, a nawet wyeliminować z rynku każdego przedsiębiorcę.

Niestety, publikowane na przestrzeni ostatnich dwunastu miesięcy wytyczne dotyczące RODO, nie odpowiadają, a przynajmniej nie odpowiadają jednoznacznie, na najważniejsze pytania jakie zadają sobie od półtora roku przedsiębiorcy i wspierający ich doradcy. Nie ułatwiają dostatecznie zrozumienia czego rzeczywiście wymaga RODO od każdego z nas. Owszem, coś tam tłumaczą i punktowo pomagają, ale biorąc pod uwagę okoliczności nie jest to wystarczające.

W konsekwencji, odpowiedzi, na jak mogłoby się wydawać proste pytania o RODO, powinniśmy zaczynać od „Wydaje się, że z wytycznych może wynikać…”, a kończyć na „…ale jest ryzyko odmiennej (całkowicie) interpretacji”. Dodam tu, że słowa „wytyczne” i „interpretacja” nie powinny nigdy musieć być umieszczane w jednym zdaniu. Nie taki jest sens wytycznych, żeby je interpretować, ale taki żeby przeczytać i wiedzieć, a jeśli nie wszystko może być rozstrzygnięte, to w wytycznych powinny się znaleźć przynajmniej odpowiedzi na kluczowe pytania.

Tak, założeniem RODO jest elastyczność regulacji, a przeniesienie na podmioty przetwarzające dane ciężaru ustalenia zakresu niezbędnego dostosowania leży u podstaw nowej filozofii ochrony danych osobowych. Jednak nawet w tych warunkach odpowiedzi na niektóre pytania mogą i muszą zostać udzielone jednoznacznie. Do takich pytań zaliczam pytanie o zgody na przetwarzanie danych osobowych, udzielone zgodnie z odpowiednimi przepisami obowiązującymi w czasie ich wyrażania, tj. przed przełomowym 25 maja 2018 r. Konkretnie, o utrzymanie po tej dacie wynikającego z tych zgód uprawnienia do przetwarzania danych osobowych.

Wobec takiego, a nie innego brzmienia RODO można zbudować przekonującą odpowiedź na to pytanie zmierzającą w trzech różnych kierunkach (co samo w sobie jest kuriozalne i niepoważne).

W uproszczeniu te trzy możliwe warianty odpowiedzi wyglądają następująco:

  • takie zgody są nieważne, dlatego dane osobowe przetwarzane na ich podstawie należy zaorać, zalać betonem tak, aby nikt ich nigdy przypadkiem nie wykorzystał w celu dla jakiego zgody zostały odebrane;
  • takie zgody są ważne, ale trzeba uzupełnić informację o przetwarzaniu (tzw. obowiązek informacyjny) o element informujący o możliwości wycofania zgody;
  • takie zgody są ważne, tak po prostu, nie trzeba nic robić, można sobie dane spokojnie przetwarzać dalej.

O ileż bardziej przyjazny byłby świat, gdyby wczorajsze wytyczne zawierały jednoznaczne wskazanie, która z tych interpretacji jest w ocenie Grupy Roboczej prawidłowa. Niestety, wytyczne wpisują się w trend nieodpowiadania na interesujące nas wszystkich pytania. Można powiedzieć, posiłkując się językiem samego RODO, że wytyczne ponownie nie zostały sformułowane jasnym i prostym językiem ani też nie są zrozumiałe. Najlepiej świadczą o tym toczone od wczoraj dyskusje, w których jedni uznani prawnicy twierdzą, że z wytycznych wynika A, a inni równie uznani, że jednak B. Przy czym A nijak nie da się pogodzić z B. I bądź tu przedsiębiorco mądry…

Sytuacja przestaje być śmieszna bo niedawno upłynął nam osiemnasty miesiąc wdrażania RODO i do mety już tylko nieco ponad pięć miesięcy. Na tym etapie warto byłoby już znać odpowiedzi na szereg ważnych pytań, min. na to o zgody, by móc podjąć odpowiednie działania. Przecież decyzje podejmowane w oparciu o te odpowiedzi mają swój bardzo konkretny wymiar finansowy i organizacyjny, a nie można sobie pozwolić na błąd.

W konsekwencji część przedsiębiorców podejmie niepotrzebne działania i poniesie niepotrzebne koszty „na wszelki wypadek”, a ochronie prywatności szczególnie się to nie przysłuży.

Czy rzeczywiście taki jest sens wytycznych?


Zobacz podobne artykuły o tematyce RODO