RODO na tacy. Sezon II: Subiektywny przegląd (złych i dobrych) praktyk

Artykuł

Dostajesz te wszystkie maile z RODO w tytule i zastanawiasz się, co dalej? Twój ulubiony portal żąda „zgody na przetwarzanie danych”, a Ty nie wiesz, czy naprawdę możesz powiedzieć „nie”? Masz poczucie, że ktoś nadal zbiera o Tobie więcej informacji, niż powinien, albo robi Cię w RODO-balona i zmusza do klikania na wyskakujące okienka?

Zamiast przejmować się mitami w stylu „RODO zabrania zbierania wizytówek” (nie, nie zabrania!) zacznij śledzić drugi sezon RODO na tacy. To miejsce, gdzie można się dowiedzieć, jak RODO powinno działać w praktyce.

RODO stało się faktem. Od ogłoszenia pierwszych konsultacji przez Komisję Europejską do przyjęcia polskiej ustawy wdrażającej unijne przepisy minęło ponad 7 lat. Dla Panoptykonu to był legislacyjny maraton. A przecież symboliczna data 25 maja 2018 r. (dzień, od którego RODO jest w pełni stosowane) to dopiero początek. Skoro już mamy dobre, obowiązujące prawo, czas na zmiany w rzeczywistości.

Jeszcze wczoraj standardem było traktowanie danych osobowych jak darmowego zasobu, nad którym nikt nie ma kontroli, a więc każdy może z niego korzystać. RODO proponuje zupełnie inne spojrzenie na dane: to z jednej strony realna wartość, którą należy chronić; z drugiej strony, to także źródło ryzyka, które administrator może podjąć pod warunkiem, że jest je w stanie zminimalizować. RODO wcale nie mnoży formalności i zakazów, ale zmusza przetwarzających dane do samodzielnego myślenia i brania odpowiedzialności za to, co robią.

Dla nas wszystkich – użytkowników technologii i „dostawców” danych – ta nowa regulacja to przede wszystkim obietnica świętego spokoju. RODO stawia nasze prawa w centrum, ale do niczego nas nie zmusza. Odpowiedzialność za to, żeby nasze dane były bezpieczne i nie były wykorzystywane poza naszą kontrolą, jest po stronie administratora. Nawet jeśli sami nic w tej sprawie nie zrobimy, domyślne ustawienia każdego portalu i każdej usługi powinny w maksymalny sposób chronić naszą prywatność. Nikt nie powinien zbierać więcej danych na nasz temat, niż rzeczywiście potrzebuje. A jeśli naprawdę chce to robić – powinien poprosić nas o zgodę (dopiero wtedy, nie na wszelki wypadek!).

Rynek dopiero się uczy i testuje nowe rozwiązania. Tymczasem nie musimy biernie czekać: możemy je dokumentować i korygować.

Czy tak wygląda rzeczywistość pod rządami RODO? Jeszcze nie, bo rynek dopiero się uczy i testuje nowe rozwiązania. Dostajemy od Was wiele przykładów praktyk, które odbiegają od standardu RODO. Sami też na takie trafiamy. Dostrzegamy też, jak się zmienia nasza relacja z firmami, które przetwarzają dane osobowe. Maile, które trafiają do naszych skrzynek w związku z RODO, przeważnie są napisane ludzkim językiem i w przystępny sposób wyjaśniają, co się dzieje z naszymi danymi.

Wdrożenie RODO to kolejny maraton, na który jesteśmy przygotowani. Będziemy zbierać przykłady złych i dobrych praktyk, publikować je na stronie i wyjaśniać, jak konkretna praktyka ma się do standardów, które wynikają z RODO. Na najgorsze z nich będziemy reagować, wysyłając odpowiednie żądania do firm, wnosząc skargi i pozwy. O wynikach tych działań również będziemy Was informować.

Mamy nadzieję, że drugi sezon RODO na tacy stanie się dokumentacją tego, jak na nowe przepisy reaguje rynek, a jednocześnie żywym poradnikiem dla wszystkich, którzy – tak jak my – lubią brać sprawy w swoje ręce. Cieszymy się, kiedy razem z nami testujecie możliwości, jakie daje RODO, i staramy się Was w tym wspierać (mnóstwo praktycznych wskazówek znajdziecie w naszym przewodniku RODO na Tacy V). Ale prosimy też o cierpliwość i wyrozumiałość: złych praktyk związanych z przetwarzaniem danych naprawdę jest mnóstwo, a Panoptykon – tylko jeden.

Katarzyna Szymielewicz

---

Nasza subiektywna lista (złych i dobrych) praktyk

E-mail informujący o zmianach w polityce prywatności

Modelowa klauzula zgody (tak/nie)

Zgoda domyślna

Zgoda wyinterpretowana z niejednoznacznego działania (np. używania serwisu)

Zgoda wymuszona

Uporczywe pytanie o zgodę

Zawłaszczanie danych osób prowadzących działalność gospodarczą

Zgody, których nie wymaga RODO

[więcej w drodze]

Nasze artykuły o RODO w poszczególnych sektorach

RODO w Kościele. Czy dane będą lepiej chronione?

Cookies (informacje śledzące) a RODO

[więcej w drodze]

---

Zobacz także odcinki z cyklu RODO na tacy. Sezon I, czyli jak możemy skorzystać na nowych przepisach.

Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon.

Komentarze

Prowadzę stronę internetową z forum dla mieszkańców pewnego miasta. W jednym z tematów pojawiają się opinie o firmach znajdujących się w mieście. Czy firma (która jest jednoosobową działalnością gospodarczą) może żądać ode mnie usunięcia swoich danych na podstawie przepisów RODO?

@Michał: dziękuję za ten przykład - bardzo dobrze pokazuje "napięcie" między interesem administratora (w tym przypadku strony internetowej) i prawami osób, których dane są na takiej stronie przetwarzane. Wg RODO osoba prowadząca działalność gospodarczą ma takie same prawa, jak wszyscy. I tak, może żądać usunięcia swoich danych. To jednak nie oznacza, że administrator musi takie żądanie z automatu zrealizować. Wasza reakcja będzie zależała od tego, jak definiujecie swoją podstawę prawną przetwarzania tych danych. Więcej tutaj: https://panoptykon.org/wiadomosc/zawlaszczenie-danych-osob-prowadzacych-...

Dodaj komentarz