RODO na tacy. Sezon II: Subiektywny przegląd (złych i dobrych) praktyk

Artykuł

Dostajesz te wszystkie maile z RODO w tytule i zastanawiasz się, co dalej? Twój ulubiony portal żąda „zgody na przetwarzanie danych”, a Ty nie wiesz, czy naprawdę możesz powiedzieć „nie”? Masz poczucie, że ktoś nadal zbiera o Tobie więcej informacji, niż powinien, albo robi Cię w RODO-balona i zmusza do klikania na wyskakujące okienka?

RODO stało się faktem. Od ogłoszenia pierwszych konsultacji przez Komisję Europejską do przyjęcia polskiej ustawy wdrażającej unijne przepisy minęło ponad 7 lat. Dla Panoptykonu to był legislacyjny maraton. A przecież symboliczna data 25 maja 2018 r. (dzień, od którego RODO jest w pełni stosowane) to dopiero początek. Skoro już mamy dobre, obowiązujące prawo, czas na zmiany w rzeczywistości.

Zamiast przejmować się mitami w stylu „RODO zabrania zbierania wizytówek” (nie, nie zabrania!) zacznij śledzić drugi sezon RODO na tacy. To miejsce, gdzie można się dowiedzieć, jak RODO powinno działać w praktyce.

Jeszcze wczoraj standardem było traktowanie danych osobowych jak darmowego zasobu, nad którym nikt nie ma kontroli, a więc każdy może z niego korzystać. RODO proponuje zupełnie inne spojrzenie na dane: to z jednej strony realna wartość, którą należy chronić; z drugiej strony, to także źródło ryzyka, które administrator może podjąć pod warunkiem, że jest je w stanie zminimalizować. RODO wcale nie mnoży formalności i zakazów, ale zmusza przetwarzających dane do samodzielnego myślenia i brania odpowiedzialności za to, co robią.

Dla nas wszystkich – użytkowników technologii i „dostawców” danych – ta nowa regulacja to przede wszystkim obietnica świętego spokoju. RODO stawia nasze prawa w centrum, ale do niczego nas nie zmusza. Odpowiedzialność za to, żeby nasze dane były bezpieczne i nie były wykorzystywane poza naszą kontrolą, jest po stronie administratora. Nawet jeśli sami nic w tej sprawie nie zrobimy, domyślne ustawienia każdego portalu i każdej usługi powinny w maksymalny sposób chronić naszą prywatność. Nikt nie powinien zbierać więcej danych na nasz temat, niż rzeczywiście potrzebuje. A jeśli naprawdę chce to robić – powinien poprosić nas o zgodę (dopiero wtedy, nie na wszelki wypadek!).

Rynek dopiero się uczy i testuje nowe rozwiązania. Tymczasem nie musimy biernie czekać: możemy je dokumentować i korygować.

Czy tak wygląda rzeczywistość pod rządami RODO? Jeszcze nie, bo rynek dopiero się uczy i testuje nowe rozwiązania. Dostajemy od Was wiele przykładów praktyk, które odbiegają od standardu RODO. Sami też na takie trafiamy. Dostrzegamy też, jak się zmienia nasza relacja z firmami, które przetwarzają dane osobowe. Maile, które trafiają do naszych skrzynek w związku z RODO, przeważnie są napisane ludzkim językiem i w przystępny sposób wyjaśniają, co się dzieje z naszymi danymi.

Wdrożenie RODO to kolejny maraton, na który jesteśmy przygotowani. Będziemy zbierać przykłady złych i dobrych praktyk, publikować je na stronie i wyjaśniać, jak konkretna praktyka ma się do standardów, które wynikają z RODO. Na najgorsze z nich będziemy reagować, wysyłając odpowiednie żądania do firm, wnosząc skargi i pozwy. O wynikach tych działań również będziemy Was informować.

Mamy nadzieję, że drugi sezon RODO na tacy stanie się dokumentacją tego, jak na nowe przepisy reaguje rynek, a jednocześnie żywym poradnikiem dla wszystkich, którzy – tak jak my – lubią brać sprawy w swoje ręce. Cieszymy się, kiedy razem z nami testujecie możliwości, jakie daje RODO, i staramy się Was w tym wspierać (mnóstwo praktycznych wskazówek znajdziecie w naszym przewodniku RODO na Tacy V). Ale prosimy też o cierpliwość i wyrozumiałość: złych praktyk związanych z przetwarzaniem danych naprawdę jest mnóstwo, a Panoptykon – tylko jeden.

Katarzyna Szymielewicz

Nasza subiektywna lista (złych i dobrych) praktyk

[więcej w drodze]


Nasze artykuły o RODO w poszczególnych sektorach

[więcej w drodze]


Nasze poradniki RODO


O tym, co gwarantuje nam RODO, i co zrobić gdy ktoś łamie nasze prawa:


Konsultowane kodeksy branżowe:

Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon.

Komentarze

Prowadzę stronę internetową z forum dla mieszkańców pewnego miasta. W jednym z tematów pojawiają się opinie o firmach znajdujących się w mieście. Czy firma (która jest jednoosobową działalnością gospodarczą) może żądać ode mnie usunięcia swoich danych na podstawie przepisów RODO?

@Michał: dziękuję za ten przykład - bardzo dobrze pokazuje "napięcie" między interesem administratora (w tym przypadku strony internetowej) i prawami osób, których dane są na takiej stronie przetwarzane. Wg RODO osoba prowadząca działalność gospodarczą ma takie same prawa, jak wszyscy. I tak, może żądać usunięcia swoich danych. To jednak nie oznacza, że administrator musi takie żądanie z automatu zrealizować. Wasza reakcja będzie zależała od tego, jak definiujecie swoją podstawę prawną przetwarzania tych danych. Więcej tutaj: https://panoptykon.org/wiadomosc/zawlaszczenie-danych-osob-prowadzacych-...

Czy jest artykuł o Rodo w biurze? Czy to prawda, ze zgodnie z Rodo nie powinno być tabliczek z nazwiskami na drzwiach, na liście obecności nie może być informacji o delegacjach, urlopach, pułki na korespondencje nie mogą zawierać nazwisk?

@Kasia: dziękujemy za pytanie i przepraszamy za późną odpowiedź. Nie mamy artykułu o RODO w biurze, ale odpowiadając na Twoje pytania - RODO absolutnie nie zakazuje tabliczek z nazwiskami na drzwiach, należy tylko dobrać do tego odpowiednią podstawę prawną (jest ich 6 do wyboru, najpewniej właściwą będzie uzasadniony interes administratora, w ostateczności może to być zgoda osób, których nazwiska tam miałyby się znaleźć), podobna interpretacja dotyczy półek na korespondencję - również oparłabym to na uzasadnionym interesie, w końcu usprawnienie przepływu korespondencji nim jest :-) Co do listy obecności, to pytanie jest już trudniejsze, więc odpowiem intuicyjnie: również nie widzę przeciwskazań. Jedyne przeciwskazanie, którego jestem pewna, to umieszczanie tam informacji o tym, że osoba przebywa na zwolnieniu chorobowym.

Dodaj komentarz