
Dostajesz te wszystkie maile z RODO w tytule i zastanawiasz się, co dalej? Twój ulubiony portal żąda „zgody na przetwarzanie danych”, a Ty nie wiesz, czy naprawdę możesz powiedzieć „nie”? Masz poczucie, że ktoś nadal zbiera o Tobie więcej informacji, niż powinien, albo robi Cię w RODO-balona i zmusza do klikania na wyskakujące okienka?
RODO stało się faktem. Od ogłoszenia pierwszych konsultacji przez Komisję Europejską do przyjęcia polskiej ustawy wdrażającej unijne przepisy minęło ponad 7 lat. Dla Panoptykonu to był legislacyjny maraton. A przecież symboliczna data 25 maja 2018 r. (dzień, od którego RODO jest w pełni stosowane) to dopiero początek. Skoro już mamy dobre, obowiązujące prawo, czas na zmiany w rzeczywistości.
Zamiast przejmować się mitami w stylu „RODO zabrania zbierania wizytówek” (nie, nie zabrania!) zacznij śledzić drugi sezon RODO na tacy. To miejsce, gdzie można się dowiedzieć, jak RODO powinno działać w praktyce.
Jeszcze wczoraj standardem było traktowanie danych osobowych jak darmowego zasobu, nad którym nikt nie ma kontroli, a więc każdy może z niego korzystać. RODO proponuje zupełnie inne spojrzenie na dane: to z jednej strony realna wartość, którą należy chronić; z drugiej strony, to także źródło ryzyka, które administrator może podjąć pod warunkiem, że jest je w stanie zminimalizować. RODO wcale nie mnoży formalności i zakazów, ale zmusza przetwarzających dane do samodzielnego myślenia i brania odpowiedzialności za to, co robią.
Dla nas wszystkich – użytkowników technologii i „dostawców” danych – ta nowa regulacja to przede wszystkim obietnica świętego spokoju. RODO stawia nasze prawa w centrum, ale do niczego nas nie zmusza. Odpowiedzialność za to, żeby nasze dane były bezpieczne i nie były wykorzystywane poza naszą kontrolą, jest po stronie administratora. Nawet jeśli sami nic w tej sprawie nie zrobimy, domyślne ustawienia każdego portalu i każdej usługi powinny w maksymalny sposób chronić naszą prywatność. Nikt nie powinien zbierać więcej danych na nasz temat, niż rzeczywiście potrzebuje. A jeśli naprawdę chce to robić – powinien poprosić nas o zgodę (dopiero wtedy, nie na wszelki wypadek!).
Rynek dopiero się uczy i testuje nowe rozwiązania. Tymczasem nie musimy biernie czekać: możemy je dokumentować i korygować.
Czy tak wygląda rzeczywistość pod rządami RODO? Jeszcze nie, bo rynek dopiero się uczy i testuje nowe rozwiązania. Dostajemy od Was wiele przykładów praktyk, które odbiegają od standardu RODO. Sami też na takie trafiamy. Dostrzegamy też, jak się zmienia nasza relacja z firmami, które przetwarzają dane osobowe. Maile, które trafiają do naszych skrzynek w związku z RODO, przeważnie są napisane ludzkim językiem i w przystępny sposób wyjaśniają, co się dzieje z naszymi danymi.
Wdrożenie RODO to kolejny maraton, na który jesteśmy przygotowani. Będziemy zbierać przykłady złych i dobrych praktyk, publikować je na stronie i wyjaśniać, jak konkretna praktyka ma się do standardów, które wynikają z RODO. Na najgorsze z nich będziemy reagować, wysyłając odpowiednie żądania do firm, wnosząc skargi i pozwy. O wynikach tych działań również będziemy Was informować.
Mamy nadzieję, że drugi sezon RODO na tacy stanie się dokumentacją tego, jak na nowe przepisy reaguje rynek, a jednocześnie żywym poradnikiem dla wszystkich, którzy – tak jak my – lubią brać sprawy w swoje ręce. Cieszymy się, kiedy razem z nami testujecie możliwości, jakie daje RODO, i staramy się Was w tym wspierać (mnóstwo praktycznych wskazówek znajdziecie w naszym przewodniku RODO na Tacy V). Ale prosimy też o cierpliwość i wyrozumiałość: złych praktyk związanych z przetwarzaniem danych naprawdę jest mnóstwo, a Panoptykon – tylko jeden.
Katarzyna Szymielewicz
Nasza subiektywna lista (złych i dobrych) praktyk
- E-mail informujący o zmianach w polityce prywatności
- Modelowa klauzula zgody (tak/nie)
- Zgoda domyślna
- Zgoda wyinterpretowana z niejednoznacznego działania (np. używania serwisu)
- Zgoda wymuszona
- Uporczywe pytanie o zgodę
- Zawłaszczanie danych osób prowadzących działalność gospodarczą
- Zgody, których nie wymaga RODO
- Brak reakcji na wniosek o udostępnienie (kopii) danych osobowych
- Babcia kontra RODO. Kto ma prawo odebrać dziecko z przedszkola?
- Dwa lata RODO: „Testy zderzeniowe” na dwie gwiazdki
[więcej w drodze]
Nasze artykuły o RODO w poszczególnych sektorach
- RODO w Kościele. Czy dane będą lepiej chronione? oraz bonus Wywiaz z Kościelnym Inspektorem Ochrony Danych
- Cookies (informacje śledzące) a RODO
- RODO w szkole
- RODO w ochronie zdrowia. Zdrowy rozsądek w cenie!
- RODO a scoring, czyli ocena punktowa
- RODO w sklepie. Nie daj się nabrać!
- RODO pod kamerą, czyli monitoring z zasadami
- Pracownik pod nadzorem. Co zmieniło RODO?
- RODO a informacja publiczna – brak jawności, „bo RODO”?
- RODO w programowaniu, czyli jak wpisać ochronę danych w proces tworzenia narzędzi informatycznych
- Dane osobowe na zdjęciu, czyli RODO a ochrona wizerunku
- Strona WWW zgodna z RODO?
[więcej w drodze]
Nasze poradniki RODO
- Dla przedsiębiorców: Poradnik RODO Wykorzystaj szansę.
- Dla organizacji społecznych: Nowa filozofia w ochronie danych osobowych, czyli jak wdrożyć RODO w organizacji społecznej
- Dla nauczycieli i dyrektorów placówek oświatowych: RODO: w poszukiwaniu szansy edukacyjnej. Poradnik dla nauczycieli i nie tylko
Komentarze
Prowadzę stronę internetową z
Prowadzę stronę internetową z forum dla mieszkańców pewnego miasta. W jednym z tematów pojawiają się opinie o firmach znajdujących się w mieście. Czy firma (która jest jednoosobową działalnością gospodarczą) może żądać ode mnie usunięcia swoich danych na podstawie przepisów RODO?
@Michał: dziękuję za ten
@Michał: dziękuję za ten przykład - bardzo dobrze pokazuje "napięcie" między interesem administratora (w tym przypadku strony internetowej) i prawami osób, których dane są na takiej stronie przetwarzane. Wg RODO osoba prowadząca działalność gospodarczą ma takie same prawa, jak wszyscy. I tak, może żądać usunięcia swoich danych. To jednak nie oznacza, że administrator musi takie żądanie z automatu zrealizować. Wasza reakcja będzie zależała od tego, jak definiujecie swoją podstawę prawną przetwarzania tych danych. Więcej tutaj: https://panoptykon.org/wiadomosc/zawlaszczenie-danych-osob-prowadzacych-...
Czy jest artykuł o Rodo w
Czy jest artykuł o Rodo w biurze? Czy to prawda, ze zgodnie z Rodo nie powinno być tabliczek z nazwiskami na drzwiach, na liście obecności nie może być informacji o delegacjach, urlopach, pułki na korespondencje nie mogą zawierać nazwisk?
@Kasia: dziękujemy za pytanie
@Kasia: dziękujemy za pytanie i przepraszamy za późną odpowiedź. Nie mamy artykułu o RODO w biurze, ale odpowiadając na Twoje pytania - RODO absolutnie nie zakazuje tabliczek z nazwiskami na drzwiach, należy tylko dobrać do tego odpowiednią podstawę prawną (jest ich 6 do wyboru, najpewniej właściwą będzie uzasadniony interes administratora, w ostateczności może to być zgoda osób, których nazwiska tam miałyby się znaleźć), podobna interpretacja dotyczy półek na korespondencję - również oparłabym to na uzasadnionym interesie, w końcu usprawnienie przepływu korespondencji nim jest :-) Co do listy obecności, to pytanie jest już trudniejsze, więc odpowiem intuicyjnie: również nie widzę przeciwskazań. Jedyne przeciwskazanie, którego jestem pewna, to umieszczanie tam informacji o tym, że osoba przebywa na zwolnieniu chorobowym.
Dodaj komentarz