Zalew maili z RODO w tytule. Co z nimi zrobić?

Pierwsza fala paniki na rynku, której teraz doświadczamy, wynika z tego, że państwo zaniedbało kampanię informacyjną i biernie obserwowało, jak wokół RODO narastają kolejne mity.

Nadeszło RODO, a wraz z nim dziesiątki maili informujących o tym, co się dzieje z naszymi danymi, i zalew internetowych okienek, które wymagają od nas jakiejś reakcji. Trudno nie skojarzyć tego, co się teraz dzieje, z masowym wymuszaniem „zgody na cookies”, które mocno doświadczyło użytkowników internetu kilka lat temu. Jednak różnica jest zasadnicza. Informacje, które teraz trafiają do naszych skrzynek i wyświetlają się na ekranie, to rodzaj zaproszenia, z którego możemy – ale nie musimy! – korzystać.

Jeśli klikniemy, dowiemy się, kto i po co wykorzystuje nasze dane, co o nas wie i w jaki sposób możemy mu powiedzieć: „już sobie tego nie życzę”. Jeśli to zaproszenie zignorujemy, nic nie tracimy. Zgodnie z RODO nikt nie może na nas wymusić zgody na przetwarzanie danych ani jej wyczytać z tego, że nie podjęliśmy żadnego działania.

Priorytet: bezpieczeństwo

W świecie ochrony danych osobowych RODO to zaledwie lifting od dawna obowiązujących zasad, które zasadniczo się nie zmieniają. Nadal można korzystać z danych, które są potrzebne do świadczenia usługi (i w takiej sytuacji nie trzeba nikogo prosić o zgodę!), nadal można robić marketing na podstawie tzw. uzasadnionego interesu administratora (również bez pytania nikogo o zgodę). Nadal można, a nawet trzeba realizować obowiązki publiczne i przetwarzać dane, jeśli wymaga tego prawo (np. podatkowe czy bankowe).

Największą zmianą jest zmiana perspektywy: zamiast troszczyć się przede wszystkim o dane (o to, żeby nie wyciekły, żeby zbiór był zarejestrowany, żeby papiery były w porządku), administratorzy mają się troszczyć o człowieka, którego dane przetwarzają. Mówiąc najprościej: chodzi o to, żeby sposób i cel wykorzystywania danych były przyjazne i bezpieczne dla osoby, której to dotyczy. Ta zmiana perspektywy ma realne konsekwencje. Nie wystarczy już zabezpieczyć bazy danych i wyprodukować trochę papierów (wraz z RODO znika większość „papierowych” obowiązków, takich jak rejestracja zbiorów i utrzymywanie dokumentacji) – trzeba samodzielnie ocenić ryzyko związane z przetwarzaniem danych, zaprojektować procedury przyjazne ludziom i... poinformować ich, że mogą z tych procedur korzystać.

Co jest przyjaznego w zalewie maili z RODO w tytule?

W widoku przepełnionej skrzynki – jeszcze nic przyjaznego nie ma. Możemy się przyjemnie zdziwić, jeśli zajrzymy do środka. Większość z informacji, które dostajemy, jest dość dobrze przygotowana: napisana prostym językiem, bez prawniczego żargonu. Tekst jest przejrzysty i dobrze złożony – nie ma mowy o małej czcionce wciśniętej gdzieś w regulaminie, zdarzają się nawet graficzne ikonki. Wystarczy parę minut, żeby zorientować się, co jest w środku. Czy znamy tego, kto do nas pisze? Czy kojarzymy, co robi i skąd w ogóle ma nasze dane? Czy w celach, jakie kładzie teraz na stole (np. marketingowych), nie ma nic, co brzmi dla nas niepokojąco? Jeśli wszystko jest w porządku, nic dalej nie musimy w tej sprawie robić.

A co, jeśli nie jest? Wtedy warto przełamać zniechęcenie i wykonać ten kolejny krok. Jeśli nie podoba nam się to, w jaki sposób nasze dane zostały pozyskane lub są przetwarzane (np. nie przypominamy sobie udzielenia zgody, na którą powołuje się administrator, albo uważamy, że dane nie są już potrzebne do celu, w którym zostały kiedyś zebrane), możemy zażądać ich usunięcia.

Czasem będzie to wymagało wycofania wcześniej udzielonej zgody, czasem będzie potrzebny sprzeciw („sprzeciwiam się przetwarzaniu moich danych w celach marketingowych”). Ale żadne z tych działań nie jest trudne. Dla wszystkich, którzy mają ochotę spróbować, Fundacja Panoptykon przygotowała wzory wniosków i proste instrukcje działania w kilku krokach (Lekcje samoobrony, czyli jak skorzystać z praw, które daje RODO).

Korzystanie z własnych praw to pewien wysiłek

Rozumiem tych, którzy nie mają na to ochoty, bo czują się dość obciążeni na innych frontach. Przełom, jaki przynosi RODO, jest też odpowiedzią na ten problem. Odpowiedzialność za to, żeby nasze dane były bezpieczne i żeby nie były wykorzystywane przeciwko nam, obciąża przede wszystkim administratora. Nawet jeśli sami nic w tej sprawie nie zrobimy, domyślne ustawienia każdego portalu i każdej usługi powinny w maksymalny sposób chronić naszą prywatność. Nikt nie powinien zbierać więcej danych na nasz temat, niż rzeczywiście potrzebuje. A jeśli chce to robić – właśnie wtedy powinien poprosić o zgodę; zgodę, której my wcale nie musimy udzielić! Takie oświadczenie woli musi być dobrowolne. Jeśli jest wynikiem szantażu „albo klikniesz tutaj, albo nie pójdziesz dalej”, jest nieważne i działa jak gorący kartofel, którym administrator wcześniej czy później się sparzy.

Brzmi zbyt dobrze, żeby było prawdziwie? A jednak w takim kierunku zmierza zmiana filozofii i praktyk, którą wymusza RODO. Jesteśmy dopiero na początku tej drogi, więc nie unikniemy rozczarowań i trudnych momentów. Ale już to, jak poważnie większość firm potraktowała swój obowiązek informacyjny, pokazuje, że zmiana będzie realna.

Pierwsza fala paniki na rynku, której teraz doświadczamy, wynika przede wszystkim z tego, że państwo zaniedbało kampanię informacyjną i biernie obserwowało, jak wokół RODO narastają kolejne mity. Potrzeba jeszcze paru miesięcy, żeby te emocje opadły i żeby debata publiczna z poziomu „jak bezpiecznie przechowywać wizytówki” (jakkolwiek) i „czy trzeba cenzurować tabliczki na drzwiach gabinetów lekarskich” (nie, nie trzeba) przeszła w konstruktywne myślenie o bardziej zrównoważonych modelach biznesowych.

Katarzyna Szymielewicz

Tekst ukazał się w cyfrowym wydaniu Tygodnika Polityka.

Wspieraj naszą walkę o wolność i prywatność! Wpłać darowiznę na konto Fundacji Panoptykon.