• 27 listopada 2022

Jak (nie) powinno się wdrażać RODO?

 Jak (nie) powinno się wdrażać RODO?

RODO absurdy

Po upływie dwóch lat od wejścia w życie nowego Rozporządzenia Ogólnego o Ochronie Danych Osobowych przychodzi czas na małe podsumowanie. Jakie wnioski płyną ze zdobytych doświadczań? Czy nauczyliśmy się stosować nową regulację właściwie? Na te pytania postaramy się odpowiedzieć w niniejszym artykule, opierając się na niektórych zdarzeniach opisanych w mediach, które miały miejsce po 25 maja 2018 r., a więc już po wejściu wżycie nowej regulacji.

Pseudonimy zamiast nazwisk pacjentów w placówce NFZ

Administratorzy danych w pewnych sytuacjach działają „na oślep”, stosując środki bezpieczeństwa, które wywołują uśmiech i stają się przykładem żartów. Sporo zamieszania w jednej z placówek NFZ wywołała decyzja kierownictwa tej placówki, która postanowiła zamiast nazwisk pacjentów używać pseudonimów. Malina, Herkules, Batman – to tylko nieliczne przykłady, które widniały na liście pacjentów w przychodni. A przecież już dawno w służbie zdrowia stosowano numery po to, by zmniejszyć kolejki w poczekalniach i umawiać pacjentów na wyznaczone godziny. Wprowadzenie pseudonimów z kreskówek mogło wynikać z braku praktycznej wiedzy wśród osób decyzyjnych, bo raczej trudno jest uwierzyć, że chciano w ten sposób rozbawić chorych, choć znane jest powiedzenie że „śmiech do zdrowie”.

Podobna sytuacja zdarzyła się na jednej z uczelni, gdzie podczas pisemnego egzaminu, pani profesor poprosiła studentów, by swoje prace podpisali pseudonimami. I tak oto na egzaminie z psychologii wychowawczej roiło się od Małych Mi, Królowych Śniegu, czy Jamesów Bondów. Czy miało to jakiś większy sens? Może tak, o ile udało się w bezpieczny sposób przekazać egzaminatorowi prawdziwe dane tajemniczego „agenta 007” oraz pozostałych bohaterów tej historyjki. W tym przypadku myślę, że nikt wcześniej nie zadał sobie pytania co tak naprawdę musi chronić uczelnia i jakie występują zagrożenia. Podpisanie pracy zmyślonym pseudonimem pozwala nam przykładowo na pozostawienie jej bez opieki na biurku albo opublikowanie w internecie, ale czy taki był zamysł egzaminatora? Nie sądzę. Poza tym nie trzeba być grafologiem, aby w małej grupie zidentyfikować autora takiej pracy po charakterze pisma. Z pewnością większość z czytelników tego artykułu zna charakter pisma swoich bliskich, współpracowników, a może nawet pamięta jak pisała koleżanka czy kolega ze szkolnej ławki. RODO nie jest regulacją nakazującą nam w jednej chwili w życiu publicznym pozbyć się imion i nazwisk, a jedynie dać nam narzędzia do ochrony naszej prywatności.

Media w pewnym momencie tak zapędziły się w szukaniu absurdów, że nawet prawidłowe postępowanie jednej ze szkół, która wprowadziła zasadę podpisywania swoich prac przez dzieci numerem z dziennika, uznawały za absurd. W dobie elektronicznych dzienników nie jest dziś tak łatwo dotrzeć do tego numeru. Czasami słyszymy porównanie takich sytuacji do zasad obowiązujących w obozach z czasów wojny, ale nie jestem przekonany czy powinniśmy tak na to patrzeć. Każdy z nas kryje się pod jakimś numerem, może to być numer gabinetu, mieszkania, numer telefonu, czy numer startowy przydzielany każdemu uczestnikowi zawodów. Kto gra w piłkę wie, że dziś wielu chłopców chciałoby mieć biało-czerwoną koszulkę z numerem „9”, przypisanym w reprezentacji Robertowi Lewandowskiemu i nie ma w tym nic złego. Dlatego w życiu bardzo często dla lepszej i szybszej komunikacji właśnie podajemy przypisane nam numery sami i wcale nie robimy tego z myślą o RODO.

Z drugiej strony jeśli chciano zapobiec ujawnianiu ocen to uważam, że pomysł zastosowania psełdonimizacji w każdym z tych przypadków był mimo wszystko chybiony. Po co stosuje się psełdonimizację? Głównie po to, aby oceniający nie znał nazwiska ucznia, aby nie mógł kierować się swoją subiektywną oceną o zdającym. Jest to od lat praktykowane podczas pisemnych matur. Ale praktyka pokazywała, że w przypadku prac pisemnych opartych na długich wypracowaniach jest to metoda mało skuteczne i mająca słaby punkt. Wszak każdy polonista czy nauczyciel historii zna styl i charakter pisma swoich uczniów i jest w stanie zidentyfikować piszącego. Dlatego z biegiem czasu wprowadzano inne dodatkowe środki. W szkołach oceny wpisuje się więc do elektronicznego dziennika, do którego dostęp mają tylko uprawnione osoby. Tak na marginesie – system, w którym rodzice mają wspólny login nie jest systemem prawidłowo skonstruowanym, ponieważ zawsze każda osoba powinna mieć własny login i hasło aby była w systemie informatycznym zindywidualizowana.

Brak planu lekcji

Problem z odpowiednim zinterpretowaniem przepisów RODO miała również jedna ze szkół podstawowych w Gdańsku. Wychowawcy twierdzili, że nie mogą rozdać rodzicom planów lekcji ich dzieci, ponieważ są tam wydrukowane nazwiska nauczycieli, a zdaniem dyrekcji i pedagogów – podlegają one ochronie jako wrażliwe dane osobowe. Jednak poza przepisami RODO, szkołę obowiązują również przepisy o świadczeniu usług dydaktycznych, a to z kolei wiąże się z obowiązkiem poinformowania gdzie i z kim będą odbywać się lekcje. W tym przypadku znów przeważyła niewiedza i brak właściwej interpretacji art 6 RODO, który pozwala przetwarzać dane osobowe, a więc i je udostępniać odbiorcom danych (uczniom i rodzicom), gdy podstawa do takich działań wynika z ustawowych obowiązków lub, gdy podstawa takiego przetwarzania jest w uzasadnionym interesie Administratora danych bądź podmiotów trzecich. Z takimi absurdami już walczono za czasów starej ustawy, kiedy np. urzędnicy nie chcieli podawać swoich danych w pismach urzędowych lub pracownicy odmawiali podawania swoich danych personalnych, gdy klient chciał złożyć skargę. Warto jest jednak pamiętać, że zgodnie z RODO identyfikacja może odbywać się również w sposób pośredni np. skarżąc się na kierowcę autobusu pasażer może posłużyć się (jak wyżej już wspomniałem) jego numer służbowym albo nawet numerem bocznym pojazdu, podając jednocześnie inne dane, takie jak: miejsce zdarzenie, dzień i godzinę. Mając takie dane dyspozytorzy łatwo określą sprawcę zdarzenia.

Na zakończenie

Jedna z internautek podzieliła się w sieci swoją historią i opisała jaki spotkał ją absurd związany z przepisami RODO. Kobieta chciała zapisać się do przychodni na wizytę specjalistyczną, na którą miała skierowanie. Okazało się jednak, że musi pojawić się w przychodni osobiście, ponieważ w związku z RODO zapisy telefoniczne, z którymi wiąże się podanie imienia i nazwiska, nie są tam praktykowane. W tym opisie RODO jawi się jako zasada prawa utrudniający normalne funkcjonowanie przedsiębiorstwa, a dla zachowania bezpieczeństwa przychodnia zrezygnowała z możliwości rejestracji wizyt drogą telefoniczną. Takie podejście oczywiście jest właściwe, jeśli przychodnia oceniając ryzyko stwierdziła, że występuje realne zagrożenie wycieku tych danych i nie potrafi wdrożyć takich środków bezpieczeństwa, które pozwolą zapobiec tego typu incydentom. Można domyślać się, że przychodnia rezygnując z rejestracji telefonicznej boi się podsłuchów, co wydaje się mało prawdopodobne. Dlatego moim zdaniem to podejście wynika raczej z braku wiedzy oraz strach przed ewentualnymi konsekwencjami naruszenia RODO.

Opisane powyżej przykłady z upływem miesięcy pojawiały się coraz rzadziej, ale i w tym przypadku świat nie znosi pustki, a nowe okoliczności przynoszą nam co rusz nowe przypadki błędnej interpretacji przepisów prawa.

Przymusowe pomiary temperatur czy kierowanie pracowników na badania pod względem Covid-19 rodzą wiele wątpliwości i pytań. Wysłanie uczniów z dnia na dzień na zdalne nauczanie, wprowadzało tyle luk i sprzeczności, że trudno było w ogóle mówić o jakimś systemie bezpieczeństwa. Wspomnę tu tylko o kilku takich przypadkach. Dzieci w klasie trzeciej podstawówki po wykonaniu pracy miały wysłać nauczycielowi pracę pocztą elektroniczną, tylko że szkoła nie stworzyła dla nich skrzynek e-mail i mogły to zrobić albo z własnych skrzynek – prywatnych i to na adres prywatny nauczyciela, gdyż on również nie miał własnej – szkolenej poczty e-mail. Pracownik UODO podczas jesiennego szkolenia stwierdził, że nauczyciele mogą pracować na prywatnych komputerach i spoczywa na nich obowiązek odpowiedniego zabezpieczenia sprzętu. Jest to kuriozalne podejście, zwłaszcza, gdy kodeks pracy w art 67(11) nakłada na pracodawcę obowiązek zapewnienia sprzętu przy wykonywaniu telepracy, dopuszczając jedynie możliwość ekwiwalentu pieniężnego za używanie własnego sprzętu. Podejście kodeksowe pozwala nie tylko zwiększyć komfort pracy (w tym czasie, kiedy nauczyciel prowadzi lekcje również inni domownicy mogą potrzebować sprzętu do nauki lub pracy), ale pozwala na zwiększenie zabezpieczenia prac uczniów, które od tej chwili zgodnie z wytycznymi RODO będą przetwarzane na prywatnym sprzęcie nauczycieli. Również lipcowy wyrok TSUE w sprawie Scherms II wymaga podjęcia konkretnych działań przez regulatora i w mojej ocenie nie jest również jasne, czy nauczyciele i szkoły mogą swobodnie korzystać z rozwiązań chmurowych bez wprowadzenia dodatkowych zabezpieczeń.

Podsumowując, w niniejszym artykule wiele przykładów dotykało szkół i służby zdrowia, jednak powyższe problemy pojawiały się również w innych branżach. Dziś przedsiębiorcy lepiej radzą sobie ze stosowaniem przepisów RODO, jednak jest to dopiero czubek góry lodowej, sprawa Schrems II pokazuje, że przedsiębiorcy zgodnie z wyrokiem powinni zawiesić przetwarzanie danych na terenie Stanów Zjednoczonych, a wiemy że w czasach pandemii wyłączenie jednego z kanałów komunikacji elektronicznej może nieść za sobą poważne konsekwencję obniżenia przychodów, a dla mikro przedsiębiorców być po prostu zabójcze. Dlatego jako ostatni absurd należy tu wymienić całą aferę związaną z upadkiem „tarczy prywatności” i braku jakichkolwiek działań podejmowanych przez regulatora oraz organy nadzoru po 25 maja 2018 w celu uzdrowienia sytuacji. O tym można przeczytać również w innych naszych artykułach.


Źródło: prawo.pl, bezprawnik.pl, rzeczpospolita.pl, prawo.gazetaprawna.pl, warszawa.naszemiasto.pl, money.pl, sejm.gov.pl