Gdy 25. maja 2018 r. zaczęło obowiązywać RODO, zdawało się jakoby przez Polskę, ale i nie tylko, przetoczyła się jakowaś rewolucja i wszystko nagle zmianie ulec musiało.
Jednak przecież od 1997 mieliśmy (już nie obowiązującą) Ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997 nr 133 poz. 883 z pózn. zm.) . Mieliśmy także obowiązującą do dzisiaj Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz.U. 1994 nr 24 poz. 83 z późn. zm.), której art. 81 reguluje temat ochrony wizerunku. Mieliśmy Ustawę z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz.U. 1964 nr 16 poz. 93 z pózn. zm.), którego art. 23 o ochronie wizerunku wspomina wprost, a o innych dobrach i wolnościach także się wypowiada.
Ochrona danych pojawiała się też w innych przepisach, jak choćby medycznych, gdzie dodatkowo przecież mamy do czynienia z tajemnicą lekarską i prawami pacjenta.
Dlaczego więc nagle 25. maja 2018 r nastał taki chaos?
Co to RODO?
Unijne Rozporządzenie o Ochronie Danych Osobowych, znane dla wielu pod przerażającym skrótem RODO, nosi pełną nazwę: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
W wersji anglojęzycznej to General Data Protection Regulation, czyli GDPR i tu unaocznia się kluczowa cecha rozporządzenia, czyli General, czyli Ogólne. RODO jest pisane bowiem językiem do jakiego nie przywykliśmy w Polsce, językiem celów, a nie zadań do wykonania. W poprzedniej polskiej ustawie oraz rozporządzeniach wykonawczych do niej, mieliśmy często podane wprost, co należy zrobić, aby być zgodnym z prawem. Polityka, instrukcja, obszary przetwarzania, rejestr zbiorów, do tego plan sprawdzeń, hasło co 30 dni, zgłaszanie zbiorów do GIODO…
Wiele rzeczy z przepisów było przestarzałych i bez sensu już niedługo po ich wprowadzeniu. O tym, na przykład, że zmiana haseł co 30 nie jest dobrym pomysłem, napisałem w artykule pt. Jaka jest dobra polityka haseł?
A gdzie moje jasne wskazówki?
No ale przyzwyczailiśmy się do jasnych wskazówek, działań do odhaczenia (przynajmniej na pokaz, bo po cichu ludzie nadawali i tak te same hasła w kółko) i cieszyliśmy się ochroną danych wykonaną po japońsku (Jako-Tako). A tu nagle nadciąga Ogólne rozporządzenie, którego zalecenia nie wiadomo jak wypełniać. Bo opisuje cel ochrony danych, a nie konkretne rozwiązania. Bo każe się rozliczać ze skuteczności, wykazywać właściwą jakość, a nie podaje gotowców. No i co to np. znaczy „na dużą skalę”? Jaka skala jest już duża, a jaka nie?
Nie lubimy w Polsce prawa, które nie pozwala się odhaczyć, zamknąć w segregatorze i zapomnieć. Więc RODO nas denerwuje i drażni. Ja też, jako informatyk z wykształcenia i praktyki, chciałbym diagramów postępowania, listy warunków do wykonania i jasnych reguł testowania czy to co robię, jest OK, czy może nie.
Niestety nie ma tak dobrze. Przy RODO decyzje nieraz trzeba podejmować samemu i stosować biblijne stwierdzenie: Po ich owocach poznacie ich. Co prawda mowa tam o fałszywych prorokach, ale myślę, że tak samo można oceniać fałszywe i prawdziwe działania w wielu dziedzinach, w tym ochronie danych.
Co mi tam rozporządzenie, czekam na ustawę
Jakby tego co wcześniej było mało, to jeszcze rozporządzenie nazywa się Rozporządzenie, a gdzie ustawa?
W Polskim systemie prawnym mamy Konstytucję → Ustawy → Rozporządzenia. No więc wiele osób czekało na polską ustawę, pod którą mogliby sobie przypiąć unijne rozporządzenie. Czekali, czekali i się… doczekali 10. maja 2018 roku. Ale nagle, jak to pisują plotkarskie portale, Szok, Niedowierzanie, Wstyd, Żenada a nawet, jak mawiał mój kolega z technikum, Sodomia i ta druga, jej koleżanka, Gomoria. A wszystko to, bo „nagle” okazało się, że unijne rozporządzenie jest stosowane wprost, bez żadnych polskich ustaw, działa od razu i w pełni, a polskie ustawy mają być z nim zgodne, a nie wprowadzać jego działanie, więc polska ustawa z 10. maja wnosiła ledwie jakieś organizacyjne niuanse (z punktu widzenia przeciętnego administratora), i nadal nie dawała ulubionej przez Polaków listy zadań do wykonania ku właściwej ochronie danych.
W ten sposób „nagle” okazało się, że gminy, szkoły, przedszkola i inne jednostki samorządu terytorialnego, a nawet ministerstwa i komisje sejmowe przespały 2 lata vacatio legis RODO, czasu od 2016 do 2018 roku, który został dany na przygotowanie się do zmian. Do dzisiaj zresztą można w dokumentach najwyższych polskich urzędów znaleźć odwołania albo do ustawy z 1997 roku albo do nowej ustawy z 2018 roku, ale w zakresie np. zgód, których ona nie reguluje, bo to jest bezpośrednio zapisane w RODO.
Powiedzmy więc sobie jasno i prosto: RODO to nie jest unijna dyrektywa, czyli wskazówka, jak powinno być budowane krajowe prawo, ale jest to obowiązujące rozporządzenie od którego przestrzegania nie ma ucieczki.
Ratunku, oni chcą mnie ukarać!
Co w tym wszystkim najgorsze, Prezes Urzędu Ochrony Danych (dawny GIODO) uzyskał prawo do nakładania kar finansowych i to kar o niebagatelnych wysokościach, bo 100 tysięcy w przypadku jednostek publicznych, takich jak szkoła i wielu milionów dla branży prywatnej.
Dawniej sprawa musiała oprzeć się o sąd, a przypadki ukarania były tak sporadyczne, że w zasadzie nie ma o nich co wspominać. A tu nagle kary nie dość, że niemalże od ręki, to jeszcze zabójczo wysokie.
Boję się otworzyć lodówkę
Młodzieżowym słowem 2018 r. wybrano słowo dzban. Za to słowem roku 2018 wśród dorosłych jest niewątpliwie RODO. Czasami strach otworzyć lodówkę albo konserwę turystyczną, w obawie żeby nie wylazło z niej RODO właśnie. Można odnieść wrażenie, że w Polsce nie ma innych przepisów, regulacji i obowiązków, niż unijne rozporządzenie. Nawet krzywizna banana (modny temat parę lat temu) nie zajmowała tak mediów, jak (nagle, po 20 latach milczenia) ochrona danych. Odmieniono ten temat przez wszystkie możliwe przypadki i osoby.
Może więc jednak rewolucja?
Wszystkie wymienione wyżej powody mogą sprawiać wrażenie rewolucji. Nagła zmiana podejścia i brak jasnych wskazówek, rozporządzenie zamiast ustawy, wysokie kary i wszechobecność w mediach – na pewno nie brzmi to pokojowo. Ale z drugiej strony ja jednak stawiam na ewolucję!
Ochrona danych zapisana w polskiej ustawie z 1997 roku (i rozporządzeniach do niej) w wielu przypadkach pokrywa się z tym, co stosujemy pod „panowaniem” RODO. Jeżeli coś jest niejasne, to specjaliści często sięgają do norm, takich jak rodzina norm ISO 27000, które również są znane od lat.
Dla kogoś, kto przez 20 lat ignorował ochronę danych, temat może się wydawać rewolucyjny, jednak ja działam od 2011 roku w gliwickich przedszkolach i szkołach i wiele tematów mieliśmy już naprawdę dobrze wypracowanych, gdy o RODO jeszcze nikt nie słyszał. Oczywiście, dostosowujemy się do zmian, ale reformując stale nasze działanie, a nie wywracając wszystko od nowa.
