3 popularne mity o RODO

30.09.2023 10:00 | 8 min

RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE jest z nami już od ponad 5 lat. Przez ten czas narosło wiele mitów i absurdów, o których dziś opowiem. Zaznaczam jednak, że nie jestem prawnikiem, a niniejszy artykuł nie stanowi porady prawnej.

Szafki dostosowane do RODO

Billboard ze zdjęciem szafy na dokumenty i podpisem "SZAFKI DOSTOSOWANE DO RODO"

Mimo że zdjęcie pochodzi z profilu SO IN LAW na Facebooku, sam napotkałem kiedyś taki billboard w Poznaniu. Hasło, którego firma użyła w reklamie, nie jest do końca trafne w świetle obowiązujących przepisów.

Tak brzmi artykuł 32 RODO:

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz
ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia,
administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień
bezpieczeństwa odpowiadający temu ryzyku [...]

Rozporządzenie nie precyzuje jednak wymogów wobec podjętych środków technicznych i organizacyjnych, które warunkowałyby dopuszczenie do użytku szaf na dokumenty. Jeżeli dojdzie do naruszenia, fakt że administrator przechowywał dokumenty w szafie „dostosowanej do RODO”, nie będzie miał większego znaczenia, ponieważ takie – co do zasady – nie istnieją. Jeżeli mówimy o zgodności mebli z normami, lepiej zwrócić uwagę na certyfikaty wydawane przez Instytut Mechaniki Precyzyjnej oraz rozważyć dodatkowe działania:

minimalizacja danych przechowywanych w formie papierowej,
szyfrowanie zawartości wszystkich fizycznych nośników (takich jak np. pendrive-y czy dyski twarde),
wdrożenie systemów kontroli dostępu i monitoringu w pomieszczeniach, w których przechowywane są dokumenty,
szkolenia dla osób mających dostęp do danych.

Należy pamiętać, że to do administratora należy wdrożenie odpowiednich środków bezpieczeństwa – jeżeli uważasz, że szafa „dostosowana do RODO” rozwiąże problem – OK! To Twoja decyzja, ale i Twoja odpowiedzialność.

Przez RODO muszę klikać w okna ze zgodą na przetwarzanie danych

Tak wyglądają popularne strony internetowe, gdy odwiedzamy je po raz pierwszy:

Komunikat o przetwarzaniu danych zawierający dwa przyciski - PRZECHODZĘ DO SERWISU oraz USTAWIENIA ZAAWANSOWANE
Źródło: onet.pl

Komunikat o przetwarzaniu danych zawierający dwa przyciski - AKCEPTUJĘ I PRZECHODZĘ DO SERWISU oraz USTAWIENIA ZAAWANSOWANE
Źródło: wp.pl

Komunikat o przetwarzaniu danych zawierający dwa przyciski - ZAAKCEPTUJ WSZYSTKO oraz DOSTOSUJ WYBORY
Źródło: wykop.pl

Wydawałoby się, że przez to całe RODO musimy znosić te paskudne okienka. Nic bardziej mylnego. Wszystkie trzy pokazane strony łamią art. 7 ust. 3 RODO w procesie pozyskiwania zgody od użytkownika.

Oto treść wspomnianego ustępu (wytłuszczenia moje):

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na
zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane
dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

W każdym z pokazanych przypadków odmowa wyrażenia zgody na przetwarzanie danych wymaga większej ilości kroków niż jej wyrażenie (wykonywane jednym kliknięciem). Oprócz tego, we wszystkich znaleźć można tzw. dark patterns opracowane przez noyb. Widzimy zatem, że nieprzyjazna dla użytkownika forma okienek do wyrażania zgody nie jest wadą RODO, a skutkiem jego nieprzestrzegania.

Co ciekawe, tego typu okienka wcale nie są konieczne. Przykładowo, na mojej stronie nie muszę korzystać z takich rozwiązań, ponieważ przy samym jej odwiedzeniu przetwarzam jedynie dane, które są niezbędne do realizacji celu – ulepszania treści w oparciu o dane analityczne (prowadzenie statystyk serwisu). Zebranych w ten sposób informacji nikomu (poza dostawcą hostingu) nie przekazuję. Jest to zatem mój prawnie uzasadniony interes (art. 6 lit. f RODO).

Uważam, że gdyby administratorzy wskazanych stron zmodyfikowali procesy przetwarzania danych (np. zaprzestali przekazywania danych użytkowników zewnętrznym podmiotom, jeżeli nie jest to niezbędne, stosowali reklamy kontekstowe zamiast systemów targetowania i profilowania itd.), mogłyby one mieć inne podstawy prawne niż zgoda, a co za tym idzie, stosowanie wyskakujących okienek nie byłoby konieczne. I nie chodzi tu już o samą zgodność z RODO, tylko o szacunek do użytkownika i jego danych osobowych, bo obecnie wielu administratorów działa w ramach tzw. Malicious compliance.

Irytujące checkboxy

Podsumowanie zamówienia w sklepie internetowym, widać 6 pól możliwych do zaznaczenia oraz pole "zaznacz wszystkie"

W niektórych serwisach znaleźć można wiele pól do zaznaczenia. Dotyczy to w dużej mierze sklepów internetowych, ale też np. newsletterów czy formularzy kontaktowych. O ile część zgód konieczna jest w związku z innymi aktami prawnymi (np. Ustawa o świadczeniu usług drogą elektroniczną, Ustawa o prawach konsumenta, czy Ustawa prawo telekomunikacyjne), o tyle ja skupię się na zgodzie na przetwarzanie danych osobowych.

Nie każdy wie, że można zmniejszyć ilość checkboxów zgodnie z prawem. Jest to możliwe przez zastosowanie pojęcia wyraźnego działania potwierdzającego. Artykuł 4 ust. 11 RODO określa zgodę jako konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego.

Szerszą definicję możemy znaleźć w motywie 32 preambuły tego rozporządzenia (wytłuszczenia moje):

Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

W praktyce oznacza to tyle, że w jednym kontekście (np. przy zapisie do newslettera) możemy potraktować samo wysłanie formularza jako zgodę na przetwarzanie danych w nim podanych, jeżeli jasno i zrozumiale na to wskazuje.

Co ważne, w procesie konstruowania takiego formularza trzeba zwrócić uwagę także na motyw 42 preambuły RODO:

[...] Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych. [...]

Zgodnie z nim, nawet jeżeli odstępujemy od checkboxa, mamy obowiązek zapewnić użytkownikowi wskazane informacje, np. zamieszczając stosowną adnotację. Tak wygląda ona w przypadku komentarzy na moim blogu:

Formularz dodawania komentarza z adnotacją "Administratorem Twoich danych jest Tymoteusz Jóźwiak. Dane będą przetwarzane jedynie w celu świadczenia usługi komentarzy. Więcej informacji (link do polityki prywatności)."

Nie muszę zbierać oświadczeń w związku z Ustawą o świadczeniu usług drogą elektroniczną, ponieważ nie spełniam definicji usługodawcy z art. 2 ust. 6 tejże ustawy, zatem ostatecznie w formularzu nie znajdują się żadne checkboxy. Wpływa to pozytywnie na doświadczenia użytkownika (UX).

Trzeba jednak pamiętać, że do niektórych zgód i oświadczeń wymaganych przez odrębne akty prawne stosuje się zasady, które mogą być inne niż w RODO, zatem konieczne jest każdorazowe zweryfikowanie form wszystkich oświadczeń pod kątem zgodności z prawem.

Podsumowanie

Choć wiele osób traktuje RODO jako źródło swoich frustracji podczas korzystania z Internetu, w mojej ocenie nie jest to słuszne. Przykłady, które wymieniłem, pozwalają wysnuć tezę, że znaczna część tzw. RODO-absurdów spowodowana jest niewiedzą, nieświadomością, a czasem także brakiem szacunku do użytkownika ze strony administratorów. Niestety, o ile niektóre pokazane procesy jawnie łamią rozporządzenie, UODO (Urząd Ochrony Danych Osobowych) działa bardzo powoli. Na odpowiedzi w sprawie składanych skarg trzeba czekać długo, a ich konsekwencjami w podobnych przypadkach są często upomnienia, z których niektóre podmioty nic sobie nie robią. Nie mam tu pretensji do pracowników urzędu, niemniej egzekwowanie RODO w tym obszarze nie działa najlepiej.