Pół roku RODO Pół roku RODO

Zarówno Urząd Ochrony Danych Osobowych, jak i Ministerstwo Cyfryzacji przez ostatnie pół roku opublikowało kilka poradników dla administratorów, jak i podmiotów danych z różnych sektorów. Mamy poradnik postępowania z danymi osobowymi w zatrudnieniu (o którym już pisaliśmy), w sektorze medycznym opracowany wspólnie z Ministerstwem Zdrowia i Rzecznikiem Praw Pacjenta oraz najświeższy poradnik z dziedziny FinTech. 

W poradniku poruszona została kwestia przetwarzania danych na cele marketingowe na podstawie uzasadnionego interesu administratora w połączeniu ze zgodą na świadczenie usług drogą elektroniczną, obowiązku usunięcia danych, w tym danych wrażliwych (art. 9 RODO) oraz danych dotyczących skazań (art. 10 RODO) w przypadku, gdy dane te zostały przekazane administratorowi z własnej inicjatywy podmiotu danych, tj. bez uprzedniej wiedzy oraz sygnalizowanej przez administratora potrzeby przekazania takich danych, usunięcia danych osobowych z kopii zapasowych systemów informatycznych.

Praktyczny wymiar ma uwaga dotycząca podstawy przetwarzania danych osobowych na cele przeprowadzenia konkursu. Uznano, że właściwą podstawą nie jest zgoda, a prawnie uzasadniony interes administratora, przy założeniu, że administrator danych jest jednocześnie organizatorem konkursu. Argumentacja ministerstwa opiera się na motywie 47 preambuły RODO: „prawnie uzasadniony interes może istnieć wtedy, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą a administratorem, na przykład, gdy osoba, której dane dotyczą jest klientem administratora. Zatem w zakresie, w jakim konsument decyduje o przystąpieniu do konkursu, ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Jest to koncepcja odbiegająca od przyjętej dotychczas praktyki. Co prawda są to tylko niezobowiązujące zalecenia, niemniej jednak, istnieje duża doza prawdopodobieństwa, że to na tych zaleceniach będą opierać się kontrolerzy UODO.

Zatem należy zrewidować obowiązki informacyjne w związku z przeprowadzanymi konkursami. Administrator odpowiada bowiem za rzetelność i jasność przekazywanych podmiotom danych informacji o przetwarzaniu ich danych osobowych.

Unijna reforma ochrona danych osobowych niewątpliwie wpłynęła na powszechną świadomość problemu danych osobowych wśród społeczeństwa. W Polsce już tylko nieliczni nie kojarzą słowa RODO z ochroną danych osobowych. Świadczyć może też o tym lawina zgłoszeń i skarg nadesłanych do UODO. Co prawda cały czas znajdujemy absurdy związane z przetwarzaniem danych osobowych, jak stosowanie pseudonimów w kolejce do lekarza, czy bezzasadna odmowa udzielenia informacji. Warto w tym kontekście przywołać wyrok Wojewódzkiego Sądu Apelacyjnego w Olsztynie z dnia 19 października 2018 r. (sygn. akt II SA/Ol 542/18), w którym to dyrektor wojewódzkiego oddziału Narodowego Funduszu Zdrowia odmówił podania imion i nazwisk lekarzy specjalistów onkologii klinicznej, którzy są wykazani w oddziale funduszu jako realizujący refundowane przez NFZ świadczenia zdrowotne w trybie dostępu do informacji publicznej, argumentując swoją decyzję przepisami RODO. WSA stwierdził jednak, że lekarze wykonują zawód zaufania publicznego i szczególnej odpowiedzialności, stąd też winni być podmiotami możliwymi do pełnej identyfikacji na płaszczyźnie zawodowej.