25 maja minęły dwa lata, odkąd unijne ustawodawstwo zobligowało Polskę do stosowania przepisów tzw. RODO.

Minione dwa lata, to zauważalny wzrost świadomości społeczeństwa odnośnie ochrony danych osobowych oraz generalnie bezpieczeństwa informacji. Choć trudno mówić o sytuacji idealnej, jednak zdecydowanie nastąpiła znacząca poprawa. Z całą pewnością zwiększyła się także transparentność czynności przetwarzania danych. Ma to odzwierciedlenie m.in. w sektorze usług (informacje o przetwarzaniu danych, częściej znane jako polityki prywatności lub klauzule informacyjne), czy też w regulacjach pracowniczych (ograniczenie wykorzystania danych osobowych do czynności związanych ze stosunkiem pracy, czy zwiększenie transparentności czynności związanych z monitoringiem).

Sukcesy na koncie RODO

Uregulowanie zagadnień dotyczących monitoringu (choćby tylko w odniesieniu do realizacji stosunku pracy), jest jednym z niewątpliwych sukcesów, jakie można przypisać regulacjom związanym z RODO.

W sektorze pracowniczym polepszeniu uległ także obszar związany z zakresem danych pracowników, które są przetwarzane przez pracodawców. Mowa tu przede wszystkim o wizerunku, a także przetwarzaniu informacji dotyczących ewentualnej kartoteki karnej kandydata do pracy (w sytuacji, gdy nie było to konieczne ze względu na odrębne przepisy prawa). Poprawę można zaobserwować również w kwestiach związanych z rekrutacją, a przykładem jest mniejsza liczba rekrutacji ukrytych.

Sektor usług, to przede wszystkim ukrócenie niektórych natarczywych form marketingu oraz wykorzystanie danych osobowych w ściśle określonym celu. Ogólnie, postępowania prowadzone przez UODO w kilku przypadkach zakończyły się nałożeniem naprawdę istotnych kar administracyjnych – w tym najwyższej, opiewającej na kwotę 2,8 mln. złotych.

RODO w Polsce – nie tylko pozytywy

Podsumowując dwa lata funkcjonowania wytycznych RODO w Polsce, nie można koncentrować się wyłącznie na pozytywnych aspektach unijnej reformy ochrony danych. W dalszym ciągu na krajowym gruncie wiele kwestii pozostaje niedookreślonych. Bardzo długo czekaliśmy na niektóre akty prawne – przede wszystkim na zmiany wybranych aktów prawnych i dostosowanie ich do wymogów RODO. Przykładem tego typu działań jest tzw. ustawa sektorowa.

W sektorze usług nadal można zaobserwować błędne zastosowanie zgód, tj. przede wszystkim ich wymuszanie i uzależnianie świadczenia usługi od wyrażenia zgody. W wielu kwestiach brakuje konkretnych wskazań organu nadzorczego. Przykładem takiego braku, jest m.in. niedawny komunikat UODO, w którym dopiero po dwóch latach urząd wypowiedział się (przynajmniej w części) na temat realizowania obowiązku informacyjnego względem członków rodziny pracownika, których dane są przetwarzane.

W relacjach gospodarczych nadal powszechne są sytuacje błędnego zastosowania umów powierzenia danych osobowych do przetwarzania, a same umowy często nie opisują należycie transferu, lecz staję się mechanizmem wzajemnego zastraszania stron.

Warto także odnieść się do rocznych planów kontroli sektorowej, w których aspekt pracowniczy wydaje się być marginalizowany.

Autor

Kacper Rączkowiak – specjalista do spraw ochrony danych osobowych oraz inspektor ochrony danych w Grant Thornton.

Artykuł pochodzi ze strony Grant Thornton.