Pod koniec listopada minęło 6 miesięcy od momentu rozpoczęcia stosowania nowych przepisów dotyczących ochrony danych osobowych. O przepisach RODO słyszmy na każdym kroku. W aptece, u lekarza, w banku czy w zakładzie pracy. Co po tych 6 miesiącach wiemy o RODO a co powinniśmy, wiedzieć o tym Hanna Tochman prawnik, specjalista d.s RODO z kancelarii prawnej Kajetan Kujawiak.
R.P. – Po co w ogóle nam RODO?
Hanna Tochman: – RODO umożliwia efektywną ochronę danych osobowych, a także ujednolica zasady przetwarzania danych w całej Unii Europejskiej. Ma za zadanie chronić dane osobowe, które mają istotną wartość dla każdego z nas.
R.P. – Jest to ułatwienie naszego życia, czy komplikacja?
H.T. – Na RODO można spojrzeć jak na utrudnienie lub jak na szansę na ulepszenie ochrony danych osobowych. Co do zasady dla osób, których dane dotyczą, RODO jest ułatwieniem, dla administratorów danych stanowi zaś szereg obowiązków, czyli pewną komplikację. Dla osób fizycznych RODO to przede wszystkim skuteczny środek ochrony ich praw i transparentności przetwarzania danych. Ułatwia zdobycie wiedzy na temat tego, kto i jakie dane, w jakim celu i na jakiej podstawie przetwarza. Dla instytucji i firm to obowiązek ukształtowania podejścia do ochrony danych tak, żeby było to adekwatne do ryzyka przetwarzania danych.
R.P. – Skoro ułatwia, to jak wytłumaczyć historię, że w jednej z przechodni w Polsce pacjenci byli wywoływani do gabinetu nie po nazwisku, ale po pseudonimach.
H.T. – Wdrażając, regulacje RODO nie należy zapominać o zachowaniu zdrowego rozsądku. Dane pacjentów należy chronić, jednak niekoniecznie poprzez stosowanie pseudonimów rodem z „Gwiezdnych Wojen”. Zaleca się więc przykładowo stosowanie numeracji w zakresie kolejności przyjęć, czy niezwracanie się do pacjenta bez potrzeby jego pełnymi danymi – jednak wszystko w granicach racjonalności.
R.P. – Co zrobić, jeśli komuś z naszych bliskich przydarzy się coś złego i np: znajdzie się w szpitalu. Czy lekarz, pielęgniarka może udzielić nam informacji o stanie chorego? A jeśli tak to, w jaki sposób powinna to zrobić?
H.T.- Przepisy RODO absolutnie nie pozbawiają dostępu do informacji o stanie zdrowia. Dane o stanie zdrowia podlegają ściślejszej ochronie, jako dane szczególnych kategorii, jednak w sytuacji zagrożenia życia lub zdrowia dostęp do danych mogą mieć osoby bliskie, niezależnie ogólnego obowiązku zachowania tajemnicy tych danych. Placówki medyczne powinny wyważyć kwestie ochrony danych osobowych oraz prawa dostępu do informacji o stanie zdrowia w taki sposób, aby po możliwej w danych warunkach weryfikacji tożsamości, nie pozbawiać osób bliskich możliwości dowiedzenia się o zdrowiu czy życiu pacjentów.
R.P. – Czy w szkole obowiązuje też RODO, np: na wywiadówce czy podczas lekcji, kiedy nauczyciele czyta na głos imię i nazwisko ucznia i podaje, jego oceny oznacza, że podaje tzw. dane wrażliwe?
H.T. – RODO nie zawiera wyłączeń co do stosowania przepisów rozporządzenia o ochronie danych osobowych w szkołach. Do katalogu tzw. danych wrażliwych nie należą imię, nazwisko czy też oceny ucznia. Dane te oczywiście podlegają ochronie zgodnie z RODO, jednak nie są to dane wrażliwe. Należy jednak zwrócić uwagę, czy podawanie ocen ucznia na forum publicznym jest celowe – nauczyciele powinni rozważyć to z uwzględnieniem dobra uczniów i poszanowaniem ich godności osobistej.
R.P. – Jakich danych może żądać pracodawca w procesie rekrutacji?
H.T.- Pracodawca może żądać od kandydata do pracy w procesie rekrutacji tylko takich danych, które są niezbędne do realizacji celów związanych z zatrudnieniem. O ile dozwolone jest więc żądanie podania na przykład danych identyfikacyjnych, czy danych o przebiegu dotychczasowego zatrudnienia, wykształceniu, o tyle pracodawca nie może wymagać podania informacji o stanie cywilnym, wyznaniu czy poglądach politycznych.
R.P.- Czy pracodawca może pozyskiwać z portali społecznościowych informacje o kandydatach do pracy?
H.T.- Przyjmuje się za niedopuszczalne pozyskiwanie przez pracodawcę informacji, zamieszczanych przez kandydatów do pracy w mediach społecznościowych. Informacje takie mogą rzutować na ocenę kandydata, a zazwyczaj będą to dane „nadmiarowe” w rozumieniu RODO. Internet jest jednak silnym i powszechnie wykorzystywanym źródłem informacji – pracownik musi się więc liczyć z tym, że pomimo ogólnego zakazu, dane z portali społecznościowych i tak będą wzięte pod uwagę w procesie rekrutacji.
R.P. – Od czasu wejścia w życie RODO, strony internetowe wymagają zgody na przetwarzanie danych osobowych. Co się stanie, jeśli czytelnik odmówi. Co to oznacza?
H.T. – Strony internetowe w większości nie wymagają zgody na przetwarzanie danych osobowych, a realizują jedynie wynikający z RODO obowiązek informacyjny o przetwarzaniu danych osobowych oraz informują o plikach cookies, co wynika z odrębnych przepisów. Co do zasady, jednak gdy właściwą przesłanką przetwarzania danych jest zgoda osoby, to brak tej zgody uniemożliwia przetwarzanie danych, a tym samym realizację usługi.
R.P. Dziękuję za rozmowę.
*Hanna Tochman jest prawnikiem, specjalistą d.s RODO w kancelarii prawnej Kajetan Kujawiak