Do pacjenta, ucznia już nie po nazwisku? Strach przed RODO przybiera absurdalne formy

Szkoły, kościoły, szpitale, cmentarze. RODO boją się wszyscy. Nauczyciele nie wiedzą, czy mogą zwracać się do uczniów po nazwisku, a lekarze z tego samego powodu wzywają pacjenta do gabinetu po “numerze pacjenta”. Zebraliśmy nasze codzienne lęki przed RODO i omówiliśmy z ekspertem z Ministerstwa Cyfryzacji.
Do pacjenta, ucznia już nie po nazwisku? Strach przed RODO przybiera absurdalne formy

Strach dostać od kogoś CV

Zacznijmy od najbardziej podstawowej sytuacji: prowadzimy działalność gospodarczą, czytając ten tekst akurat siedzimy przy biurku, przeglądamy pocztę służbową. Wtem! W skrzynce pojawia się list zawierający CV, ktoś chce zachęcić nas do kontaktu i przesyła informacje o sobie. Nerwy jak postronki, zimny pot na czole: co teraz powinienem zrobić? Przecież to dane osobowe! Czytać, skasować? Proszę się nie śmiać, bo wiele takich pytań codziennie trafia do urzędników zajmujących się RODO. 

– Jeżeli organizujemy rekrutację, to w ogłoszeniu powinniśmy zawrzeć informację o przetwarzaniu danych osobowych i już możemy je gromadzić, nie trzeba na to osobnej zgody – tłumaczy dr Maciej Kawecki dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji. To w przypadku ogłoszonego konkursu na dane stanowisko, ogłoszenia i tak dalej. Ale nie wyjaśnia to przypadku, gdy dostaniemy CV tak po prostu.

– Wtedy zwrotnie powinniśmy poinformować, że dane będą przetwarzane i archiwizowane w określonym celu – tłumaczy dr Kawecki. Zgoda będzie potrzebna dopiero jeśli będziemy chcieli takie CV przekazać dalej, innym firmom w danej grupie na przykład. Tutaj potrzebna jest zgoda. Sprawę z pewnością ułatwia to, że na wielu CV kandydaci wpisują już zgody na przetwarzanie danych. Jeśli takiej nie ma, trzeba ją odebrać. 

– Na samo gromadzenie CV (czy konkurs jest ogłoszony, czy też nie) nie musimy odbierać zgody – dodaje dr Kawecki – Zgodnie z ustawą jest to konieczne do zawarcia umowy. 

Sam fakt, że CV jest na naszej skrzynce odbiorczej nie jest sytuacją, w której powinniśmy panikować w razie jakiejś kontroli. Wygodne rozwiązanie problemy informowania potencjalnych kandydatów bez zakopywania się w korespondencji jest osobne konto pocztowe firmy do przyjmowania CV i… ustawienie na nim automatycznej odpowiedzi zawierającej informacje o tym co się z nimi stanie. 

Numery zamiast nazwisk – jak szkoły i szpitale starają się dopasować

Urzędnicy codziennie odbierają dziesiątki wiadomości, część z nich także osobiście słucha opowieści o tych, którzy RODO traktują z przesadnym strachem. Szkoły, kościoły, szpitale, cmentarze – wszystkie z nich przecież operują w jakiś sposób danymi osobowymi. 
– Zgłaszają się do nas dyrektorzy szkół z pytaniem o monitoring – przyznaje dr Kawecki. Chodzi o to, czy po wejściu RODO w życie można prowadzić nagrywanie terenu szkoły i ten materiał przechowywać (jak długo?). Urzędnicy przekonują, że RODO nie zabrania, jest natomiast w przepisach ustalony termin trzech miesięcy i przez tyle czasu można taki zapis mieć zapisany, potem trzeba go bezpiecznie usunąć. 

Kolejną drażliwą kwestią są listy – na przykład te wywieszane na tablicach z wynikami egzaminów. Tutaj różny status mają uczelnie wyższe i pozostałe. Te pierwsze mogą udostępniać listy z nazwiskami kandydatów, którzy dostali się na studia, ale jeśli chodzi o egzaminy w ciągu trwania semestru jest inaczej. W tym wypadku uczelnia powinna stosować pseudonimy: na przykład pierwsze kilka cyfr numerów indeksów do oznaczania studentów, albo ostatnie cyfry PESELu. 

W niektórych polskich szkołach po wejściu w życie RODO pojawiły się nawet wątpliwości czy nauczyciel ma prawo zwracać się do ucznia imieniem i nazwiskiem, bo przecież to także dane osobowe. 

– Absolutnie można mówić po nazwisku – rozwiewa wątpliwości dr Kawecki – RODO nie wpływa na relacje międzyludzkie. Mam w ogóle wątpliwości czy ma tu zastosowanie, bo służy do określania warunków przetwarzania danych w zbiorze bądź automatycznie, a tutaj dane przetwarzane są tylko w naszej głowie. 

 

Jeden z polskich szpitali wprowadził niedawno numerację pacjentów, chcąc chronić ich dane. Kiedy syn starszej pacjentki po udarze chciał ją odwiedzić usłyszał na recepcji, że powinien iść do pacjenta o numerze 14. Mężczyzna napisał do urzędników skarżąc się na odczłowieczenie swej matki przez szpital. Zakład opieki zdrowotnej może wprowadzić taki system, jednak najważniejszy jest tu zdrowy rozsądek i czasem te najradykalniejsze rozwiązania są po prostu niepotrzebne, a czasem wręcz niebezpieczne. Przy numerycznym nazywaniu pacjentów i podpisywaniu dla nich leków numerami o pomyłkę nietrudno. Był także w Polsce przypadek gdy obawiający się o zgodność RODO warszawski szpital przestał opisywać opakowania z narządami do transplantacji nazwiskami dawcy i biorcy. Rezultatem był protest kardiochirurga, który odmówił przeszczepu. Obawiał się konfliktu serologicznego, odrzucenia przeszczepu i nie zdecydował się na operację, bo pojemnik opisany był w sposób, który nie dawał mu pewności. 

– Ochrona życia bądź zdrowia jest wartością nadrzędną nad ochroną prywatności mimo wszystko – podsumowuje dr Kawecki. 

Księgi wieczyste w Kościołach, nagrobki na cmentarzach. Czy tu też trzeba zgody? 

Kościół katolicki w Polsce jest jednym z największych dysponentów baz danych i przez całą swoją historię skrzętnie i skrupulatnie je gromadził. Dzięki temu są one często bardzo pomocne w pracach historycznych, demograficznych i socjologicznych. Ale czy wraz z wejściem RODO kościoły w całej Polsce powinny także informować wiernych o przetwarzaniu i gromadzeniu danych osobowych? W tym przypadku RODO kończy się na progu świątyni. 

– Jeśli chodzi o kancelarie parafialne, dotyczy to prawa kościelnego – tłumaczy dr Kawecki – Trzeba pamiętać, że Kościół katolicki przyjął swój własny dekret na podstawie artykułu 91. RODO, ma podstawę prawną. Powołał kościelnego inspektora ochrony danych osobowych, który sprawuje nadzór nad przetwarzaniem danych. Nie mamy tutaj żadnej kompetencji do oceny wewnętrznych regulacji Kościoła i praktyk.

Zmarli mogą spać spokojnie. Cmentarze, niezależnie czy kościelne czy komunalne, nie podlegają pod RODO, bo nie dotyczy ono nieboszczyków. A jeśli chodzi o żyjących, którzy wykupili działkę jeszcze za swojego życia? Dane na nagrobkach i cmentarzach nie są traktowane jako występujące w zbiorze lub przetwarzane automatycznie , zatem nie odnosi się do nich RODO. Do tego zakup działki pod grób jest umową, zatem dane osobowe są tu konieczne do jej zrealizowania. Nie ma tu potrzeby pobierania żadnej zgody. Mimo tego zarejestrowano w Polsce przypadek, gdzie w obawie przed karami zarządca zamknął cmentarz do wyjaśnienia jego statusu. 

Jakie petycje są bezpieczne? Czy prawnik może wysyłać pismo e-mailem? Co z oświadczeniami po wypadku samochodowym?

W ostatnich dniach do urzędników wpłynęło sporo pytań o to jak w świetle RODO powinna wyglądać komunikacja z prawnikami. Niektórzy, w obawie przed kontrolami i karami, mieli zaprzestać wysyłania dokumentów pocztą elektroniczną. Ministerstwo Cyfryzacji uspokaja, że owszem można jeśli korzysta się z zaszyfrowanej lub zaufanej poczty. 
Osobny temat to petycje, ich kwestie reguluje osobna ustawa, zatem można.

– Oczywiście taka kartka z podpisami nie powinna sobie leżeć na ławce w parku, żeby każdy mógł z niej sczytać numery PESEL, tylko powinna być pod nadzorem – dodaje dr Kawecki – Dobrze by było także byśmy nie widzieli kto podpisywał przed nami. Dobrze, żeby na końcu listy znajdowała się informacja o tym w jakim celu dane osobowe są przetwarzane i przez kogo. 

 

Kolejnym tematem, który często pojawia się w zapytaniach są wypadki drogowe. Z reguły w takich sytuacjach kierowcy wypisują oświadczenia, wymieniają się też danymi potrzebnymi do realizacji świadczeń ubezpieczenia. Zdarzają się już przypadki, gdzie ludzie nie chcą niczego przekazać powołując się na RODO. 

– Jeden z najbardziej kuriozalnych przypadków to teatr – opowiada dr Kawecki – który uzależnia możliwość kupienia biletu na spektakl od przekazania danych osobowych.
To absolutnie niepotrzebne, bo sprzedaż biletów to zawieranie umowy i sam bilet jest potem podstawą do ewentualnej reklamacji. W momencie zawierania umowy kupna-sprzedaży istnieje już podstawa prawna do przetwarzania danych osobowych, a kupujący wyraża na to zgodę. 

Zdjęcia z imprezy i ślubu – czy każdy ma podpisać zgodę?

Na wiosnę i w lecie trwa sezon ślubny, a wraz z nim wysyp wesel i innych imprez gdzie pracują fotografowie. Czy każdy na takiej imprezie powinien podpisywać osobną zgodę? Niekoniecznie, wystarczy informacja dla uczestników, że impreza jest nagrywana i fotografowana, a jeśli ktoś nie chce być na materiałach – niech skontaktuje się z organizatorem. Przy konferencjach z kolei można wprowadzić oznaczenie na ubiorze w postaci naszywek, przypinek czy wstążek – zależnie od koloru uczestnik byłby widoczny dla rejestrujących jak wyrażający zgodę lub nie.

– Zgoda to nie tylko opisanie oświadczenia woli, to także świadomy gest – tłumaczy dr Kawecki – Jeśli idę do studia TV to świadomie wyrażam zgodę na przetwarzanie danych. Tak samo w przypadku wesel.

W przypadku imprez masowych, istnieje osobna ustawa je regulująca, gdzie zapisane są zasady monitoringu. Tutaj, gdy nasz wizerunek tonie w morzu innych, z których praktycznie nie da się go gołym okiem wyłowić, nie ma zastosowania RODO. 

– Nie jest tak straszliwie – uspokaja dr Kawecki – owszem, jest zmiana i musimy podchodzić racjonalnie do prywatności. 

Na sam koniec rozmowy z ekspertem spoglądam na biurko, gdzie leżą wizytówki, którymi się przed chwilą wymieniliśmy. Wracamy do punktu wyjścia, bo czy wizytówki na stole nie są danymi bez odpowiedniego zabezpieczenia?

– Moje biurko jest chronione przez pokój, sekretariat, ochronę i przez budynek sam w sobie – odpowiada dr Kawecki – powstałą błędna narracja, że po wejściu RODO wymienianie wizytówek nie powinno mieć miejsca. Skoro trafiają do wizytownika, to są w zbiorze – teoretycznie. Ale po pierwsze RODO wyłącza zastosowanie przepisów do danych kontaktowych osób prawnych. Po drugie często jest tak, że wymieniamy się wizytówkami prywatnymi i jest to użytek osobisty, gdzie RODO nie znajduje zastosowania. Wreszcie zwyczajem jest wymiana wizytówek, więc każdy wie jaki jest cel i kto otrzymuje dane osobowe.

Czym jest RODO?

Rozporządzenie Ogólne o Ochronie Danych Osobowych) zostało przyjęte przez Parlament Europejski oraz Radę Unii Europejskiej. Zaczęło działać od 25 maja 2018. Zmiany w nim zawarte mają uporządkować i podnieść bezpieczeństwo przetwarzania danych osobowych: w organizacjach, firmach, korporacjach oraz w ich przepływie między państwami UE. Nieprzystosowanie się tych, którzy gromadzą i przetwarzają dane osobowe do nowych przepisów grozi wysokimi karami.