Komentarz rodo zbitki WBI

O RODO pozytywnie, ale z uwagami

data wpisu: 2020.05.30 | data publikacji: 2020.05.30

Mija 2-ga rocznica wdrożenia RODO/GDPR. Fanfar nie było, ale pojawiło się kilka podsumowań – raczej pozytywnych, chociaż ze wskazaniem kilku problemów wartych już co najmniej zastanowienia się, czy nie należałoby ich poprawić.

Dołączam się do tych głosów, tym bardziej, że o niektórych poprawkach już wspominałem. Wobec tego poniżej w telegraficznym (esemesowym – jak ktoś nie wie co to jest telegraf) stylu:

  1. Dla spełnienia wymagań RODO, każdy kontakt z administratorem danych osobowych (operatorzy, urzędy, …) rozpoczyna się od prezentacji przez niego standardowych formułek, które tylko zajmują czas, nie wnosząc żadnej nowej wartości. Tylko niektórzy wyłączają te formułki jako dodatkową opcję do wysłuchania.
  2. Numer PESEL jest już tak powszechnie używany do identyfikacji rozmówcy petenta, co powoduje, że już trudno byłoby stwierdzić skąd mógł on „wyciec” i w coraz mniejszym stopniu może być uznawany jako zaufany sposób identyfikacji osoby. Szczególnie ma to znaczenie przy operacjach finansowych.
  3. Przy okazji pandemii okazało się, że ochrona danych musi, w pewnych warunkach, ulec wymogom sanitarnym i trzeba dopuścić pomiar temperatury osoby bez jej zgody oraz pozwolić na gromadzenie danych lokalizacyjnych w celu odtworzenia możliwości styczności z zarażoną osobom. Poszukiwanie przy tej okazji metod nieco mniej dokładnego gromadzenia tych danych jest tylko substytutem dla zachowania „honoru ochrony danych osobowych”.
  4. Techniczna możliwość gromadzenia historii kontaktów zbliżeniowych identyfikowanych wizualnie osób uzmysłowiła fakt możliwości (zapewne już wykorzystywanej, ale też utajnianej) gromadzenia takich informacji przez służby bezpieczeństwa państwa w celu nadzoru obywateli, przed czym RODO nie chroni. Warto by było uzupełnić GDPR przynajmniej o niezależną od rządu kontrolę takich działań.
  5. W okresie praktycznie obowiązkowego przebywania w domach oraz kwarantann, wyraźniej pojawiają się potrzeby uzyskania kontaktu z innymi osobami, ale często na przeszkodzie staje brak adresu mejlowego czy numeru telefonu. Czasem jest to wręcz konieczne z powodów życiowych, prawnych czy ekonomicznych. W dobie RODO nie ma możliwości legalnego uzyskania takiego adresu czy numeru, chyba że poprzez łańcuszek znajomych (co też może być nielegalne). A kiedyś, już z końcem XVIII wieku pojawiły się księgi adresowe miast, a z końcem XIX wieku pierwsza książka telefoniczna, co uważano za duże osiągnięcie w nawiązywaniu relacji pomiędzy obywatelami. A czym dysponujemy dzisiaj do odszukania kontaktu?
  6. Sumując powyższe stwierdzenia, wracam do już prezentowanego postulatu uwolnienia spod RODO podstawowych danych osobowych: imienia, nazwiska, numeru PESEL oraz adresów pocztowych, mejlowych i numerów telefonów do kontaktu, za zgodą danej osoby. Równocześnie powinny być znaczące kary za wykorzystywanie tych informacji do zaszkodzenia danej osobie psychicznie (stalking, podszywanie się) czy też finansowo (kradzież).
  7. Ograniczenie możliwości nawiązywania relacji zdalnych, przy ograniczeniu możliwości bezpośrednich kontaktów, jest ograniczeniem osobistej wolności osób oraz grup społecznych, które (jak to jest szczególnie widoczne obecnie) nie mogą się porozumiewać, wymieniać poglądów, czy też zaprezentować swoje stanowisko. Media społeczne nie zawsze są dobrą platformą dla takich kontaktów. Równocześnie władze mają wiedzę o miejscu pobytu praktycznie każdego obywatela (nie mówiąc też o dostępie do treści jego środków przekazu).

W osobnym akapicie umieszczam podstawową wadę GDPR/RODO. To rozporządzenie zobowiązuje administratorów danych osobowych do ich pilnowania przed nieuprawnionym dostępem, co jest słusznym nakazem. Jednakże w przypadku wycieku tych danych (nawet niezawinionego przez administratora) lub też ich kradzieży poprzez atak teleinformatyczny, administrator może się spodziewać znacząco wysokiej kary finansowej nakładanej przez lokalny organ ODO, która jest odprowadzana do skarbu państwa. W GDPR/RODO nie ma ani słowa o obowiązku państwa w zapobieganiu oraz wykrywaniu przestępczych ataków na bazy danych osobowych, na co głównie powinny być przeznaczone środki z tych kar. I to jest moim zdaniem najpoważniejsza wada tego rozporządzenia.

Przy okazji polecam: