Jednym z większych problemów w stosowaniu RODO jest rozumienie jego wymagań. Mimo że są dość precyzyjnie opisane w artykułach, a wyjaśnione dodatkowo w motywach (oznaczone w nawiasach na początku aktu prawnego), wciąż stosowane bywają założenia i przekonania wypracowane przez 20 lat obowiązywania wcześniejszych rozwiązań prawnych.
Wykładnia słownikowa
Zaskakujące jest to, że wielu specjalistów RODO stosuje wykładnię słownikową, a więc dokładnie, wręcz co do przecinka, czytają akt prawny, który jednak w swoim założeniu jest napisany nieco inaczej niż polskie przepisy. Przypomnijmy, akt ten jest prawem europejskim, stosowane są do niego zasady europejskie. W Polsce zasady tworzenia przepisu prawnego (co powinien zawierać, czego nie powinien) określa natomiast tzw. technika prawodawcza. Jest ona szeregiem zasad zebranych w załączniku do Rozporządzenia Prezesa Rady Ministrów z dnia 20 czerwca 2002 r. w sprawie “Zasad techniki prawodawczej”.
Z powodu różnic w podejściu do aktów prawnych w różnych krajach i tego, że RODO musi być aktem uniwersalnym, możliwym do stosowania w krajach o różnym sposobie stanowienia i stosowania prawa, wykorzystanie naszych krajowych metod do „rozumienia” bywa nieco zdradliwe. Jednym z takich przykładów jest „wykładnia” jednego z prawników, dotycząca obowiązku podjęcia działań związanych z naruszeniem ochrony danych osobowych. Cytat z przepisu:
Art. 34.1 Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
Otóż na podstawie literalnego i wręcz dosłownego przeczytania przepisu, zdaniem tego specjalisty nie wymaga poinformowania takie naruszenie, które dotyczy naruszenia praw jednej osoby. Ponieważ w przepisie jest napisane, że musi być wysokie ryzyko naruszania praw lub wolności osób, nie osoby. Pozostawiamy czytelnikom zestawienie tej interpretacji z celem wdrożenia RODO, motywami wyjaśniającymi cel i zasady stosowania w tym też art. 33 i 34 RODO.
Reasumując ten krótki wstęp, RODO sprawia problemy interpretacyjne, utrudniające identyfikację wymagań, a więc tego, co należy zrealizować, czy jaki stan osiągnąć.
RODO jako kompletny poradnik?
RODO jest napisane w taki sposób, aby było kompletnym poradnikiem wdrożenia. Przypomina nieco normy ISO, które w jednym zeszycie zawierają zarówno wymagania do wdrożenia (requirements), jak i przewodnik, i poradnik (guidline). W zakresie wymagań natomiast skupia się na realizacji zasad fundamentalnych, zawartych w art. 5. Pozostałe artykuły, a w niektórych przypadkach całe rozdziały zawierają uszczegółowienie co do przedsięwzięć, jakie należy wdrożyć, aby uzyskać zgodność z przepisem, a w efekcie (to jest istotniejsze) ochronę osoby fizycznej w związku z przetwarzaniem jej danych osobowych,
Jednym z ciekawszych wymagań w RODO jest rozliczalność, co do której bywają problemy z wykazaniem. Zacytujmy przepis z art. 5 (jeden z fundamentów):
Art. 5.2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).
Pozostając przy koncepcji, w której art. 5 stanowi fundamenty, a pozostałe przepisy określają, co należy robić, przyjrzyjmy się obowiązkowi rozliczalności. W trakcie jednego z warsztatów na szkoleniu Audytor RODO uczestnicy wybrali jako ćwiczenie zrozumienie wymagań art. 24. Zacytujmy:
Art. 24.1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
Co administrator ma zrobić? (zadania):
- Przetwarzanie ma się odbywać zgodnie z rozporządzeniem (RODO),
- Administrator musi udowodnić (wykazać), że tak się dzieje.
Jak ma to zrobić? (wymagania ogólne):
Wdrażając odpowiednie środki:
- Techniczne,
- Organizacyjne
Jak je dobrać (wymagania szczegółowe):
Uwzględniając:
- Charakter przetwarzania,
- Kontekst przetwarzania,
- Cele przetwarzania,
- Ryzyko naruszenia praw i wolności.
Spory zestaw wymagań praktycznie do każdego przepisu. Dla próby w trakcie szkolenia wykonaliśmy identyfikację wymagań z art. 12 RODO. Wstępnie miał być 13, ale jako że art. 13 jest przepisem instrukcyjnym, precyzyjnie określającym zawartość treści informacji dla osoby, wróciliśmy do art. 12.
Wymaganie art. 12.1
Co jest treścią wymagania z art. 12.1? Wbrew pozorom nie jest to dostarczenie informacji zwięzłej, jasnej, przejrzystej. Zacytujmy przepis:
12.1. Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem (…)
Ta część przepisu wymaga, aby administrator podjął odpowiednie środki do uzyskania efektu. Dlaczego wymaganiem tym nie jest efekt w postaci zrozumienia? Ponieważ ten jest określony jako cel wynikający z zasad fundamentalnych RODO, art. 5.1.a.
Zasady fundamentalne mają określone sposoby wykonania, działania, wymagania, co do realizacji w dalszych przepisach RODO. Warto też pamiętać o art. 5.2 oraz 24, czyli o rozliczalności. W tym konkretnym aspekcie administrator musi „rozliczyć” podjęcie środków. Najczęstszą niezgodnością w tym zakresie jest brak jakiegokolwiek działania zmierzającego do tego, aby informacje były zrozumiałe, zwięzłe i napisane prostym i jasnym językiem. Użycie języka prawniczego, np. nazwanie informacji klauzulą informacyjną, przeniesienie bez wyjaśnienia definicji z przepisu w sytuacji, gdy odbiorcą komunikatu (osobą, której dane są przetwarzane) jest osoba bez wykształcenia prawniczego, z wykształceniem ogólnym, jest tylko dowodem na niezrozumiałość komunikatu. Aby poprawnie określić niezgodność i wskazać rekomendacje, konieczne jest pozyskanie informacji, co administrator zrobił, aby ten komunikat był zrozumiały dla odbiorcy. Analogicznie do tego toku rozumowania pisane są uzasadnienia do decyzji i wskazane naruszenia z przepisów prawa przez organy nadzorcze. Wskazują one często naruszenie konkretnego przepisu z dalszej części RODO, jednocześnie odnosząc się do zasad fundamentalnych z art. 5 jako skutku.
Jak napisaliśmy na początku – RODO jest poradnikiem i wymaganiem w jednym.
Podsumowanie.
Zrozumienie wymagań jest kluczowe do poprawnego audytowania oraz poprawnego wdrożenia systemu ochrony danych osobowych w organizacji. Popularnie nazywa się to „wdrożeniem RODO”. Jednak to nie przepisy prawa są wdrażane, a system opracowany przez twórcę, spójny z organizacją, biorący pod uwagę kontekst, charakter i cele przetwarzania, wiedzę techniczną oraz wyniki pochodzące z szacowania i oceny ryzyka.
Przy tej ilości parametrów do spełnienia naturalnym efektem jest to, że system w każdej organizacji jest inny. Podobieństwo występuje jedynie w przebiegu procesu wdrożenia, a więc konkretne czynności, jakie należy wykonać, aby zidentyfikować wszystkie te parametry, uwzględnić je w założeniach do projektu, a następnie wdrożyć, a więc doprowadzić do stanu, w którym system będzie działał.
