A gdyby nie było RODO?
Te negatywne emocje związane z zarzutami wobec RODO podzielić można na dwie grupy. Pierwsza z nich może być określona jako uznanie potrzeby uchwalenia nowych przepisów w zakresie prawa ochrony danych osobowych jako oględnie mówiąc bezcelową czy bezsensowną. Mówi się o tym, że „pomysły urzędników w Brukseli” oderwane są od rzeczywistości, nie przystają do potrzeb konsumentów, powodując jedynie niepotrzebne koszty po stronie przedsiębiorców. Ponadto, zarzuty te często wskazują, że przepisy są źle sformułowane, nie tworzą jasnych zasad, lecz tylko zaciemniają obraz.
Druga grupa zarzutów opiera się na argumentacji, że RODO wcale nie jest nowym, wyższym standardem ochrony danych osobowych, lecz tak naprawdę obniża poziom ochrony danych, umożliwiając bądź wręcz zmuszając (sic!) firmy, zwłaszcza te wielkie (w pierwszej kolejności rzecz jasna te amerykańskie – oczywiście) do przetwarzania danych o wszystkim i na temat wszystkich.
Technologia wyprzedziła prawo
Odnosząc się do pierwszej grupy zarzutów, po pierwsze pamiętać trzeba, że dotychczasowa dyrektywa i ustawa o ochronie danych osobowych pochodzą z połowy lat dziewięćdziesiątych i kompletnie nie przystają do obecnej rzeczywistości czy technicznych sposobów przetwarzania danych. Można powiedzieć, że w gałęzi prawa zajmującej się ochroną danych osobowych mieliśmy przed wejściem w życie RODO do czynienia z czymś w rodzaju common law, bo większość wskazówek odnośnie do prawidłowego przetwarzania danych znaleźć można było w dorobku decyzji GIODO oraz orzecznictwie sądów administracyjnych i Trybunału Sprawiedliwości Unii Europejskiej.
To nie była dobra sytuacja – wiele zasad przetwarzania danych nie było przestrzeganych, zwłaszcza tych dotyczących związania celem czy minimalizacji zakresu. Zarówno administratorzy prywatni, jak i państwowi nie umieli prawidłowo oceniać legalności i prawidłowości swoich działań.
RODO zbyt szczegółowe czy zbyt ogólne?
Usłyszeć można głosy mówiące i o zbyt ciasnym kaftanie przepisów RODO, jak i zbytniej ogólności Rozporządzenia – obie te opinie uważam za subiektywne i nietrafne. Jeśli chcemy mieć przepisy, które są horyzontalne i takie same dla wszystkich, musimy je określić na odpowiednim poziomie ogólności (trend polegający na budowaniu kazuistycznych przepisów uważam za bardzo szkodliwy).
Z drugiej strony, przepisy, dając swobodę i elastyczność w ich interpretacji i stosowaniu, dość szczegółowo wskazują, jakie działania i w jakim terminie podejmować ma każdy administrator danych. W wielu sytuacjach – np. w prawie pracy.
Zarzuty z drugiej grupy uważam w ogóle za całkowicie chybione. Nie ulega wątpliwości, że wiele firm przetwarza o nas bardzo duże ilości danych – w przeważającej większości przypadków robi to jednak legalnie. Bardzo wiele osób za niewielkie rabaty bądź zniżki godzi się na przetwarzanie danych bądź profilowanie.
Jeśli jednak dane przetwarzane są bez podstawy prawnej to nie ulega wątpliwości, że mając RODO każda osoba której dane dotyczą, może łatwiej i skuteczniej dochodzić swoich praw i roszczeń wobec administratorów.