Wyobraźmy sobie hipotetyczną sytuację: Szukasz informacji, gdzie warto wybrać się w wakacje. Wchodzisz na stronę internetową – wyskakuje okienko RODO. Dużo informacji, administrator danych, przetwarzanie itd. Przewijasz na dół – jakiś link do Polityki Prywatności. Akceptuj. Nie widzisz co jest na dole strony, ponieważ stopkę zasłania informacja o plikach cookies. Zamknij. Znajdujesz ciekawe oferty, otwierasz formularz kontaktowy, a tam znowu RODO, w dodatku jeszcze jakieś zgody. Zamykasz stronę i szukasz dalej. Po drodze otwierasz jeszcze kilka stron, każda z podobnymi „utrudnieniami”. W końcu trafiasz na stronę, która nie zarzuca Cię co chwilę informacjami o danych osobowych, ale co więcej, nie porusza tej kwestii w ogóle. Była też strona, która wymagała jedynie zaznaczenia opcji „wyrażam zgodę na przetwarzanie danych osobowych zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie… ”. Na skorzystanie z której strony się zdecydujesz?
Od wejścia w życie przepisów tzw. RODO, czy inaczej, ogólnego rozporządzenia o ochronie danych (dla przypomnienia: 25 maja 2018 r.) wielu użytkowników sieci internet może czuć się przytłoczona nadmiarem informacji, które są przekazywane przez administratorów danych. Sytuacja na wstępie dokładnie oddaje, to co się w tej kwestii dzieje. Jakkolwiek nie uważalibyśmy działań tego rodzaju za zbyteczne, nadmiarowe, czy nad wyraz – refleksja powinna być jedna: wdrożono przepisy rozporządzenia, na tej stronie przestrzega się przepisów mających zapewnić bezpieczeństwo moich danych (lub chociaż podejmuje w tym kierunku starania).
Co istotne dla oceny przedstawionego zjawiska, informowanie o przetwarzaniu danych użytkownika strony jest podyktowane nie tylko potrzebą wywiązania się z obowiązków nałożonych rozporządzeniem (obowiązek informacyjny), ale również troską o bezpieczeństwo osób, których dane są przetwarzane. Wbrew pozorom, większy dyskomfort u użytkownika powinien obecnie wywołać brak tego rodzaju informacji na stronie internetowej. Może to bowiem sugerować, że nie dokonano właściwego wdrożenia przepisów. Działanie niezgodnie z przepisami powinno z kolei budzić niepokój i wiązać się z ryzykiem naruszenia praw, które te przepisy mają chronić.
Przy tej okazji pragniemy przypomnieć, że wraz z rozpoczęciem obowiązywania w Polsce RODO, uchylono funkcjonującą przez bardzo długi czas ustawę o ochronie danych osobowych z 1997 roku. Powoływanie się na przetwarzanie danych zgodnie z tą ustawą, albo odbieranie zgód na przetwarzanie na jej podstawie – również zasługuje na krytykę i przesądza o nieznajomości aktualnie obowiązujących przepisów. O ile niektóre regulacje polskiego prawa ulegają zmianom w sposób szybki i niekiedy wręcz niepostrzeżony, tak wejście w życie przepisów RODO urosło do rangi ogólnopolskiego wydarzenia, na które należało się odpowiednio przygotować.
Czy w takim razie oznacza to, że zarzucanie użytkownika informacjami na temat przetwarzania danych osobowych jest działaniem pożądanym? Niekoniecznie. Początkowo wśród podmiotów o statusie administratora panowało podejście ostrożnościowe w odniesieniu do wdrożenia tych przepisów, wzmacniane dodatkowo wysokimi karami za ich nieprzestrzeganie. Doprowadziło to w pewnych sytuacjach do pewnego rodzaju absurdu, gdzie wdrożenie przepisów mających zapewnić wzmocnienie ochrony danych osobowych, którym przyświeca zasada przejrzystości i prostego, zrozumiałego komunikatu – właśnie tę jasność i przejrzystość zaburza. Co warto docenić, wraz z wydłużaniem się okresu obowiązywania RODO w Polsce podejście administratorów do realizacji obowiązku informacyjnego ulega racjonalnemu rozluźnieniu. Przykładowo, w pewnych sytuacjach wystarczające jest realizowanie obowiązku informacyjnego w Polityce Prywatności dostępnej w stopce strony.
Czy niekiedy „przesadzone” podejście do RODO może być uciążliwe? Może. To przed czym jednak chcemy przestrzec to, żeby uciekając przed informacyjnym atakiem nie uciec z deszczu pod rynnę. Jeżeli na danej stronie internetowej wymagających od nas podania danych osobowych brak jest jakichkolwiek informacji o ich przetwarzaniu i osobie administratora, może to świadczyć o potencjalnym niebezpieczeństwie.