Mirabelki i Mircy, tak się składa, że od paru miesięcy mam "wątpli... (@keesz)

Mirabelki i Mircy,

tak się składa, że od paru miesięcy mam "wątpliwą" przyjemność zajmować się zawodowo wdrażaniem projektów RODO od strony prawnej w mniejszych lub większych firmach. Przeczytałem na temat GDPR, DSVGO czy RODO (zwał jak zwał - ogólne rozporządzenie o ochronie danych osobowych) setki opracowań, komentarzy, wytycznych i różnego rodzaju innych dokumentów. I chociaż całkowicie zgadam się z założeniami, że nasze dane osobowe powinny podlegać ochronie i to my, jako ich podmioty, powinniśmy być ich rzeczywistymi dysponentami, to po miesiącach pracy z RODO muszę stwierdzić jedno - ten akt prawny nie nadaje się do stosowania w życiu i im wcześniej zacznie się o tym głośno mówić, tym lepiej. Dlatego też zdecydowałem się popełnić ten i, jeżeli wam przypadnie do gustu, kolejne wpisy, w których chciałbym wskazać na różne absurdalne sytuacje, do których RODO doprowadza.

Na rozgrzewkę chciałbym zacząć od sytuacji, do której RODO (art. 2 ust. 2 lit. c) nie powinno znajdować zastosowania, czyli do przetwarzania danych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze. Przykłady? Np. sprzedajemy komuś nowiutkiego iPhone X za pincet złotych bo ma horom curke. W tym celu zbieramy jego numer telefonu, imię i nazwisko i adres, żeby tego telefona do niego wysłać. Czy musimy informować go zgodnie z art. 13 RODO o zasadach przetwarzania jego danych? No nie, jak długo sprzedaż tę zaliczyć można do czynności o czysto osobistym lub domowym charakterze, czyli jak długo nie prowadzimy działalności gospodarczej polegającej na opylaniu iPhonów po piniondzach, pod RODO nie podpadamy.

Ale weźmy inną sytuację - jesteśmy w górach i razem z 4 znajomych zrobiliśmy sobie zajefajne selfie. Następnie zdjęcie to wrzucamy na Facebooka (na zdjęciu tym są ofc dane osobowe innych osób w postaci ich wizerunków). Czy możemy? No nie jest to do końca takie jasne... Ale jak to, przecież zdjęcie wrzuciliśmy w ramach czynności o osobistym charakterze, zatem RODO się nie stosuje. No nie do końca... W jednej ze swoich opinii (opinia 5/2009 w sprawie portali społecznościowych) Grupa Robocza Art 29 (obecnie Europejska Rada Ochrony Danych Osobowych) stwierdziła, że w przypadku w portali społecznościowych co do zasady przetwarzanie danych osobowych odbywające się w ramach portali społecznościowych przez ich użytkowników mieści się w ramach czynności o czysto osobistym lub domowym charakterze, chyba że np. dostęp do danych mają inne osoby niż kontakty samodzielnie wybrane przez użytkownika. Zatem jeżeli wrzucacie zdjęcie ze swoimi znajomymi na facebooka i ustawiacie jego dostępność na "Publiczny" podpadacie pod RODO ze wszystkimi tego konsekwencjami. Przynajmniej teoretycznie....

Przy okazji chciałbym zwrócić waszą uwagę na jedną bardzo charakterystyczną rzecz dotyczącą różnych wytycznych i komentarzy dotyczących RODO. Najważniejsze jest zazwyczaj to, co następuje po "ale", "chyba że" lub w drugiej części zdania - tak jak w tym przypadku decydujące jest "chyba że np. dostęp do danych mają inne osoby niż kontakty samodzielnie wybrane przez użytkownika". Dlatego warto czytać wszystko do końca, bo diabeł tkwi w szczegółach.

Dajcie znać, czy będziecie zainteresowani podobnymi wpisami w przyszłości. W każdej notce będę starał się wrzucać przepisy i fragmenty opracowań, żebyście sami mogli zweryfikować, to co piszę. Mimo że RODO zajmuje się od kilku lat muszę przyznać, że dalej go nie rozumiem i bardzo chętnie poddam waszej weryfikacji, to co mam do powiedzenia :)

#rodo #prawo #mnieniebawi