Przeanalizujmy choćby treść art. 5.1e, zgodnie z którym dane osobowe mają być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których są przetwarzane. Wyobraźmy sobie pracodawcę, który dygitalizuje dokumenty i przechowuje je w sposób zautomatyzowany, tym samym podlega treści rozporządzenia. Dokumentami tymi są wyroki, pisma, decyzje administracyjne, umowy, faktury, pisma od komorników, dokumentacja techniczna kontraktów budowlanych... Na każdym z nich mamy dane osobowe podpisujących je pracowników: imię i nazwisko, stanowisko, dane zakładu pracy. Po roku w średniej wielkości firmie zbiór taki sięga kilkunastu tysięcy pozycji.
Pojawia się pytanie, kto będzie miał czas na to, aby regularnie przeglądać każdy z tysiąca dokumentów i zastanawiać się nad tym, czy może być on jeszcze przechowywany, czy może należy go wyrzucić z uwagi na ochronę danych osobowych. Rozsądek podpowiada, aby dokumenty firmowe przechowywać przez wiele lat po upływie okresu przedawnienia wszelkich związanych z nimi roszczeń. Nigdy bowiem nie wiadomo, czy w międzyczasie nie doszło do przerwania biegu przedawnienia przez pracownika, który np. w mailu uznał roszczenia. W dodatku bywa tak, że dokument, który wydaje się już bezwartościowy dla sprawy, z którą jest związany bezpośrednio, staje się bezcennym dowodem w innej sprawie. Sądzę, że żaden pracodawca nie ma wystarczających środków na to, aby regularnie badać, czy każdy posiadany przez niego w formie elektronicznej dokument nie jest już przechowywany „przez okres nie dłuższy, niż jest to niezbędne" w rozumieniu RODO.
Oświadczenie goni fakturę
A teraz wyobraźmy sobie firmę budowlaną zatrudniającą 150 pracowników. Wszyscy oni otrzymują dziennie kilkaset maili i dokumentów. Każdy z nich – o zgrozo – zawiera cudze dane osobowe choćby w postaci imienia i nazwiska podpisującej je osoby. Zgodnie z tym, co twierdzą specjaliści na szkoleniach, nawet przy otrzymywaniu faktury należy wręczyć podpisanej na niej osobie informacje o zasadach przetwarzania jej danych. Już to widzę, jak pracownik fizyczny na budowie będzie miał czas na to, aby podczas odbierania faktury wraz z towarem pamiętać o wręczeniu dostawcy oświadczenia o przetwarzaniu jego danych, no i oczywiście o zachowaniu drugiego egzemplarza z podpisem odbierającego, a następnie przesłaniu go do firmy celem archiwizacji. Choć w tym przypadku i tak można mówić o dużej dozie szczęścia, bo oświadczenie jest komu wręczyć. W pozostałych przypadkach tam, gdzie pismo otrzymujemy pocztą, pozostaje tylko pocztowe odesłanie oświadczenia na adres pracodawcy podpisującego, którego i tak nikt nie przeczyta. Co nie zmienia postaci rzeczy, że koszty wysyłki trzeba będzie ponieść.
W mojej ocenie prezentowana na szkoleniach interpretacja, zgodnie z którą każdej osobie podpisującej dokument (np. fakturę) należy wręczyć oświadczenie o przetwarzaniu jej danych osobowych, nie jest trafna. Zgodnie z art. 2.1 RODO stosujemy je bowiem do zbioru danych. Tymczasem pojedynczy dokument i zawarte w nim dane nie są zbiorem. Dokument ten nie stanie się także zborem, gdy włożony zostanie do segregatora. Zgodnie z art. 4.6 RODO zbiór danych oznacza uporządkowany zestaw danych dostępnych według określonych kryteriów. Natomiast w przypadku segregatora trudno mówić o uporządkowaniu danych osobowych i możliwości odnalezienia ich po określonym kryterium. Jeżeli już, porządkuje się w nim dokumenty, ale nie dane osobowe. Imiona i nazwiska zawarte na podpisywanych dokumentach znajdują się raczej na nich przy okazji i nie ma możliwości ich odnalezienia na podstawie określonego klucza. Problem natomiast powstanie, gdy dokument zostanie zdigitalizowany i będzie przetwarzany w sposób zautomatyzowany w rozumieniu art. 2.1 RODO.
Jednak na boku interpretacje piszącej ten artykuł, których nie podzielają autorzy szkoleń nakazujących nawet podczas odbierania odpisu z KRS wręczać osobom fizycznym (np. członkom zarządu) oświadczenia o przetwarzaniu ich danych. W dodatku nie ma żadnej gwarancji, że organ kontrolny zechce przychylić się do prezentowanej tu bardziej liberalnej wykładni przepisów.
Ochrona na wyrost
Uważam, że nie można poddawać szczególnej ochronie podstawowych danych, jakimi posługujemy się na co dzień, w tym w obrocie prawnym podczas wykonywania obowiązków służbowych. Każdy człowiek ma imię i nazwisko, najczęściej jeszcze jakieś stanowisko, zakład pracy i nie uciekniemy od tego. Nie do końca też wiem, co złego miałoby wyniknąć z tego, że ktoś będzie wiedział, jak się nazywam, skoro nie zna mojego adresu, PESEL-u i innych identyfikatorów pozwalających na wyrobienie dowodu osobistego. Posiadam niczym niewyróżniające się nazwisko i zapewniam, że miliony podobnych mu nazwisk można znaleźć w książce telefonicznej czy w bibliotece. Czy podawanie szczególnej ochronie prawnej podstawowych identyfikatorów, jakimi każdy człowiek musi posługiwać się w życiu codziennym, a pracownik w pracy, ma sens? Czy nie jest to przez przypadek nadgorliwość legislatora? Jak dla mnie, ochrona ta, wprowadzona grubo na wyrost, skazuje przedsiębiorców na koszty i wykonywanie tysiąca niepotrzebnych czynności, w tym wysyłanie milionów oświadczeń o przetwarzaniu danych osobowych, których nikt nie czyta. Drugie tyle samo oświadczeń należy przechowywać na wypadek kontroli.
