W Polsce kwestia ochrony danych osobowych jest ustawowo uregulowana, a o interes tych, których dane dotyczą, dba Generalny Inspektor Ochrony Danych Osobowych. Co więcej, już za niespełna rok zacznie obowiązywać rozporządzenie, które ma sprawić, że przepisy państw członkowskich UE będą odpowiadały potrzebom naszych czasów.
RODO (ang. GDPR) – europejskie rozporządzenie o ochronie danych osobowych – ze względu na formę prawną wejdzie w życie bezpośrednio. Oznacza to, że nie istnieje konieczność implementacji jego zapisów ustawą krajową. Od 25 maja przyszłego roku instytucje publiczne i przedsiębiorcy w UE będą zobowiązane do przestrzegania zasad przyjętych przez Parlament Europejski. Szczególnie ci drudzy, bo rozporządzenie dotyczy głównie firm.
Dotychczasowe przepisy wynikające z pochodzącej sprzed ponad 20 lat dyrektywy uznano za przestarzałe. Nic dziwnego, bowiem od tego czasu nastąpił skok technologiczny związany przede wszystkim z rozwojem internetu.
Na czym będą polegały nowe zasady ochrony danych osobowych?
Koniec ze skomplikowanymi formułkami
Klauzulę rozpoczynającą się od słów „wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z przepisami ustawy z dnia…” zna chyba każdy. Wyrażenie świadomej zgody nie jest jednak możliwe bez pełnej znajomości zapisów wspomnianej ustawy. Często barierą jest nie tylko sama nieznajomość obowiązujących przepisów, ale również skomplikowany język formułowanych przez administratorów danych informacji.
Intencją autorów rozporządzenia było zerwanie z niezrozumiałymi formułkami. Informacje przekazywane osobom, których dane dotyczą, mają być klarowne, a ich język na tyle prosty, by mogły go zrozumieć nawet dzieci (których, w dobie internetu i mobilnych aplikacji, kwestia ochrony danych osobowych dotyczy coraz częściej).
Rozporządzenie nie zabrania profilowania, czyli dostosowywania oferty firm do konkretnych odbiorców na podstawie ich aktywności w sieci. Osoby profilowane będą jednak musiały zostać poinformowane o konsekwencjach wynikających z gromadzenia informacji (wynikających chociażby z plików cookies), a także zachowają prawo do wyrażenia sprzeciwu. RODO nie porusza natomiast kwestii „darmowych” aplikacji, za korzystanie z których nie pobiera się co prawda opłat pieniężnych, ale wymaga się podania mniej lub bardziej szczegółowych danych.
Obywatele Unii zyskają „prawo do bycia zapomnianym”. Sprowadza się ono do tego, że na żądanie chociażby byłego klienta firmy jego dane muszą zostać nieodwołalnie usunięte z bazy. Administratorzy będą mogli odmówić wyłącznie w uzasadnionych przypadkach, np. gdy dane są niezbędne do dochodzenia roszczeń lub wywiązania się z określonych obowiązków prawnych.
Drakońskie kary za naruszenie przepisów
RODO nakłada dotkliwsze niż dotychczas kary finansowe za zatajenie wycieku danych. Problemy z bazą danych trzeba będzie zgłosić w ciągu 72 godzin odpowiednim organom – w Polsce będzie to Urząd Ochrony Danych Osobowych, który wkrótce przejmie obowiązki Generalnego Inspektora Ochrony Danych Osobowych.
Konsekwencje będą groziły również tym firmom, które będą wysyłały klientom oferty pomimo wycofania przez nich zgody na przetwarzanie danych. Rozporządzenie przewiduje konsekwencje finansowe w wysokości nawet 20 milionów euro. Dodatkową sankcją może być też zakaz przetwarzania danych.
Bardzo poważnie potraktowano kwestię gromadzenia danych biometrycznych i wrażliwych. W art. 9 ust. 1 czytamy:
Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
Nieco dalej wyszczególniono jednak pewne odstępstwa od zakazu. Co do zasady gromadzenie tego typu danych przez firmy jest zabronione – chyba, że jest to z pewnych względów niezbędne (np. informacje są konieczne do celów profilaktyki zdrowotnej) lub odbywa się to za zgodą osoby, której informacje dotyczą.
Przedsiębiorcy nieprzygotowani na zmiany?
Maciej Kawecki z resortu cyfryzacji nazywa rozporządzenie „rewolucją” w dziedzinie ochrony danych. I to pomimo faktu, że część zapisów rozporządzenia już w polskim prawie obowiązuje – w mniejszym lub większym stopniu.
[…] w Ministerstwie Cyfryzacji pracujemy nad przepisami krajowymi tak, żeby to rozporządzenie było jak najpełniej stosowane, żeby postępowania w sprawie ochrony danych osobowych były szybkie, efektywne. [Każdy – red.] będzie mógł wystąpić do każdej instytucji, które takie dane ma i zażądać ich usunięcia
– mówił na antenie TVN24.
RODO stanowi jednak niemały problem dla przedsiębiorców. Jak twierdzi Sylwia Pusz z PwC, „w nowym podejściu ochrona danych osobowych w przedsiębiorstwie to ciągły proces, dlatego niezwykle ważne jest, by jak najlepiej przygotować się do nowych obowiązków”.
Niepokojące jest to, że wiedza przedsiębiorców na temat zbliżających się zmian jest niewielka. W ubiegłym roku firma Dell zleciła przeprowadzenie badania wśród osób odpowiedzialnych za ochronę danych w ponad 800 firmach z całego świata, które mają europejskich klientów. 80% przedstawicieli przedsiębiorstw nie wie o RODO nic lub prawie nic. Jedynie 3% zadeklarowało, że ich firma opracowała stosowny plan przygotowań na okoliczność zmiany przepisów.
Czy rozporządzenie realnie zwiększy zakres ochrony danych osobowych obywateli UE?
Przeczytaj także
Dodaj komentarz
Bądź pierwszy!