25 maja 2018 roku zacznie obowiązywać unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO), które zastąpi przepisy dotychczasowej polskiej ustawy o ochronie danych osobowych o której pisaliśmy w poprzednim artykule Ochrona danych osobowych obecnie. Przepisy RODO, zwane także GDPR (General Data Protection Regulation), będą dotyczyć wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą. RODO to największa zmiana w podejściu do ochrony danych osobowych od dwudziestu lat.
RODO wprowadza dużo nowości, m.in.:
Prawa podmiotu danych
Zadaniem administratora danych osobowych będzie dostosowanie systemów informatycznych tak, aby na każde żądanie osoby, której dane dotyczą, można było między innymi usunąć całkowicie jej dane osobowe, czy przenieść je do innego usługodawcy. Przykładowo, zmieniając placówkę medyczną, możemy żądać, żeby obecny podmiot przetwarzający nasze dane wygenerował plik z wszystkimi naszymi danymi osobowymi, przekazał go nam, a następnie usunął je ze wszystkich swoich nośników, na których przechowuje dane osobowe. Administrator danych będzie miał również obowiązek udzielenia wszelkich informacji na temat danych osobowych osobie, której te dane dotyczą.
Obowiązek zgłaszania naruszeń
W ciągu 72 godzin od wykrycia naruszenia mogącego skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone, będzie trzeba zgłosić się do właściwego organu nadzoru. Istnieć będzie również możliwość zgłoszenia tej informacji do konkretnej osoby, której prawa i wolności zostały zagrożone naruszeniem.
Wyznaczenie Inspektora Ochrony Danych Osobowych
Obowiązkiem niektórych firm zarówno kontrolujących, jak i przetwarzających dane, będzie wyznaczenie Inspektora Ochrony Danych Osobowych. Osoba ta musi dysponować wiedzą ekspercką w zakresie ochrony danych osobowych.
Przejrzyste informacje
Rozporządzenie będzie domagać się od wszystkich administratorów danych, by wszelkie informacje kierowane do osób, których dane dotyczą, były formułowane jasnym i prostym językiem, by były zwięzłe i zrozumiałe. Szczególnie istotne będzie to zaś wówczas, gdy informacje i komunikaty będą kierowane do dzieci, które muszą móc je bez trudu zrozumieć.
Profilowanie
Profilowanie, czyli zbieranie informacji o osobach oglądających oferty w Internecie, czy szukających tradycyjnie jakiegoś towaru czy usługi, nie będzie zakazane. Jednak osoby profilowane będą musiały zostać poinformowane nie tylko o tym, że są obiektem zainteresowania algorytmów marketingowych, ale również o konsekwencjach z tego wynikających.
Dane biometryczne
Nowością jest określenie po raz pierwszy zasad przetwarzania danych biometrycznych (takich jak wizerunek twarzy czy odciski palców) w zatrudnianiu, w sektorze bankowym i ubezpieczeniowym. Dane takie będą mogły zostać pozyskane przez bank oraz ubezpieczycieli celem weryfikacji tożsamości klientów. W przypadku zatrudnienia przetwarzanie przez pracodawcę danych biometrycznych obejmować ma tylko dane osobowe pracownika jeśli dotyczą one stosunku pracy i pracownik wyrazi na to zgodę.
Prawo do bycia „zapomnianym”
Jedną z istotniejszych zmian, jakie wprowadzi RODO, jest prawo do bycia zapomnianym, czyli ostatecznego i nieodwołalnego usunięcia danych osobowych z baz danych na żądanie zainteresowanego. Główny Inspektor Danych Osobowych tłumaczy, że z prawa do bycia zapomnianym skorzystamy w sytuacji, w której chcemy, by nasze dane nie były przetwarzane, a na przykład określona instytucja czy firma nie mają podstawy do takiego przetwarzania.
Bezpośrednia odpowiedzialność przetwarzającego dane
Za nieprzestrzeganie postanowień RODO przetwarzający dane będzie ponosił bezpośrednią odpowiedzialność. Powołanie Inspektora Ochrony Danych Osobowych czy wynajęcie firmy zewnętrznej w tym obszarze nie zwalnia z tej odpowiedzialności.
Wysokie kary
Niestosowanie się do nowych zasad przetwarzania danych osobowych może m.in. skutkować odpowiedzialnością finansową – administracyjnymi karami pieniężnymi nawet do 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa. Niezależnie od tego osoba, której prawa zostały naruszone, może też dochodzić swoich roszczeń przed sądem cywilnym.
Dokładniej o tym co i jak się zmieni będą mogli Państwo przeczytać w kolejnych artykułach. Zapraszamy!
