Od 25 maja 2018 roku zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/45/WE. W obiegu nowe przepisy najczęściej określa się skrótami RODO lub GDPR. Chociaż nowe przepisy wprowadzają wiele fundamentalnych zmian w obszarze ochrony danych osobowych z raportu Trend Micro oraz Vmware wynika, że ponad 50 procent przedsiębiorców jeszcze nawet o nich nie słyszało. Zainteresować się warto jak najszybciej, ponieważ nowa regulacja stanowi prawdziwe wyzwanie zwłaszcza dla najmniejszych przedsiębiorców. Warto pamiętać, że nowe przepisy będą obowiązywały bowiem nie tylko korporacje, ale również mikroprzedsiębiorców oraz przedsiębiorców jednoosobowych, prowadzących np. sklepy internetowe.
Konkretny i wyraźny cel przetwarzania danych osobowych
Jedną z podstawowych zasad, na których opierają się nowe unijne przepisy jest zasada zbierania danych osobowych w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
Nadal najważniejsza jest zgoda
Niezmienną zasadą zgodnego z prawem przetwarzania danych osobowych pozostaje zgoda osoby, której dane dotyczą. Jednakże to administrator jest zobowiązany wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. RODO precyzuje, że zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.A zatem kończy się epoka zalewania konsumentów masą niezrozumiałych informacji pod tytułem „polityka prywatności”, wśród których ewentualnie przemycane jest drobnym drukiem „zastrzeżenie” przedsiębiorcy o możliwości przetwarzania danych osobowych klientów także w celach marketingowych. RODO podkreśla, że osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
Szerszy katalog danych wrażliwych
W świetle RODO niedopuszczalne jest przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby, chyba że zostaną spełnione przesłanki określone w art. 9 RODO. Tym samy katalog tzw. danych osobowych wrażliwych został poszerzony o dane genetyczne i biometryczne.
Ma być zwięźle, przejrzyście i komunikatywnie
RODO precyzuje kwestie związane z obowiązkami informacyjnymi administratorów, kładąc jednocześnie nacisk na to, by wszelkie informacje były przekazywane w sposób zwięzły, przejrzysty, zrozumiały, w łatwo dostępnej formie, jasnym i prostym językiem. Administratorzy mogą wypełniać swoje obowiązki informacyjne na piśmie, ale możliwe są również inne sposoby, w tym droga elektroniczna. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami zostanie potwierdzona tożsamość tej osoby.
Więcej praw dla osoby, której dane są przetwarzane
Jednocześnie każda osoba fizyczna będzie miała prawo do informacji o tym, czy jej dane osobowe są przetwarzane. Jeżeli odpowiedź będzie twierdząca, będzie miała możliwość uzyskać dostęp do przetwarzanych danych, a ponadto informacji np. w zakresie celów i sposobów przetwarzania jej danych osobowych. Ponadto administrator będzie miał obowiązek dostarczyć takiej osobie kopię danych osobowych podlegających przetwarzaniu. Niezwykle istotne wydaje się tzw. prawo do bycia zapomnianym. Uprawnienie to będzie można realizować poprzez żądanie niezwłocznego usunięcia przez administratora danych osobowych np. w przypadku, gdy dane te nie są już niezbędne do celów, w których zostały zebrane.
Ochrona danych już w fazie projektowania usługi lub produktu
Administrator już na etapie projektowania określonego rozwiązania musi uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania jak również ryzyko naruszenia praw lub wolności osób fizycznych, wynikające z przetwarzania. Wszystko to oczywiście w celu ochrony praw osób, których dane dotyczą. A zatem fundamentalne zasady ochrony danych osobowych muszą być uwzględniane przez administratorów jeszcze zanim dojdzie do faktycznego zebrania danych osobowych.
Raportowanie o własnych naruszeniach
Zupełną nowością będzie obowiązek zgłoszenia GIODO przypadków tzw. naruszeń ochrony danych osobowych we własnych strukturach. Taki obowiązek będzie wkrótce ciążył na administratorze, który będzie zobligowany do zgłoszenia naruszenia w ciągu 72 godzin od chwili stwierdzenia, że do naruszenia doszło. Jeżeli zgłoszenie nastąpi z opóźnieniem, administrator będzie musiał wyjaśnić przyczynę opóźnienia. Jednocześnie administrator będzie miał obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych oraz okoliczności i skutków naruszeń, a także podjętych działań zaradczych. Prawidłowość prowadzenia tej dokumentacji będzie podlegała kontroli.
Wysokie kary za naruszenia
To tylko niektóre zmiany wprowadzone przez RODO. Na końcu pozostaje zapewne najważniejsze pytanie: jakie będą konsekwencje naruszenia nowych przepisów? I tutaj niestety już optymistycznie nie jest – za naruszenia zasad przetwarzania danych grożą wysokie kary – nawet do 20 mln euro. Alternatywnie przedsiębiorcę będzie można ukarać do 4% wartości obrotu z poprzedniego roku. Jednocześnie organ kontroli nie będzie badał stopnia naruszenia, wystarczy, że zostanie stwierdzone samo naruszenie. Biorąc pod uwagę skalę zmian i restrykcyjne nowe obowiązki przewidziane przez GDPR a także konieczność gruntownego przeorganizowania systemów ochrony danych osobowych – przedsiębiorcom nie pozostało dużo czasu na przygotowanie się do nowych rozwiązań.
adw. Wioletta Gołębiewska