RODO kontra GIODO

0
906 wyświetleń
RODO kontra GIODO

Za rok, a dokładnie 25 maja 2018 r., wejdzie w życie unijne rozporządzenie RODO dotyczące ochrony danych osobowych. Jego celem jest ujednolicenie przepisów we wszystkich państwach członkowskich Unii Europejskie po to, aby umożliwić swobodny przepływ danych osobowych między państwami członkowskimi, ale także wprowadzenie zasad, zgodnie z którymi przetwarzanie danych osobowych będzie ujednolicone na terenie całej UE.

Tekst: Celina Perskiewicz

Na firmy nałożone zostaną nowe obowiązki, do których należy się już przygotować, ponieważ za niewywiązanie się z nich będą grozić wysokie kary finansowe. Nowe przepisy dają konsumentom dużo nowych praw, jak chociażby to do przenoszenia danych, ograniczenia profilowania, prawo do bycia zapomnianym i szerszej informacji o tym, jak przetwarzane są ich dane. Zgody na przetwarzanie danych osobowych w internecie będą mogły udzielać samodzielnie dzieci, które ukończyły 16 lat.

Zadania administratora danych
W przeciwieństwie do obecnie obowiązujących, nie wskazują, przy użyciu jakich środków i jak powinny zostać zabezpieczone dane oraz w jaki sposób należy zapewnić poprawność ich przetwarzania. Według nowego porządku prawnego to administrator danych ma pełną swobodę w wyborze rozwiązań, przy czym zobowiązany jest do przeprowadzenia analizy oraz oceny ryzyka związanego z przetwarzaniem danych.

Zgoda
W celu przetwarzania danych zwykłych konieczna jest zgoda osoby, której dane dotyczą. Zgoda oznacza dobrowolne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących jej danych osobowych.
Jeśli wyrażenie będzie następować w formie elektronicznej, to jej udzielenie może polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych lub na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.
Zgoda musi być możliwa do odwołana w każdym czasie, a jej wycofanie nie wpływa na zgodność z prawem przetwarzania dokonywanego do chwili jej wycofania. Odwołanie zgody musi być równie łatwe, jak jej udzielenie. Ciężar udowodnienia istnienia zgody spoczywa na administratorze danych.

Udzielanie zgody przez dzieci
Nowością jest możliwość uzyskania zgody na przetwarzanie danych osobowych bezpośrednio od dziecka, które ukończyło 16 lat. Dotyczy to „usług społeczeństwa informacyjnego”. Uzyskanie zgody na przetwarzanie danych osobowych dziecka w wieku poniżej 16 lat w związku z korzystaniem przez nie z usług internetowych i mediów społecznościowych będzie wymagało zgody rodzica lub opiekuna prawnego. Po stronie firmy spoczywa obowiązek weryfikacji, czy wyrażona zgoda jest wiarygodna. Krajowy ustawodawca będzie mógł ustawowo obniżyć tę granicę do 13 lat.

Profilowanie
Profilowanie oznacza „dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”. Zgodnie z tą definicją do profilowania dochodzi wtedy, gdy administrator dokonuje oceny jakichkolwiek czynników osobowych osoby fizycznej. Ocena może dotyczyć zarówno obecnej sytuacji osoby, jak i prognozy wystąpienia określonego zachowania czy cechy. Zgodnie z RODO administratorzy zobowiązani są do wykorzystania m.in. odpowiednich matematycznych lub statystycznych procedur profilowania, środków technicznych i organizacyjnych zapewniających zmniejszenie ryzyka błędów w profilach.

Informacja dla klientów
Informacje o tym, jakie dane i w jakim celu są zbierane, kto jest ich administratorem, jakim podmiotom mogą zostać udostępnione oraz o prawach przysługujących osobom, których dane dotyczą, mają być przekazywane w zwięzłej, przejrzystej i łatwo dostępnej formie, z użyciem prostego i zrozumiałego języka – w taki sposób, by osoba, która udostępnia swoje dane, wiedziała, na co wyraża zgodę.

Prawo do bycia zapomnianym
Jednym z ciekawszych zapisów jest przyznanie prawa do bycia zapomnianym. Osoba, której dane dotyczą, będzie mogła żądać od administratora danych ich usunięcia, jeżeli dane te nie są już niezbędne do celów, w których były zbierane lub w inny sposób przetwarzane, jeżeli osoba, której dane dotyczą, cofnęła zgodę lub jeżeli wniosła sprzeciw wobec przetwarzania danych osobowych jej dotyczących, lub jeżeli przetwarzanie jej danych osobowych nie jest z innego powodu zgodne z rozporządzeniem.

Analiza projektowanych rozwiązań
Jedną z kluczowych zmian, które wprowadza rozporządzenie RODO, jest obowiązek zadbania o ochronę danych osobowych już na etapie projektowania wdrażanych rozwiązań związanych z przetwarzaniem danych, np. aplikacji, portali internetowych, w tym społecznościowych, organizowania konkursów itp. Administratorzy będą musieli wdrożyć właściwe rozwiązania techniczne i organizacyjne, które zagwarantują odpowiedni poziom bezpieczeństwa danych, np. poprzez ich szyfrowanie.

Domyślna ochrona danych osobowych
Dane mają być chronione w sposób domyślny, co należy rozumieć w ten sposób, że ustawienia dostępności otrzymanych danych, zakresu, czasu czy ich ilości, muszą być ustawione na minimum i w najmniejszym stopniu nie mogą wykraczać ponad to, co konieczne.

Kary
W przypadku naruszenia przepisów o ochronie danych osobowych prezes urzędu w drodze decyzji nakaże:
•    uwzględnić żądania zawarte w skardze osoby, której dane dotyczą,
•    dostosować operacje przetwarzania danych osobowych do przepisów,
•    zawiadomić osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych,
•    wprowadzić czasowe lub całkowite ograniczenie przetwarzania danych osobowych lub zakazu przetwarzania,
•    sprostować lub usunąć dane osobowe,
•    powiadomić odbiorców, którym dane osobowe zostały ujawnione, o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych,
•    zawiesić przepływ danych do odbiorców w państwie trzecim lub do organizacji międzynarodowej.

Niezależnie od powyższych rozstrzygnięć prezes urzędu może dodatkowo nałożyć administracyjną karę pieniężną. Są to dość istotne kary, bo w zależności od naruszeń, np. rodzaju ujawnionych danych, będą sięgać 20 mln euro albo w przypadku przedsiębiorców nawet 4 proc. rocznego światowego obrotu przedsiębiorstwa. Administratorzy nie pozostaną jednak bezbronni i będą mieli prawo wnieść skargę do sądu administracyjnego na decyzję prezesa urzędu, co spowoduje wstrzymanie wykonania decyzji w zakresie dotyczącym administracyjnej kary pieniężnej.

Rodzaje kontroli
Kontrola będzie mogła zostać przeprowadzona jako planowana, doraźna, a także w trakcie prowadzonego już postępowania administracyjnego. Przy czym planowa to przeprowadzona zgodnie ze stworzonym uprzednio przez prezesa urzędu planem kontroli i bez wszczynania jakiegokolwiek postępowania w sprawie naruszenia przepisów o ochronie danych osobowych. Natomiast doraźna to przeprowadzana poza planem kontroli, również bez wszczynania jakiegokolwiek postępowania. Może zostać przeprowadzona na skutek chociażby doniesienia.

Podsumowanie
Nowe rozwiązania wprowadzają konieczność wdrożenia dużych zmian, dlatego nie można z nimi zwlekać i warto podjąć działania już dziś. W praktyce powyższe zmiany oznaczają w najwęższym zakresie tyle, że klauzula zawierająca zgodę na przetwarzanie danych osobowych zostanie rozszerzona, a dotychczas stosowana przez firmy nie będzie wystarczająca.W szerszym natomiast konieczne jest zweryfikowanie wszystkich obecnie stosowanych narzędzi, a także wprowadzenie nowych rozwiązań, które zapewnią bezpieczne przetwarzanie danych osobowych naszych klientów, a uzyskane dane nie będę wykraczały poza niezbędne minimum.
Przepisy RODO weszły już w życie, ale zaczną być stosowane od 25 maja 2018 roku.
Zastąpią Ustawę o ochronie danych osobowych i rozporządzenia wykonawcze do niej.

Warto wiedzieć:
27 kwietnia 2016 roku przyjęto dwa istotne akty prawne: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/697 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) oraz Dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/ WSSiSW.

O autorce:
Celina Perskiewicz –
Radca prwany. Specjalizuje się w obsłudze spraw z branży motoryzacyjnej i sportowej, w szczególności w zakresie odszkodowań i umów. Autorka bloga www.lawrider.pl

Fot. stock.adobe.com

- REKLAMA -

ZOSTAW ODPOWIEDŹ