RODO – rewolucyjne zmiany w zasadach ochrony danych osobowych
18.12.2017
RODO – rewolucyjne zmiany w zasadach ochrony danych osobowych

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia UE o ochronie danych osobowych (w skrócie RODO), które zastępuje dotychczasowe regulacje wewnętrzne krajów członkowskich w tej sprawie.

Przepisy rozporządzenia przyznają nowe prawa obywatelom Unii, co wiąże się z nowymi obowiązkami dla organizacji zarządzających danymi, za nieprzestrzeganie których grożą wysokie kary pieniężne. Mowa tu o największej reformie ochrony danych osobowych od blisko dwudziestu lat.

W jaki sposób pozyskać zgodę na przetwarzaie danych, by była ona ważna?

W myśl dotychczas obowiązującej ustawy, zgoda na przetwarzanie danych była wymagana, jednak warunki jej prawomocności nie były dokładnie określone. W rezultacie administratorzy często stosowali automatyczne zaznaczanie pola “wyrażam zgodę na przetwarzanie danych” na swoich stronach internetowych.

Nowe rozporządzenie stanowczo zabrania takich praktyk – zgoda musi być wyrażona poprzez aktywne działanie osoby, której dane dotyczą i zawsze odnosić się do konkretnego celu przetwarzania. Co więcej, wycofanie zgody musi być tak samo łatwe jak jej udzielenie.

Jeśli administrator przetwarza dane w różnych celach, to dla każdego z nich musi pozyskać oddzielną zgodę. Zgoda na przetwarzanie danych nie powinna być wymagana (np. jako warunek w umowie), jeśli nie jest to konieczne dla dostarczenia usługi, która jest przedmiotem umowy.

Jakie informacje administrator musi przekazać?

Administrator danych ma obowiązek udzielić osobie, której dane dotyczą, wszelkich informacji, takich jak: tożsamość administratora, cel przetwarzania, podstawa prawna przetwarzania, okres przechowywania danych.

Musi też pouczyć osobę, o jej prawach, wynikających z rozporządzenia. W zależności od tego, czy dane są zbierane bezpośrednio od osoby, której dotyczą, czy pozyskiwane w inny sposób, administratorowi danych przysługuje odpowiedni okres czasu na spełnienie tego obowiązku.

Rozporządzenie zwraca też uwagę na to, że wszelka korespondencja z osobą, której dane dotyczą, powinna być prowadzona prostym, ogólnie zrozumiałym językiem (zachęca się nawet do używania znaków graficznych).

Pseudonimizacja – dane “anonimowe”

RODO wprowadza nowy termin, czyli pseudonimizację danych. Jest to określenie procesu, który polega na takiej modyfikacji danych osobowych, by nie można ich było przypisać do konkretnej osoby bez użycia dodatkowych informacji. Może to mieć zastosowanie zwłaszcza jako środek ochrony osób, których dane przetwarzane są w celach archiwalnych w interesie publicznym, w celach badań naukowych lub historycznych oraz w celach statystycznych.

Ocena ryzyka dla ochrony danych osobowych

Rozporządzenie ustanawia procedurę oceny ryzyka przed podjęciem działań, gdy planowane przez administratora operacje mogą z dużym prawdopodobieństwem powodować naruszenie praw osób, których dane dotyczą. Mowa o procesach takich, jak zautomatyzowane przetwarzanie danych (w tym profilowanie), systematyczne monitorowanie miejsc publicznych na dużą skalę, czy jakichkolwiek operacjach na danych wrażliwych (dot. zdrowia, pochodzenia etnicznego, itd.)

Taka ocena ryzyka powinna zawierać przynajmniej opis planowanych operacji przetwarzania danych i ich celów, ocenę niezbędności takiego przetwarzania danych do osiągnięcia tych celów, ocenę ryzyka naruszenia praw i wolności osób, których dane dotyczą, jak i opis środków planowanych w celu zaradzenia temu ryzyku.

Inspektor ochrony danych – w jakich sytuacjach trzeba go powołać?

Rozporządzenie powołuje urząd inspektora ochrony danych i określa jego kompetencje. Utworzenie takiego stanowiska jest dobrowolne. Przepisy definiują jednak sytuacje, w których administrator danych ma obowiązek powołać inspektora ochrony danych, m.in. gdy:

  • administrator jest organem publicznym (nie dotyczy sądów)
  • lub główna działalność administratora polega na systematycznym przetwarzaniu danych na dużą skalę
  • lub kiedy przetwarzane są dane wrażliwe (włączając w to dane dotyczące wyroków skazujących i naruszeń prawa).

Przedsiębiorcy, których główną działalnością nie są operacje na danych osobowych na dużą skalę, nie muszą więc powoływać inspektora ochrony danych.

Prawo do bycia zapomnianym

Jednym z częściej komentowanych aspektów nowych przepisów jest tzw. prawo do bycia zapomnianym. Polega ono na tym, że osoba, której dane dotyczą, ma prawo żądać od administratora bezzwłocznego ich usunięcia. Jeśli osoba nie chce, by dane były trwale usunięte (np. gdy pragnie skorzystać z nich na potrzeby obrony roszczeń), ma prawo żądać zawieszenia ich przetwarzania bez ich usunięcia.

Odpowiedzialność finansowa za złamanie przepisów RODO

Za szkody wyrządzone przetwarzaniem danych odpowiada administrator; podmiot przetwarzający odpowiada wyłącznie wtedy, gdy zaniedbał swoje obowiązki wynikające z rozporządzenia lub nie dopełnił instrukcji administratora.

Nowe prawo przewiduje dwie wysokości sankcji pieniężnych, w zależności od przepisów, które zostały złamane. Za drobniejsze przewinienia grozi kara do 10,000,000 EUR lub 2% rocznego obrotu światowego (stosuje się kwotę wyższą), a za te poważniejsze, jak np. złamanie podstawowych zasad przetwarzania i warunków dot. uzyskiwania zgody, do 20,000,000 EUR lub 4% rocznego obrotu światowego.

Nie bez powodu przedsiębiorcy mieli pełne dwa lata na przygotowanie się do wdrożenia procedur odpowiadających nowym wymogom prawnym. Warto dodać, że z przestrzegania obowiązków wynikających z rozporządzenia wyłączone będą osoby przetwarzające dane na użytek domowy, prywatny (np. prowadzące notes z numerami telefonów znajomych), podobnie jak miało to miejsce w przypadku dotychczasowej ustawy.

Choć RODO z pewnością jest krokiem umacniającym prawa obywatelskie w Unii Europejskiej, jego przepisy mogą nastręczyć nieprzygotowanym administratorom danych osobowych wielu trudności.