Kategoria: Prawo

RODO, CZY JEST POTRZEBNE? CZY MAMY SIĘ CZEGO BAĆ?

25 maja 2018

Od kilku ostatnich miesięcy wszędzie i z kim nie zaczynaliśmy rozmowy nie dało się nie mówić o RODO. Związane z tym rozporządzeniem zamieszanie i strach narastało z tygodnia na tydzień. Punkt kulminacyjny nastąpił w kwietniu i maju, kiedy to zainteresowanie tematem RODO, jak do tej pory, osiągnęło szczyt. Dziś na większości portali nie tylko informacyjnych jesteśmy bombardowani wiadomościami o RODO.

Po wejściu na większość odwiedzanych stron internetowych, czy serwisów, pojawiają się „okienka” z nowymi zgodami, informacje o zmianach regulaminów i polityk prywatności. I dobrze – z jednej strony – gdyż świadczy to o tym, że Polacy/przedsiębiorcy przygotowywali się/przygotowują się do RODO. Z drugiej strony jednak męczące staje się czytanie tych wszystkich nowych zgód, polityk, regulaminów itd., a przecież trzeba, by wiedzieć na co się piszemy i świadomie zgadzamy. Wchodząc dziś na pocztę mailową zalała mnie masa wiadomości o? ciekawe czym? Nie inaczej. RODO. Zgody i klauzule, informacje. A część obywateli nadal nic nie wie i żyje w nieświadomości. Jakie to zróżnicowanie…

Mamy podobno mieć większą prywatność/poufność i większy wpływ na decydowanie o naszych danych osobowych, większą możliwość na zarządzanie swoimi danymi. Zobaczymy, czy tak będzie w rzeczywistości. Czas zweryfikuje.

Czytając wiele różnych artykułów i zapoznając się z informacjami o ochronie danych osobowych stwierdzam, iż nasze dotychczasowe przepisy dotyczące danych osobowych były zbliżone do tych, które wchodzą w życie. Są oczywiście wprowadzane też istotne i potrzebne zmiany, ale prawo polskie obowiązujące do tej pory dobrze chroniło nasze dane osobowe. Teraz zapisy w rozporządzeniu są bardziej ogólne, zostawiają więcej swobody i możliwości w sposobach ich realizacji, najważniejszy ma być skutek, czyli najwyższe bezpieczeństwo danych osobowych. Tego wszyscy mamy przestrzegać.

O co chodzi w największym skrócie?

W kwietniu 2016 r. Parlament Europejski przyjął nowe przepisy dotyczące ochrony danych osobowych. Nowe prawo, jednolite dla wszystkich krajów Unii, wejdzie w życie 25 maja 2018 r. W założeniu ma być korzystne dla przeciętnego przedsiębiorcy, ale nakłada spore obowiązki i wiele dokumentacji. Sądzę, że przygotowanie firm do RODO zajmie długie tygodnie. Co ważne, wprowadzane przepisy dotyczą także firm, których siedziba znajduje się poza Unią Europejską. Oczywiście pod warunkiem, że ich działalność dotyczy obywateli wspólnoty, czyli dotyczy także Google i Facebooka. Rozporządzenie ma być istotnym krokiem na drodze do umacniania praw podstawowych obywateli UE w erze cyfryzacji i ułatwiania działalności gospodarczej poprzez uproszczenie i ujednolicenie zasad dla administratorów rynku państw członkowskich.

Po co nam to RODO?

Głównym założeniem RODO jest zagwarantowanie skutecznej ochrony podstawowego prawa jakim jest prawo do ochrony danych. Do tej pory w każdym państwie członkowskim istniały różne przepisy i prowadziły do niespójności oraz do komplikacji prawnych. Ponadto przepisy te wymagały unowocześnienia także dlatego, że zostały wprowadzone w czasie (od 1995r.), gdy wielu z dzisiejszych usług internetowych i wyzwań technologicznych po prostu nie było. Serwisy społecznościowe, usługi chmury, usługi mobilne i oparte na geolokalizacji rozwinęły się w sposób nieprzewidywalny. W związku z tym niezbędny jest nowy, jednolity zestawu reguł, który mógłby zagwarantować właściwą ochronę danych osobowych. Zanim rozpoczęto prace nad nowymi normami przeprowadzono badania. Wyniki badań statystycznych przemawiały za zmianą przepisów w Europie:

  • 89% badanych opowiedziało się za jednakową ochroną praw w całej UE, niezależnie od państwa, w którym ma siedzibę usługodawca;
    Badani wykazywali brak zaufania wobec operatorów sieci telefonicznych i dostawców Internetu, firm internetowych takich jak dostawcy wyszukiwarek, portali społecznościowych etc.;
  • Badani obawiali się oszustw polegających na niewłaściwym wykorzystaniu ich danych;
  • Brak świadomości o istnieniu krajowego organu publicznego odpowiedzialnego za zagwarantowanie im prawa do ochrony danych osobowych.

I rzeczywiście w zapisach rozporządzenia znajdują się ważne aspekty dotyczące systemu ochrony danych osobowych. Zmiany przynieść mają każdemu zwiększoną kontrolę nad danymi osobowymi i ułatwiony do nich dostęp oraz gwarantować więcej praw. Oprócz nadrzędnego celu -zwiększenie ochrony danych osobowych, mają

  • Wzmocnić prawa osób fizycznych, których dane dotyczą;
    Ujednolicić przepisy prawa w zakresie ochrony danych osobowych na terenie UE;
  • Usprawnić wymianę informacji i procedur wewnątrz Wspólnoty;
  • Wyznaczyć standardy bezpieczeństwa adekwatne do wyzwań naszego wieku.

Nowe regulacje z założenia mają zwiększyć ochronę danych osobowych osób, których dane dotyczą między innymi poprzez:

  • Prawo do bycia zapomnianym – w sytuacji w której osoba, nie chce by jej dane były przetwarzane, a brak jest podstawy legitymującej takie przetwarzanie.
  • Łatwiejszy dostęp do danych – osoby, których dane dotyczą będą miały dostęp do szerszego zakresu informacji o przetwarzaniu ich danych, a informacje te dostępne powinny być w jasnej i zrozumiałej formie. Ponadto prawo do przenoszenia danych pozwolić ma osobom zainteresowanym na przenoszenie danych między usługodawcami internetowymi.
  • Obowiązek informowania o naruszeniu danych – administratorzy mają obowiązek powiadomienia organu nadzorczego i w stosownych przypadkach osoby, której dane dotyczą o naruszeniu danych.
  • Konieczność wdrożenia mechanizmów ochrony danych w fazie projektowania oraz domyślnej ochrony danych.
  • Silniejszą ochronę praw dzieci –zgody
  • Lepszą egzekucję przestrzegania przepisów – polski organ ochrony danych będzie wyposażony w możliwość nakładania administracyjnych kar.

W dzisiejszych czasach dane osobowe zyskują coraz większe znaczenie ekonomiczne. Wartość danych osobowych jest ogromna. Nowe przepisy dać mają przedsiębiorstwom UE elastyczność przy jednoczesnej ochronie praw podstawowych obywateli. Ujednolicenie porządków prawnych ma ułatwić rozwój innowacyjności i rozwój kontaktów biznesowych.

  • Jeden kontynent, jedno prawo – rozporządzenie wprowadza jeden zestaw reguł, które pozwolą na tańsze i prostsze prowadzenie biznesu w Unii Europejskiej;
  • One-stop-shop – mechanizm kompleksowej współpracy ograniczy kontakt przedsiębiorców z organami nadzorczymi do jednego wyznaczonego organu
  • Unijne prawo dla przedsiębiorców spoza UE – spółki z państw trzecich oferujące usługi na terenie UE będą musiały podporządkować się przepisom RODO;
  • Reguły sprzyjające innowacyjności – warto tutaj wskazać, iż RODO nie narzuca jasnych, ściśle określonych wymogów bezpieczeństwa. RODO nie daje w tym zakresie konkretnych wskazówek i wytycznych. Nie określa minimalnych standardów technicznych mających na celu zabezpieczenie danych ani nie podaje konkretnych przykładów najlepszych rozwiązań. To administrator – biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych – będzie musiał samodzielnie zdecydować, jakie zabezpieczenia, dokumentację i procedury przetwarzania danych wdrożyć, by zapewnić bezpieczeństwo danych.
  • Zasada rozliczalności przenosi ciężar udowodnienia zapewnienia zgodności z rozporządzeniem na administratorów.
  • Powołanie Inspektora Ochrony Danych.

Od dziś obowiązują określone reguły postępowania, by cały proces przetwarzania danych był transparentny. Dlatego czasy, w których kwestii ochrony danych osobowych nie traktowano poważnie, przechodzą do historii. To, co do tej pory było jedynie dobrą praktyką, teraz stanie się obligatoryjnym standardem.

Najważniejsze staje się prawo do bycia zapomnianym (np. gdy wysyłamy swoje CV, a nie zostajemy przyjęci do pracy), a także przenoszenie danych oraz ich profilowanie. Trzeba się także liczyć ze znacznie większą objętością klauzul informacyjnych, które będą musiały być umieszczone np. przy standardowej umowie zakupu.

Nieprzestrzeganie nowych przepisów oznacza bardzo dotkliwe sankcje. Mają one być skuteczne, proporcjonalne i odstraszające. A skarg na pewno nie zabraknie, bo ich złożenie do krajowych instytucji zajmujących się ochroną danych osobowych jest darmowe.
I tutaj pojawiają się pytania dotyczące GIODO, jako organu nadzorczego, który powinien na szeroką skalę upowszechniać w społeczeństwie wiedzę o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem oraz rozumieniem tych zjawisk, w szczególności w kontekście działań skierowanych do dzieci, gdzie te działania były/są??? Spotkaliście się w swoim środowisku z takimi inicjatywami? Może ktoś uczestniczył w bezpłatnych szkoleniach organizowanych przez instytucje publiczne? Z tymi pytaniami Was zostawiam. Ale ten temat poruszę w następnym wpisie.

Autor: JW