Niedługo zmienią się regulacje dotyczące ochrony naszych danych osobowych. Zacznie obowiązywać RODO. Wprowadzi zmiany, do których muszą przygotować się nie tylko podmioty przetwarzające dane, ale także my sami. Jakim przepisom warto się przyjrzeć?

Takie samo prawo w całej Unii Europejskiej

Ogólne Rozporządzenie o ochronie danych osobowych (potocznie nazywane RODO) wprowadza jednolite prawo w zakresie danych osobowych we wszystkich 28 państwach członkowskich. Oznacza to, że te same przepisy będą obowiązywały w Polsce jak i np. w Niemczech czy Francji.

Firmy spoza UE, które świadczą usługi dla Europejczyków – np. sklepy internetowe czy firmy kurierskie również będą obowiązywały te same zasady. Jest to bardzo istotna zmiana, ponieważ Polacy coraz chętniej podróżują po Europie. Po wejściu w życie RODO niezależnie, w którym kraju członkowskim będziemy przebywać, wszędzie będziemy posiadali te same prawa, a administratorzy danych (odpowiadający za ich przetwarzanie) te same obowiązki.

Ważne: Wnoszenie skargi – niezależnie do którego organu nadzorczego – będzie bezpłatne. Do tej pory w przypadku wnoszenia skargi do polskiego organu nadzorczego – GIODO trzeba było wnosić za każdym razem opłatę skarbową w wysokości 10 zł.

Prywatność by design i by default

Ochrona danych, w myśl nowych regulacji, ma być uwzględniana już podczas projektowania przez przedsiębiorców nowych produktów i usług. Dzięki temu przetwarzane dane oraz nasza prywatność mają być chronione od samego początku. Oznacza to, że np. zakładając sklep internetowy jego właściciel będzie musiał pomyśleć o rozwiązaniach zabezpieczających dane już na etapie przygotowania biznes planu.

– Prywatność będzie chroniona nie poprzez dodatki do systemu lub nakładki przygotowane do już istniejących rozwiązań, lecz włączona w konstrukcję każdego projektu jako jedna z jego części. – dodaje adwokat Anna Dmochowska, specjalista ds. ochrony danych osobowych ODO 24.

Zgodnie z koncepcją privacy by default – prywatność traktowana jest również jako standardowe ustawienie systemów – czyli np. w serwisach społecznościowych domyślnie udostępniana powinna być minimalna ilość informacji o nas jako użytkownikach, a o poszerzeniu ich zakresu powinniśmy decydować tylko my sami zmieniając odpowiednie ustawienia.

Ważne: Aktualnie takie rozwiązania nie są regulowane w polskim prawie, stanowią dobrą praktykę. Po wejściu w życie RODO firmy będą zobowiązane do ochrony naszych danych osobowych bez podejmowania przez nas jakichkolwiek działań.

Profilowanie

Rozporządzenie ogranicza podleganie decyzjom opartym wyłącznie na profilowaniu – polegającym na wykorzystywaniu danych osobowych do analizy lub prognozowania np. osobistych preferencji, naszych przyszłych zachowań (a także na innych formach zautomatyzowanego przetwarzania danych). Chodzi o takie decyzje, które powodują wobec nas skutki prawne, a także te które w inny istotny sposób na nas wpływają. Ograniczenie to nie dotyczy jednak sytuacji, gdy dana decyzja jest niezbędna do zawarcia umowy między nami a konkretną firmą lub opiera się na naszej wyraźnej zgodzie.

Jak wygląda to w praktyce?

– Jeżeli jakaś firma będzie nas profilowała w celach marketingowych – bez względu na to czy będzie to bank, sklep czy instytucja publiczna – będziemy mogli zgłosić swój sprzeciw. Korzystanie z profilowania będzie możliwe natomiast w sytuacji, gdy przekażemy dane niezbędne do zawarcia umowy – np. w przypadku ubezpieczeń lub decyzji kredytowych. – mówi Leszek Kępka, eksperta ds. ochrony danych osobowych i bezpieczeństwa informacji współpracujący z ODO 24.

Polska ustawa o ochronie danych osobowych opisuje pojęcie automatycznego przetwarzania danych. Rozporządzenie doprecyzowuje ten proces i warunki w jakich może do niego dochodzić.

Ważne: O profilowaniu powinniśmy zostać poinformowani na etapie zbierania danych osobowych a także na każdy nasz wniosek.

Jasne informowanie w zgodach

Nowe przepisy rozszerzają obowiązek informacyjny podczas zbierania naszych danych. Oznacza to, że klauzule, które podpisujemy lub „odklikujemy” na stronach internetowych zostaną znacznie rozbudowane – teraz składają się najczęściej z kilku zdań, a będą miały długość prawie całej strony A4. Będziemy w nich informowani m.in. o tym, jakie i w jakim celu nasze dane są zbierane, kto będzie je przetwarzał, ze wskazaniem informacji kontaktowych do inspektora danych osobowych w danej firmie czy instytucji. Znajdzie się też tam informacja na jakiej podstawie i komu będą mogły być udostępnione, a także o naszych prawach: do usunięcia, przeniesienia danych, ograniczenia lub cofnięcia zgody na ich przetwarzanie.

Już teraz klienci, zwłaszcza sklepów internetowych, narzekają na długość klauzul, formularzy czy check boxów, a będą one już za niecałe dwa lata jeszcze bardziej obszerne. Z drugiej jednak strony będziemy mieć możliwość zapoznania się z wyczerpującymi informacjami na temat tego, co będzie działo się z naszymi danymi po wyrażeniu zgody na ich przetwarzanie – czy np. będą służyć do profilowania. Pozwoli to nam bardziej świadomie podjąć decyzję o podpisaniu (lub nie) takiej klauzuli.

Ważne: Rozszerzony obowiązek informacyjny będzie obowiązywał również, gdy dane nie będą przekazywane bezpośrednio przez osobę, której dotyczą.

Warto już teraz dowiedzieć się, co zmieni się w ochronie danych osobowych, by po wejściu w życie Rozporządzenia móc w pełni korzystać z przysługujących nam praw.

(MKO)