Reforma ochrony danych osobowych

fot. Pexels fot. Pexels

General Data Protection Regulation (GDPR), czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO), zacznie obowiązywać 25 maja 2018 r. i wprowadzi nowe wymogi dotyczące przetwarzania danych.

Unijne rozporządzenia są prawem bezpośrednio obowiązującym we wszystkich państwach Unii Europejskiej i nie wymagają wdrożenia do krajowych przepisów państw członkowskich. Polski ustawodawca zdecydował się jednak na zapewnienie stosowania przepisów rozporządzenia przez stworzenie zupełnie nowej ustawy o ochronie danych osobowych. Zastąpi ona aktualnie obowiązującą ustawę i rozporządzenia wykonawcze wydane na jej podstawie. Projekt nowej ustawy jest dostępny na stronie Ministerstwa Cyfryzacji. RODO będzie dotyczyć wszystkich przedsiębiorców regularnie przetwarzających dane osobowe klientów, bez względu na wielkość firmy. W związku z tym także i polskie sklepy będą musiały dostosować swoją politykę prywatności i praktyki w zakresie przetwarzania danych osobowych do nowych przepisów.

DLACZEGO POWSTAŁO RODO?
RODO zostało uchwalone ze względu na konieczność wprowadzenia zmian wynikających z dynamicznego rozwoju technologii przetwarzania danych osobowych. Przepisy rozporządzenia są dość uniwersalne i elastyczne, co z jednej strony pomaga dostosować je do ciągłego rozwoju nowych technologii, a z drugiej powoduje pewne trudności interpretacyjne. Unijny ustawodawca, dążąc do stworzenia przepisów niezależnych od postępu technologicznego, nie zawarł bowiem w rozporządzeniu konkretnych wytycznych, jak zabezpieczyć dane osobowe. Jest to zrozumiałe, gdyż wytyczne takie musiałyby być odmienne dla każdej branży, a ponadto ulegać ciągłym aktualizacjom pod kątem zmieniających się warunków i postępu technologicznego. Przepisy RODO zobowiązują administratorów danych (np. właścicieli sklepów internetowych) do wprowadzenia mechanizmów gwarantujących poszanowanie prywatności i bezpieczeństwo przetwarzania danych. Pozostawiają one również większy niż dotychczas wpływ na zakres ich przetwarzania osobom, do których dane należą (prawo do bycia zapomnianym, możliwość zgłoszenia sprzeciwu wobec profilowania, uprawnienie do żądania przeniesienia danych, wzmocnione prawo dostępu i wglądu w swoje dane).

OBOWIĄZKI PRZEDSIĘBIORCÓW – CO SIĘ ZMIENI?
Koniec z rejestrowaniem zbiorów danych
Nowe przepisy zmienią dotychczasowy zakres obowiązków administratorów danych. Część zostanie zniesiona – w tym wiele tych najbardziej uciążliwych, jak np. obowiązek zgłaszania każdego zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. W miejsce GIODO powołany zostanie nowy państwowy organ kontrolny – Prezes Urzędu Ochrony Danych Osobowych. Nowy urząd nie będzie już prowadzić rejestru zbiorów danych. Nie będzie trzeba ich zgłaszać do rejestracji.

Koniec z wytycznymi – administratorzy muszą samodzielnie wypracować odpowiednie środki ochrony danych
W związku z rozpoczęciem stosowania przepisów RODO przestanie obowiązywać rozporządzenie MSWiA określające warunki techniczne i organizacyjne, jakie muszą spełniać urządzenia i systemy informatyczne wykorzystywane do przetwarzania danych osobowych. Administratorzy nie będą więc musieli zapewniać określonych w tym rozporządzeniu wymagań techniczno-informatycznych. Każdy administrator danych będzie natomiast musiał samodzielnie wypracować właściwe dla jego działalności biznesowej oraz adekwatne do zakresu i rodzaju przetwarzanych danych rozwiązania techniczne i środki zabezpieczeń. Przepisy przestaną konkretyzować, w jaki sposób należy to uczynić.
Każdy administrator będzie jednak musiał być w stanie wykazać, iż przetwarzanie danych odbywa się zgodnie z zasadami i wymogami określonymi w przepisach unijnego rozporządzenia. Daleko idące zwiększenie samodzielności, ale też i odpowiedzialności administratorów danych za procesy przetwarzania danych osobowych jest konsekwencją przyjętego kierunku stworzenia ram prawnych niezależnych od ciągłego i dynamicznego postępu technologicznego. RODO określa obowiązki administratora, pozostawiając mu jednocześnie bardzo dużą swobodę w wyborze odpowiednich rozwiązań gwarantujących ich spełnienie i zachowanie należytego standardu ochrony prywatności.

Nowy sposób prowadzenia dokumentacji
Przedsiębiorcy przetwarzający dane osobowe nie będą już zobowiązani do opracowania i wdrożenia dotychczas obowiązkowych dokumentów – polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. RODO wprowadza jednak wymóg prowadzenia rejestru czynności przetwarzania danych osobowych. Dokument ten powinien wskazywać, jakie dane i na jakiej podstawie są przetwarzane, sposób, w jaki są chronione, a także określać, kto tymi danymi administruje i ma do nich dostęp. Rejestry muszą mieć formę pisemną – jednak nie ma żadnego wymogu odnośnie konkretnej formy (może to być dokument w formie elektronicznej, zwykły dokument tekstowy czy plik w excelu).

Zasada privacy by design i privacy by default
Nowością na gruncie RODO jest obowiązek uwzględnienia ochrony danych w fazie projektowania (privacy by design) oraz obowiązek realizowania domyślnej ochrony danych osobowych (privacy by default). Pierwszy z nich nakazuje uwzględnienie i stosowanie przepisów o ochronie danych już na etapie samego projektowania procesów biznesowych. Z kolei privacy by default oznacza, że prywatność ma być traktowana, jako standardowe, domyślne ustawienie systemowe w ramach procesów przetwarzania danych przez administratora danych osobowych. Dla przykładu – sprzedawca internetowy powinien zbierać tylko te dane osobowe, które są niezbędne do procesu realizacji zamówienia, skorzystania z serwisu, konkretnej usługi lub aplikacji (tzw. minimalizacja danych). Chodzi o to, żeby nie zbierać danych, które nie są potrzebne – „na zapas”. Przykładem może być np. wymóg podania numerów telefonu czy adresów zamieszkania osób, które chciałyby otrzymywać newsletter. W tego typu wypadku – podanie takich dodatkowych danych, które nie są konieczne dla realizacji danej usługi, musi być całkowicie dobrowolne. Brak ich podania w żadnym wypadku nie może uniemożliwiać korzystania z serwisu czy usługi polegającej np. na wysyłaniu newslettera.

Obowiązkowe zgłoszenia naruszeń ochrony danych osobowych i surowsze sankcje
Nowością jest również obowiązek zgłoszenia organowi nadzorczemu (po 25 maja 2018 będzie nim Urząd Ochrony Danych Osobowych) naruszenia zasad ochrony danych osobowych przez osoby, które się tego dopuściły. Taki obowiązek donoszenia na samego siebie będzie dotyczył istotnych naruszeń praw i wolności osób, których dane są przetwarzane. Chodzi zatem o naruszenia mogące prowadzić do kradzieży lub fałszowania tożsamości, straty finansowej, naruszenia dobrego imienia czy też naruszenia tajemnic prawnie chronionych. Na zgłoszenie istonych naruszeń ochrony danych administrator będzie mieć 72 godziny od momentu ich wykrycia. Powinien również bez zbędnej zwłoki zawiadomić o takim naruszeniu osobę, której dane dotyczą.
Niezgłoszenie naruszenia może skutkować nałożeniem przez organ nadzorczy bardzo dotkliwej kary finansowej. Oczywiście możliwe będzie również nałożenie kary już za samo zaistnienie naruszenia ochrony danych. Przepisy RODO przewidują surowsze niż dotychczas konsekwencje niezgodnego z prawem przetwarzania danych osobowych. W wypadku przedsiębiorstw kary mogą wynosić maksymalnie 20 mln euro lub 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

NOWE PRAWA OSÓB, KTÓRYCH DANE SĄ PRZETWARZANE
Prawo do bycia zapomnianym i uregulowane profilowanie
Jednym z wyzwań – szczególnie dla branży e-commerce – będzie sprostanie nowym wymogom w zakresie profilowania oraz wdrożenia mechanizmów umożliwiających skuteczną realizację „prawa do bycia zapomnianym”, czyli żądania usunięcia danych osobowych. Dotychczas profilowanie – mimo jego dość powszechnego stosowania w praktyce – nie było objęte większymi ograniczeniami czy wymogami prawnymi. RODO zmieni ten stan rzeczy, wprowadzając do porządku prawnego definicję profilowania oraz obowiązek informowania o jego stosowaniu przed rozpoczęciem zbierania danych. Użytkownicy np. klienci e-sklepów będą natomiast mogli wyrazić sprzeciw wobec profilowania. O prawie do sprzeciwu również będzie trzeba informować. Przedsiębiorca wykorzystujący profilowanie w celach marketingowych zobowiązany będzie taki sprzeciw i brak zgody na jego stosowanie uszanować – oznacza to konieczność przygotowania i wdrożenia odpowiednich rozwiązań technicznych. To bardzo istotna zmiana, bo do tej pory profilowanie odbywało się niejako bez wiedzy i kontroli osób, których dane były przetwarzane.

Prawo przeniesienia danych
Osoby, których dane są przetwarzane, będą mogły żądać od administratora danych ich przeniesienia do wskazanego przez siebie innego administratora danych (np. przeniesienie zestawu ulubionych utworów muzycznych z jednego portalu muzycznego do drugiego). Dzięki temu zmiana usługodawcy na innego będzie dużo łatwiejsza. Takiego przeniesienia (przekazania) administrator będzie musiał dokonać w ustrukturyzowanym i powszechnie używanym formacie – tak aby dane te były możliwe do późniejszego odczytu i wykorzystania. Oznacza to konieczność wdrożenia odpowiednich rozwiązań technicznych.

Wzmocnione prawo dostępu do danych
Każda osoba jest uprawniona do uzyskania od administratora danych informacji, czy przetwarza on jej dane osobowe. Jeżeli tak, wówczas osoba ta może również żądać od administratora informacji o celu przetwarzania jej danych osobowych, odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione oraz o okresie przechowywania danych. Ponadto po rozpoczęciu stosowania przepisów RODO – w ramach prawa dostępu do danych, każda osoba, której dane będą przetwarzane, będzie mogła zwrócić się do administratora z żądaniem wydania kopii wszystkich jej danych osobowych, jakie są przetwarzane przez tego administratora. Przekazanie pierwszej kopii musi odbywać się bezpłatnie. Za wszelkie kolejne kopie, o które zwróci się podmiot danych, administrator będzie miał prawo pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych.

TrustedShops-MarcinJedrzejak1

Marcin Jędrzejak, ekspert ds. prawa w Trusted Shops, firmie oferującej gwarancję zwrotu pieniędzy klientom sklepów internetowych.

Jeżeli potrzebujesz więcej informacji na temat nowych przepisów dot. ochrony danych osobowych, pobierz >>>darmowy poradnik od Trusted Shops >>>

Data publikacji: 21.02.2018
Przeczytaj również

Marketing:
Nowoczesny marketing wystawienniczy
Targi zmieniają się dynamiczniej niż kiedykolwiek dotąd. Co zrobić, by dostosować swoje działania wystawiennicze do zmieniających się coraz szybciej oczekiwań klientów?… więcej »
Marketing:
Programy lojalnościowe: dlaczego warto je mieć?
Nie ma na nie gotowego przepisu. Nie ma też uniwersalnych wzorców. Jest za to bardzo zachęcająca obietnica wiernych, powracających klientów, za którą wielu podąża.… więcej »
Aktualności:
Vistula ubierze polskich piłkarzy
Vistula jako partner PZPN, po raz kolejny zadba o formalny strój Reprezentacji Polski. Tym razem marka towarzyszyć będzie piłkarzom podczas Mistrzostw Świata 2018 w… więcej »