Od dziś rewolucja w ochronie danych osobowych. Sprawdź, co oznacza dla ciebie

Dla firm

Kawecki o RODO: dla obywateli to jest na pewno zmiana na lepszeTVN24 BiS
wideo 2/8

Koniec z rozkładaniem kart pacjenta na stole w gabinecie lekarskim, niechcianymi telefonami od handlowców, którym nigdy nie podawaliśmy naszego numeru, czy proszeniem o zgodę na dostęp do kontaktów, gdy chcemy w telefonie zainstalować zwykły kalkulator. Dziś zaczęło obowiązywać unijne rozporządzenie o ochronie danych osobowych. To największa reforma od dwóch dekad.

- Nie dajmy się zwariować, ale swoje dane chrońmy - mówi minister cyfryzacji Marek Zagórski. Wypowiedź pada na jednym z filmów opublikowanych na stronach resortu. Same materiały wideo to sposób ministerstwa na oswojenie firm i konsumentów z nowymi przepisami, które obowiązują od piątku.

Chodzi o ogólne rozporządzenie o ochronie danych osobowych (RODO). Przepisy zostały przyjęte przed dwoma laty, ale zaczynają obowiązywać 25 maja. Reforma ma zapewnić taki sam poziom ochrony naszych danych osobowych na terenie całej Unii Europejskiej.

Pytania o RODO. Odpowiada Maciej Kawecki z Ministerstwa Cyfryzacji

W Polsce rozwiązania RODO wdraża nowa ustawa o ochronie danych osobowych.

Zmienione przepisy to spore wyzwanie dla firm i instytucji, bo każdy, kto gromadzi i przetwarza dane osobowe, musi dostosować się do tych regulacji (przepisów nie stosuje się do osób fizycznych, które w domu i w celach czysto osobistych np. przechowują dane adresowe znajomych czy prowadzoną z nimi korespondencję). Stąd filmy i poradniki ministerstwa.

Definicja RODO

Czym jest RODO? Unijne rozporządzenie to największa zmiana w podejściu do ochrony danych osobowych od dwudziestu lat (w 1998 roku zaczęła obowiązywać obecna ustawa o ochronie danych osobowych). Celem nowej regulacji jest m.in. zapewnienie swobodnego przepływu danych osobowych pomiędzy państwami członkowskimi. RODO wprowadza sporo nowości, wpływając m.in. na proces rekrutacji w firmach.

Co zmieni RODO? Wyjaśnia radca prawny Wojciech Dziomdziora, ekspert Polskiej Izby Informatyki i Telekomunikacji

Zgodnie z nowymi przepisami, dane osobowe to takie dane, które pozwalają na identyfikację osoby. Z jednej strony to np. numer PESEL, imię i nazwisko czy płeć, ale też m.in. adres poczty elektronicznej, poglądy polityczne, dane o lokalizacji czy historia dokonywanych zakupów.

Mówimy zarówno o informacjach o naszych preferencjach czy zainteresowaniach, ale też np. danych dotyczących stanu zdrowia. Swoją politykę dotyczącą ochrony i przetwarzania danych osobowych muszą dostosować do nowych przepisów sklepy internetowe, serwisy wysyłające np. newslettery i przychodnie czy szpitale.

Zmiany w przychodniach

- Lekarzu, koniec z rozkładaniem kart pacjenta na stole – mówi w kolejnym ministerialnym filmie Maciej Kawecki, dyrektor departamentu zarządzania danymi w resorcie cyfryzacji. Precyzuje, że chodzi o to, byśmy nie wiedzieli, kto miał wizytę przed nami i kto wejdzie po nas.

Dodaje, że gabinety medyków nie powinny już być oznaczane ich specjalizacjami, żeby inni pacjenci nie wiedzieli, u jakiego specjalisty się leczymy.

Mniej handlu danymi

Nowe przepisy powinny zmniejszyć też proceder handlu danymi. Ministerstwo Cyfryzacji tłumaczy, że powinniśmy to odczuć, dostając np. mniej telefonów od marketerów i handlowców, którzy chcą nam coś sprzedać, ale nie przyznają, skąd mają nasz numer telefonu. Jeśli nasze dane trafią do nowej bazy, powinniśmy zostać o tym poinformowani. Mamy też prawo żądać usunięcia naszych danych, jeśli nie chcemy otrzymywać konkretnych ofert.

Firmy, które dziś przetwarzają nasze dane osobowe, przed 25 maja musiały ponownie poinformować nas o tym. Stąd SMS-y czy e-maile, które masowo spływają do naszych skrzynek. Serwisy internetowe zmieniają swoje regulaminy i politykę prywatności, prosząc użytkowników o ich akceptację, a jeśli przed laty zapisaliśmy się np. na newsletter, to teraz serwis czy sklep internetowy powinien nas zapytać, czy nadal potwierdzamy swoją subskrypcję. Jeśli się nie zgodzimy na nowe zasady, firma będzie zmuszona usunąć nasze dane ze swojej bazy.

Zasada minimalizacji

Przedsiębiorców będzie obowiązywała też zasada minimalizmu. Oznacza to, że instalując np. aplikację pracującą jak kalkulator, jej twórca nie powinien żądać od nas dostępu do zdjęć, kontaktów czy spisu połączeń, bo to dane, które nie są adekwatne do oferowanej usługi. Firmy nie będą mogły gromadzić danych osobowych w nadmiarze, nie będą mogły ich udostępniać bez naszej zgody.

Nawet jeśli przesłaliśmy nasze CV do potencjalnego pracodawcy, to ten będzie mógł je użyć tylko w tym konkretnym przypadku, podczas rekrutacji na to konkretne stanowisko, na które aplikowaliśmy. W przypadku innej rekrutacji, będzie musiał zapytać nas o zgodę na wykorzystanie i przetwarzanie danych. Bez zgody kandydata firma nie będzie mogła też np. wykorzystywać informacji z jego profili na portalach społecznościowych.

Prawo do bycia zapomnianym i inne zmiany

Co jeszcze? RODO zakłada m.in. prawo do bycia zapomnianym, czyli możliwości usunięcia, również z internetu, informacji na swój temat, jeśli nie są prawdziwe lub są obraźliwe.

Unijne przepisy nakładają także obowiązek powiadomienia o wycieku danych osobowych. Firma będzie miała na to 72 godziny (od momentu stwierdzenia wycieku), a informacja trafi zarówno do urzędu nadzorczego, jak i do osób, których prywatność mogła ucierpieć.

Z kolei firma, która chce przetwarzać dane dziecka, musi mieć na to zgodę rodziców. Przykład? Właściciel klubu tenisowego, jeśli będzie chciał zamieścić na stronie internetowej zdjęcia z meczu dzieci, będzie musiał poprosić o zgodę ich rodziców.

Poza tym firmy i instytucje, które przetwarzają i monitorują nasze dane - systematycznie, regularnie i na dużą skalę - będą zobowiązane też do powołania inspektora ochrony danych. Będzie on odpowiedzialny za bezpieczeństwo danych, ale też np. raportowanie naruszeń. Obowiązek powołania inspektorów będą miały m.in. szkoły i przychodnie, urzędy i spółki komunalne, ale też m.in. firmy telekomunikacyjne, ubezpieczyciele, sklepy internetowe i firmy reklamowe.

Wysokie kary? W ostateczności

Straszakiem na firmy, które nie dostosują się do nowych regulacji, mają być kary – do 20 mln euro lub 4 proc. całego obrotu firmy. Ministerstwo Cyfryzacji co prawda uspokaja, że kary będą "wlepiane" w ostateczności i na pewno nie za niewielkie uchybienia. Urzędnicy najpierw mają ostrzegać, a nie karać.

- Z możliwości nakładania kar nie robimy żadnego szczególnego narzędzia – mówi szefowa Generalnego Inspektoratu Ochrony Danych Osobowych Edyta Bielak–Jomaa i przekonuje, że decyzja o nałożeniu kar nie będzie samowolna.

- Nie chcemy traktować kar jako narzędzia, które sprawia nam radość. O to nie chodzi w reformie ochrony danych osobowych - dodaje Bielak-Jomaa.

We wtorek prezydent podpisał ustawę ochronie danych osobowych, która ma zapewnić skuteczne stosowanie RODO w Polsce. Na mocy nowych przepisów GIODO zostanie zastąpione przez nową instytucję – Urząd Ochrony Danych Osobowych.

Autor: Maciej Stańczyk / Źródło: tvn24bis.pl

Źródło zdjęcia głównego: Shutterstock