W maju nastąpi rewolucja w ochronie danych osobowych. Jedną z istotniejszych zmian będzie wprowadzenie w życie prawa do bycia zapomnianym, co oznacza sporo nowych obowiązków, między innymi dla firm. Złamanie przepisów oznaczać może kolosalne kary, idące w miliony złotych.
Europejskie rozporządzenie o ochronie danych osobowych (RODO), które przyjęła także Polska, wzmocni ochronę prywatności obywateli. Regulacja zacznie obowiązywać od 28 maja.
Co przynosi RODO
RODO oraz przepisy krajowe zapewnią osobom fizycznym nowe narzędzia ochrony swoich danych.
Przepisy skończyć mają z podpisywaniem w ciemno zgód na przetwarzanie danych osobowych przez osoby składające ofertę pracy, czy podpisujące umowę abonamentową, albo zapisujące się na newsletter. Rozporządzenie będzie domagać się "od wszystkich administratorów danych, by wszelkie informacje kierowane do osób, których dane dotyczą, były formułowane jasnym i prostym językiem, by były zwięzłe i zrozumiałe. Szczególnie istotne będzie to zaś wówczas, gdy informacje i komunikaty będą kierowane do dzieci, które muszą móc je bez trudu zrozumieć" - tłumaczy Generalny Inspektor Ochrony Danych Osobowych (GIODO).
Profilowanie, czyli zbieranie informacji o osobach oglądających oferty w internecie, czy szukających tradycyjnie jakiegoś towaru czy usługi, nie będzie zakazane. Jednak osoby profilowane będą musiały zostać poinformowane nie tylko o tym, że są obiektem zainteresowania algorytmów marketingowych, ale również o konsekwencjach z tego wynikających.
Nowością jest określenie po raz pierwszy zasad przetwarzania danych biometrycznych (takich jak wizerunek twarzy czy odciski palców) w zatrudnianiu, w sektorze bankowym i ubezpieczeniowym. Dane takie będą mogły zostać pozyskane przez bank oraz ubezpieczycieli celem weryfikacji tożsamości klientów. W przypadku zatrudnienia, przetwarzanie przez pracodawcę danych biometrycznych obejmować ma tylko dane osobowe pracownika, jeśli dotyczą one stosunku pracy i pracownik wyrazi na to zgodę.
Prawo do bycia "zapomnianym"
Jedną z istotniejszych zmian, jakie wprowadzi RODO, jest prawo do bycia zapomnianym, czyli ostatecznego i nieodwołalnego usunięcia danych osobowych z baz danych na żądanie zainteresowanego. Obecnie prawo do bycia zapomnianym dotyczy w zasadzie wyłącznie wyszukiwarek internetowych i nie opiera się na powszechnie obowiązujących przepisach, a na wyroku Trybunału Sprawiedliwości Unii Europejskiej.
Główny Inspektor Danych Osobowych tłumaczy, że z prawa do bycia zapomnianym skorzystamy w sytuacji, w której chcemy, by nasze dane nie były przetwarzane, a na przykład określona instytucja czy firma nie mają podstawy do takiego przetwarzania. Jak zauważa Komisja Europejska "narzędzie to ma chronić prywatność osób, niekoniecznie umożliwiać usuwanie informacji z przeszłości albo ograniczanie wolności prasy".
To administratorzy danych osobowych, którymi są np. firmy, muszą przygotować bazy danych do przepisów RODO. Muszą m.in. sprawdzić dotychczasowe rozwiązania z zakresu ochrony danych osobowych i w wielu przypadkach je zmodyfikować. "W tym przypadku konieczne jest przeszukanie wszystkich zasobów teleinformatycznych, co będzie nie lada wyzwaniem, gdyż dane mogą być nie tylko w bazach, ale również w plikach tekstowych zlokalizowanych na komputerach użytkowników, plikach ze skanami dokumentów itp." - wskazuje firma zajmująca się ochroną danych osobowych ODO24.
Obowiązki administratorów
Administratorzy danych nie mają wyboru. Niestosowanie się do nowych zasad przetwarzania danych osobowych może m.in. skutkować odpowiedzialnością finansową – administracyjnymi karami pieniężnymi nawet do 20 milionów euro lub 4 proc. całkowitego rocznego światowego obrotu.
Niezależnie od tego osoba, której prawa zostały naruszone, może też dochodzić swoich roszczeń przed sądem cywilnym.
Z drugiej strony, wejście w życie nowych przepisów wymusi ułatwienia, oszczędności i rozwój innowacyjności. GIODO prowadzi cykl warsztatów, które mają administratorów danych osobowych przygotować do nadchodzących zmian.
Wycieki danych
Nie bez znaczenia dla wejścia w życie RODO i polskich przepisów dotyczących ochrony danych osobowych miały wycieki danych osobowych, które zdarzyły się niedawno - zauważa firma ODO24.
Warto przypomnieć wyciek danych osobowych z systemu PESEL, czy wyciek danych z banków i szpitali. W wrześniu w sieci pojawiła się oferta sprzedaży danych klientów: ING Banku Śląskiego, mBanku, Idea Banku oraz Credit Agricole. Także w tym roku wyszedł na jaw wyciek danych, jaki w październiku 2016 roku miał miejsce w strukturach Ubera, na którym tylko w Polsce ucierpiało około 70 tysięcy osób.
Autor: MS, ps/ms / Źródło: tvn24bis.pl
Źródło zdjęcia głównego: Shutterstock