Czy wolno nam jeszcze dzwonić? RODO – 25.05.2018

Obecne prawo nie nadąża za nowymi technologiami. Rozwój internetu rzeczy, big data czy cloud computing stawiają wyzwania, których nie uwzględniają obecne rozwiązania prawne. Dane osobowe stały się cennym i wrażliwym towarem.

Co wprowadzi RODO?

Wzmocni pozycję organu ochrony danych osobowych (Urząd Ochrony Danych Osobowych), który wyposażony zostanie w podobne narzędzia jak UOKiK czy UKE oraz kary pieniężne. Wprowadzi bezpośrednią odpowiedzialność przetwarzającego dane (obejmuje to firmy dostarczające rozwiązania w chmurze czy firmy hostingowe).Zmieni zasady zgłaszanie naruszeń – administrator będzie miał obowiązek zgłoszenia naruszeń ochrony danych osobowych w ciągu 72 godzin. Musi też powiadomić osobę, której dane naruszył. Czyni to „bez zbędnej zwłoki”. Jeśli będzie próbował ukryć wyciek, grożą mu kary

Nowe i rozszerzone prawa obywateli to:

  • prawo do bycia zapomnianym – usunięcie danych osobowych ze wszystkich baz firmy na prośbę klienta
  • uprawnienie do żądania przeniesienia danych
  • wzmocnione prawo dostępu i wglądu w swoje dane
  • rozszerzone prawo sprzeciwu wobec przetwarzania danych,
  • prawo do zakazania marketingu bezpośredniego

Ograniczenie profilowania – oglądając oferty w internecie, czy szukając tradycyjnie jakiegoś towaru czy usługi, towarzyszy nam przeczucie, że jesteśmy obserwowani. Firmy profilują nas w internecie dzięki cookies. To dzięki nim wiadomo gdzie, czego i jak długo szukaliśmy (widzimy to jako: inni klienci kupili również, produkty podobne, produkty powiązane). Na profilowanie trzeba będzie zbierać osobne zgody
Obowiązkowa inwentaryzacja danych i wymagania związane z dokumentacją:

  • zbieranie danych dotyczących przetwarzania danych
  • rejestry międzynarodowych transferów danych
  • rejestry naruszeń i incydentów
  • utrzymywanie zasad ochrony prywatności dla każdej linii produktowej
  • przechowywanie potwierdzonych zgód na przetwarzanie

Przepisami RODO zostają wprowadzone nowe lub uzupełnione zasady uzyskiwania ważnych i weryfikowalnych zgód na przetwarzanie danych osobowych od osób, których dotyczą. Wprowadzony zostanie rozbudowany obowiązek informacyjny – RODO wskazuje liczne informacje, które muszą być uwzględnione w komunikacji sposobu przetwarzania danych osobowych kierowanej do osób, których dotyczą. Ocena wpływu ochrony danych - konieczność wykonywania analiz bezpieczeństwa ochrony danych przed podjęciem działań „wysokiego ryzyka” czyli np. profilowaniem na dużą skalę, czy wykorzystaniem danych szczegółowych, np. danych dotyczących edukacji, zdrowia. Transfer danych poza Unię Europejską – niedostosowanie się do zakazu przesyłania baz danych bez odpowiedniego poziomu zabezpieczeń będzie zagrożone możliwością nałożenia wysokich kar finansowych

Zgodnie z RODO zgoda na przetwarzanie danych osobowych może być samodzielnie wyrażona przez dziecko, które ukończyło 16 lat. Serwisy społecznościowe (i inne media) będą musiały ustanowić mechanizmy pozwalające na weryfikację wieku dziecka czy rodzaju przetwarzanych danych. RODO wymaga, aby administrator podjął rozsądne starania, by zweryfikować, czy rodzice lub opiekunowie wyrazili zgodę lub ją zaaprobowali u młodszego dziecka. Kwestie „dostępnych technologii” zostaną wyjaśnione w praktyce. RODO przewiduje, że kraje członkowskie mogą obniżyć wiek dzieci do lat 13. Dzieci muszą rozumieć na co się zgadzają.

Jakie kary wprowadza RODO?

Urząd Ochrony Danych Osobowych (następca GIODO) będzie mógł prowadzić audyty ochrony danych osobowych, w określonych przypadkach udzielać porad administratorowi. Urząd Ochrony Danych Osobowych będzie zatwierdzał kodeksy postępowania i wydawał zezwolenia na certyfikację. Zgodnie z przepisami RODO prezes Urzędu Ochrony Danych Osobowych może nakładać kary pieniężne w wysokości do 20 mln euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorcy, który naruszył wskazane w rozporządzeniu przepisy. Skarga o naruszenie danych może być złożona do prezesa urzędu i sądu powszechnego. W razie sporu klient nie musi udowadniać, że nie zgodził się, by firma przetwarzała jego dane. To firma będzie zobowiązana do wykazania, że zgodę taką miała.