Nowe przepisy dotyczące ochrony danych osobowych

W całej Unii Europejskiej w piątek zaczęło obowiązywać unijne rozporządzenie o ochronie danych osobowych (RODO).

Przyjęte w maju 2016 r. przez UE ogólne rozporządzenie o ochronie danych osobowych ma zharmonizować przepisy w całej Wspólnocie. Zakłada m.in. prawo do bycia zapomnianym, czyli możliwość usunięcia, również z internetu, informacji na swój temat, jeśli nie są prawdziwe lub są obraźliwe. RODO stanowi, że przetwarzanie danych będzie możliwe za wyraźną zgodą tego, kogo dotyczą. Przewiduje kary za naruszenie prawa do ochrony danych  do 20 mln euro lub 4 proc. obrotu firmy.

Unijne przepisy dotyczą wszystkich podmiotów prywatnych i publicznych, które przetwarzają dane osobowe. W RODO zdefiniowano je jako dane, które pozwalają zidentyfikować osobę fizyczną. Chodzi o imię, nazwisko, numer PESEL, płeć, adres e-mail, numer IP komputera, dane lokalizacyjne, kod genetyczny, poglądy polityczne, historię zakupów.

Unijne przepisy przyznają osobom, których dane dotyczą, prawo do ich usunięcia, w tym tzw. prawo do bycia zapomnianym. Są to m.in. sytuacje, gdy dane osobowe nie są już niezbędne do celów, do których je zebrano, podmiot danych wycofał zgodę i nie ma innej podstawy prawnej dla ich przetwarzania, dane osobowe muszą być usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w unijnym bądź krajowym przepisie prawnym (np. przepisy dotyczą niszczenia dokumentacji medycznej), dane zostały zebrane w celu świadczenia usług internetowych dziecku.

RODO przewiduje także sytuacje wyłączające prawo do usunięcia danych, m.in. gdy przetwarzanie przez administratora jest wymagane przez prawo unijne albo krajowe bądź jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń. Na przykład organy publiczne i instytuty naukowe mogą przetwarzać dane osobowe w celach archiwalnych, badań naukowych i historycznych oraz w celach statys­tycznych. Nie można usunąć wcześniej upublicznionych danych, jeśli naruszałoby to prawo innych osób do korzystania z wolności wypowiedzi lub prawa do informacji.

Kolejne uprawnienie zapisane w RODO to możliwość przeniesienia swoich danych osobowych z jednej instytucji do drugiej, np. banku, by na nowo nie wypełniać dokumentacji kredytowej. Tutaj również zapisane są jednak wyjątki. Nie można przenosić danych, jeżeli ich przetwarzanie jest niezbędne do wykonywania zadania realizowanego w interesie publicznym, a także w ramach sprawowania władzy publicznej powierzonej administratorowi.

Prawo do przeniesienia danych nie jest tym samym co prawo do bycia zapomnianym. Poprzedni administrator, od którego je uzyskano, nie ma automatycznego obowiązku ich usunięcia. Musi to zrobić dopiero po żądaniu zainteresowanego.

W RODO zapisano także obowiązek uzyskania zgody dziecka na przetwarzanie jego danych osobowych. W unijnych przepisach szczegółowo uregulowano formę zgody dziecka w stosunku do usług społeczeństwa informacyjnego. Za taką usługę uważa się każdą odpłatną usługę świadczoną na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług.

Zgodnie z RODO dzieci, które ukończyły 16 lat, mogą samodzielnie decydować o przekazywaniu swoich danych osobowych firmom internetowym. Poniżej tej granicy wieku przetwarzanie danych będzie możliwe tylko, gdy zgodę wyraziła osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem. Dziecku przysługuje także bezwzględne prawo rozmyślenia się i zażądania usunięcia przekazanych wcześniej danych.

RODO nakazuje także administratorowi podjęcie rozsądnych działań w celu weryfikacji zgody lub aprobaty rodzica bądź opiekuna prawnego. Administrator może w tym celu np. wprowadzić zasadę uwierzytelniania przez inne konto, które pozwoli dziecku przesłać prośbę o zgodę do sprawdzonego konta rodzica na tym samym portalu.

 Zdaniem koordynatora prac nad reformą ochrony danych osobowych z Ministerstwa Cyfryzacji dr Macieja Kaweckiego, wokół reformy narosło bardzo dużo mitów.

Przede wszystkim informacje o obowiązkowych certyfikatach, obowiązkowych szkoleniach, o tym, że należy zdawać jakieś egzaminy państwowe w zakresie RODO, o obowiązkowych szafach, tych konkretnych w zakresie RODO, o tym, że jak mamy biuro na parterze, musimy zamieścić kraty w oknach – wymieniał i podkreślił, że to wszystko są mity.

Kawecki zaznaczył, że oprócz tych mitów, mamy także do czynienia z działaniami, które "są dużo bardziej niebezpieczne, czyli zastraszanie przedsiębiorców tym, że jeżeli nie skorzystają z usług konkretnego podmiotu, to grozi im skarga do prezesa urzędu". I dodał, że "musimy pamiętać, że tego typu działanie może stanowić przestępstwo".

Jak tłumaczył Kawecki,

coraz częściej RODO jest używane jako przykrywka wyłudzeń danych – do przedsiębiorcy dzwoni określona firma, pyta czy dostosowałeś się do RODO, jakie masz zabezpieczenia. My, ponieważ nam już RODO zaczyna się kojarzyć, udzielamy odpowiedzi na to pytanie, a następnie te informacje służą do tego, żeby wymierzyć dla nas bardziej scentralizowany atak, np. cyberatak.

Ekspert powiedział też, że coraz częściej otrzymujemy maile z informacjami, że jeśli chcemy dowiedzieć się więcej na temat RODO, musimy wejść w aktywny link, otworzyć załączniki. Kawecki ostrzegł, że w ten sposób, może nam być dostarczane złośliwe oprogramowanie.

Coraz częściej pojawiają się telefony z informacją np., że aktualizujemy bazę PESEL, czy to jest pana numer PESEL, podawany jest numer PESEL, okazuje się, że to jest niewłaściwy numer PESEL, więc my podajemy właściwy i w ten sposób dochodzi do wyciągnięcia od nas numeru PESEL zestawionego z numerem telefonu- to już są dane osobowe – Kawecki podawał kolejny przykład. Podkreślił, że musimy o tym pamiętać i tego się strzec.

Kawecki zwrócił uwagę na to, że przypadki mitów, w które obrosło RODO i które należy obalać pojawiają się choćby w przypadku sektora medycznego.

Ostatnio dostaliśmy wiadomość od jednego ze szpitali, że dyrektor zakazał oznaczania imieniem i nazwiskiem kroplówek oraz worków z krwią, przyjmując numerację. Musimy pamiętać o tym, że prawo do życia jest prawem bezwzględnym, a prawo o ochronie danych osobowych podlega ograniczeniom – powiedział. I dodał: w tym przypadku nie poddawajmy się jakiejkolwiek panice, oznaczenie tego typu rzeczy imieniem i nazwiskiem jest dopuszczalne, jest zgodne z prawem.

Według nowych przepisów, prezes urzędu ochrony danych osobowych (PUODO) będzie mógł kierować do organów państwowych, samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych.

Będzie mógł również występować do organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych. Wzmocnieniu pozycji urzędu służyć mają także przyznanie prawa do przeprowadzania kontroli naruszenia zasad ochrony danych osobowych.

Wprowadzono również rozwiązania mające przyspieszyć postępowania w sprawach ochrony danych – zniesiono dwuinstancyjność postępowania w sprawach o naruszenie przepisów o ochronie danych osobowych. Wprowadzono także przepis, dzięki któremu podejmowana przez PUODO kontrola nie będzie mogła trwać dłużej niż miesiąc.

We wtorek prezydent podpisał ustawę o ochronie danych osobowych, która ma zapewnić skuteczne stosowanie RODO w Polsce. Ustawa ta również wchodzi w życie w piątek i także zakłada możliwość nakładania kar za naruszenia przepisów o ochronie danych osobowych  maksymalnie 100 tys. zł na administrację publiczną, a 10 tys. zł dla instytucji kultury.

Skomentuj