Nowe przepisy o ochronie danych osobowych. Wkrótce znikniesz z internetu

Prawo do bycia zapomnianym, wycofanie zgody na przetwarzanie danych osobowych przynajmniej tak samo łatwe jak wyrażenie na to zgody – takie zmiany przewiduje nowelizacja ustawy o ochronie danych osobowych.

Jeszcze przez tydzień (do 13 października) każdy może zgłaszać uwagi do projektu ustawy o ochronie danych osobowych, który niedawno opublikowało Ministerstwo Cyfryzacji. Nowe przepisy wejdą w życie 25 maja 2018 r. Ustawa wprowadza do polskiego prawa unijne rozporządzenie o ochronie danych osobowych, znane potocznie jako RODO.

Obecne unijne przepisy o ochronie danych osobowych obowiązują od blisko 22 lat. W dobie postępującej cyfryzacji, upowszechnienia internetu, w tym handlu w sieci, stają się one przestarzałe. Rozporządzenie ujednolici prawo o ochronie danych osobowych w krajach Unii Europejskiej.

Dane osobowe: najpierw zgoda, potem przetwarzanie

Nowe przepisy wejdą w życie za osiem miesięcy. Wbrew pozorom firmom zostało niewiele czasu. Wiele z nich będzie musiało bowiem wdrożyć nowe systemy i procedury służące przetwarzaniu danych swoich klientów. Zwłaszcza, że za uchybienia grozić będą wysokie kary – maksymalnie nawet 20 mln euro lub 4 proc. rocznego obrotu.

W rozporządzeniu podkreślono, że przetwarzanie danych osobowych jakiejś osoby jest możliwe tylko wtedy, jeśli ta wyrazi na to zgodę. – To na administratorze danych ciążyć będzie obowiązek wykazania, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie jej danych osobowych – wyjaśnia Paweł Kowalski, radca prawny w kancelarii Rachelski i Wspólnicy.

Jeśli wyrażamy taką zgodę na piśmie, pytanie o zgodę będzie musiało zostać przedstawione w zrozumiałej i przejrzystej formie, jasnym i prostym językiem. Osoba, której dane dotyczą, może w każdej chwili zażądać zaprzestania przetwarzania danych osobowych. Administrator pytając o zgodę na przetwarzanie danych osobowych powinien przedstawić jednocześnie informację o możliwości wycofania zgody w każdym momencie.

– Zgodnie z przepisami RODO, wycofanie zgody na przetwarzanie danych powinno być równie łatwe, jak jej wyrażenie. Oznacza to, że administrator nie może uzależniać skuteczności wycofania zgody na przetwarzanie danych od spełnienia jakichkolwiek dodatkowych warunków – mówi Kowalski.

Prawo do bycia zapomnianym

RODO kompleksowo podchodzi do tzw. „prawa do bycia zapomnianym”. Chodzi o żądanie usunięcia przez administratora wszystkich danych osobowych osoby, która o to występuje.

To rozwiązanie nie jest nowe. W 2014 r. w kwestii „prawa do bycia zapomnianym” dotyczącego wyszukiwarek internetowych wypowiedział się m.in. Trybunał Sprawiedliwości UE. Trybunał uznał, że każda osoba może żądać od operatora przeglądarki internetowej usunięcia z wyników wyszukiwania odnośników (linków) do stron zawierających informacje jej dotyczące, jeżeli takie odnośniki pojawią się w wynikach wyszukiwania po wpisaniu imienia i nazwiska tej osoby.

Po wejściu w życie ustawy to prawo odnosić się będzie nie tylko do wyszukiwarek internetowych, ale do wszystkich kategorii danych osobowych oraz wszystkich sposobów ich przetwarzania.

Wyjątki od reguły

Jednak w niektórych sytuacjach żądanie trwałego i zupełnego usunięcia danych osobowych nie będzie miało zastosowania. – Są to m.in. sytuacje, w których dalsze przetwarzanie danych jest niezbędne do realizacji prawa do wolności wypowiedzi lub informacji lub w sytuacji, gdy dalsze przetwarzanie danych osobowych jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że realizacja prawa do bycia zapomnianym poważnie utrudni realizację celów takiego przetwarzania – wylicza Paweł Kowalski.

To prawo nie będzie miało też zastosowania w sytuacji, gdy dalsze przetwarzanie danych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.

Małoletni zdecydują za siebie

RODO reguluje też sposób wyrażania zgody na przetwarzanie danych osobowych przez osoby niepełnoletnie. W przypadku usług społeczeństwa informacyjnego (usługi świadczone za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług) oferowanych osobie niepełnoletniej, zgodne z prawem będzie przetwarzanie danych osobowych osoby, która ukończyła 16 lat. Żeby móc przetwarzać dane osoby młodszej, administrator będzie musiał uzyskać zgodę rodziców bądź opiekunów.

Przy czym RODO daje tu pewną elastyczność. Poszczególne państwa członkowskie mogą obniżyć do 13. roku życia próg pozwalający osobie małoletnie samodzielnie wyrazić zgodę na przetwarzanie danych osobowych. Z tej możliwości skorzystało polskie Ministerstwo Cyfryzacji. – Projekt ustawy jest we wstępnej fazie procedury legislacyjnej i nie wykluczone jest, że w ostatecznym kształcie ustawy granica ta ulegnie podwyższeniu – zaznacza Paweł Kowalski.