Z dniem 25 maja 2018 r. zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, zwane potocznie RODO. Rozporządzenie, z racji jego bezpośredniego stosowania w krajach członkowskich UE, ujednolici przepisy dotyczące ochrony danych osobowych na terenie Unii (obecnie każde państwo unijne w ramach prawodawstwa krajowego ma własne uregulowania dotyczące ochrony danych osobowych).
Jakie zmiany wprowadza RODO?
RODO wprowadza bardzo istotne zmiany w stosunku do obecnie obowiązujących w Polsce przepisów o ochronie danych osobowych. W nowym modelu ochrony danych osobowych, na przedsiębiorcy będzie ciążył obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych aby przetwarzanie danych osobowych odbywało się zgodnie z nowymi przepisami.
Ochrona prywatności jako domyślne ustawienia systemów
Już na etapie projektowania systemu przedsiębiorca ma obowiązek uwzględniać zasady ochrony danych osobowych, czyli dobrać takie rozwiązania organizacyjne i techniczne, które zapewnią ochronę tych danych. Ponadto w ramach wprowadzonej przez RODO zasady tzw. privacy by default przedsiębiorca będzie musiał wprowadzić w swoich systemach informatycznych ochronę prywatności jako domyślne ustawienie systemów.
Jakie zabezpieczenia RODO powinien wprowadzić przedsiębiorca?
Generalnie Rozporządzenie nie określa wprost, jakie konkretnie zabezpieczenia, czy tez rozwiązania w zakresie ochrony danych osobowych mają być wprowadzone przez przedsiębiorców. Z jednej strony zatem przedsiębiorca będzie mieć wolną rękę w projektowaniu wewnętrznej struktury ochrony danych osobowych, z drugiej jednak strony przyjęte przez niego rozwiązania muszą być zgodne z zasadami ochrony danych osobowych wynikającymi z RODO. Rozporządzenie wprowadza bowiem zasadę „rozliczalności” administratora za przestrzeganie zasad ochrony danych osobowych.
Zgodnie z RODO, jeżeli przetwarzanie danych osobowych osoby fizycznej odbywa się na podstawie pisemnej zgody na przetwarzanie zawartej w oświadczeniu dotyczącym również innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
Osoba, która wyraziła zgodę na przetwarzanie swoich danych osobowych może w każdej chwili taką zgodę cofnąć, przy czym o prawie do cofnięcia zgody na przetwarzanie osoba fizyczna powinna zostać poinformowana przed wyrażeniem zgody. W praktyce oznacza to, że część przedsiębiorców, która obecnie przetwarza dane osobowe swoich klientów w oparciu o zgodę na przetwarzanie danych będzie musiała dostosować klauzule wyrażenia zgody na przetwarzanie danych osobowych do nowych wymagań wynikających z RODO, w szczególności poprzez zamieszczenie informacji o możliwości cofnięcia zgody na przetwarzanie w każdym czasie.
RODO wprowadza również prawo konsumenta do żądania usunięcia danych osobowych, czyli „prawo do bycia zapomnianym”. Osoba, której dane dotyczą będzie mieć prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator danych będzie zobowiązany niezwłocznie takie dane usunąć, jeżeli dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane.