Ten artykuł czytasz w ramach bezpłatnego limitu

Cały biznes, administracja państwowa, organizacje trzeciego sektora, a nawet Kościół - wszyscy muszą przestrzegać RODO, bo w zasadzie każda z tych organizacji jakieś dane osobowe przetwarza.

Od kilku tygodni wszędzie panuje poruszenie związane z wdrażaniem nowych przepisów, bo choć RODO narzuca wszelkim instytucjom wiele obowiązków, to nie zawsze dokładnie podaje, jak mają ich przestrzegać. Jedno jest pewne - na wszystkim zyskają konsumenci

Dane - święta rzecz

Przepisy o ochronie danych osobowych funkcjonują w Polsce od 20 lat, ale do tej pory ich egzekwowanie było bardzo trudne, bo prawo nie dawało zbyt wielu możliwości ku temu. Teraz to się zmieni.

Za rażące naruszenia przepisów może zostać nałożona kara nawet do 20 mln euro lub 4 proc. rocznych globalnych obrotów firmy. Oczywiście nie znaczy to, że każdy będzie teraz dostawał milionowe kary, ale pilnować się trzeba. – Kara jest instrumentem ostatecznym – zapewnia minister cyfryzacji Marek Zagórski.

RODO wprowadza nową instytucję - Inspektora Ochrony Danych (IOD).  Osoba pełniąca tę funkcję będzie odpowiadać w danej organizacji za pilnowanie tego, by dane były przechowywane bezpiecznie, by nie fruwały tu i tam, oraz będzie odpowiedzialna za kontakt z konsumentami.

Takiego inspektora musi zatrudnić każda firma, urząd czy organizacja pozarządowa, której główna działalność opiera się na przetwarzaniu danych.

Dla przykładu - szpitale nie mogłyby funkcjonować, gdyby nie prowadziły dokumentacji lekarskiej pacjentów, a więc ich działalność opiera się o dane. GIODO oraz europejscy regulatorzy przekonują jednak, że nawet jeśli nie wymagane jest od firmy zatrudnienie IOD, lepiej to zrobić. Po pierwsze dlatego, że firma będzie wtedy spokojniejsza o bezpieczeństwo danych (IOD powinien być ekspertem w tej dziedzinie), a po drugie dlatego, że w razie naruszenia przepisów i kontroli urzędniczej posiadanie IOD będzie okolicznością łagodzącą.

Przepisy wymagają, by każda organizacja na swojej stronie internetowej w widocznym miejscu umieściła informacje i dane kontaktowe do inspektora ochrony danych po to, by każdy mógł bez problemu się z nim skontaktować. To do niego będą się mogli zgłaszać konsumenci, jeśli będą chcieli się dowiedzieć, jakie dane ma firma i jeśli będą np. chcieli je usunąć.

Kiedy mogę usunąć dane?

A będzie to można zrobić niemal w każdym przypadku - to tzw. prawo do bycia zapomnianym. Przepisy wyszczególniają tylko kilka sytuacji, gdy właściciel danych nie może żądać ich usunięcia z bazy firmy czy innej instytucji. Taka sytuacja nastąpi, gdy dane są niezbędne do:

  • ustalenia, dochodzenia lub obrony roszczeń w jakiejś sprawie (np. w sądach lub prokuraturach);
  • do badań naukowych, historycznych lub statystycznych (np. w instytucjach naukowych czy GUS-ie);
  • do wykonywania zadań realizowanych w interesie publicznym lub w ramach sprawowania władzy publicznej (np. w urzędach);
  • z uwagi na interes publiczny.

Firmy zwykle do tych wyjątków się nie zaliczają, dlatego będzie można usunąć swoje dane i ma to być proste i szybkie. Wystarczy skontaktować się z inspektorem ochrony danych w firmie i zażądać ich usunięcia na podstawie art. 17 ust. 1 RODO, czyli „prawa do bycia zapomnianym”. Żądanie takie można wysłać np. mailem.

RODO wymusi też większą transparentność firm w przypadku naruszenia przepisów. Jeśli dojdzie do wycieku danych, będą one musiały to zgłosić do państwowego organu odpowiadającego za ochronę danych osobowych. Co więcej, będą musiały poinformować o tym wszystkie osoby, których dane wyciekły. Wszystko to firma będzie musiała zrobić w ciągu 72 godzin od momentu, gdy o wycieku się dowiedziała. Potencjalny wyciek to jedno z najbardziej rażących naruszeń RODO i w takich przypadkach może dochodzić do nakładania kar.

Kto ma moje dane?

W ciągu ostatnich kilku tygodni wszyscy dostają mnóstwo maili z prośbą o dalsze przetwarzanie danych. Proszą o to serwisy internetowe, portale medialne, firmy, e-sklepy, portale społecznościowe. To efekt zapisów RODO. Wymaga ono wobec wszelkich organizacji przeglądu swoich baz danych i wyczyszczenia ich. Jeśli firma ma dane, które nie są jej potrzebne do działalności, musi je usunąć. Np. fryzjerowi nie są potrzebne informacje o dacie urodzenia swoich klientów, więc musi je wykasować.

Ale rozporządzenie wymaga też, by zgody wszystkich osób, których dane znajdują się w bazie, były aktualne. Innymi słowy - by osoby te wiedziały o tym, że firma ma ich dane, i by wiedziały, w jaki sposób je wykorzystuje. Dlatego przedsiębiorstwa aktualizują te zgody i dlatego właśnie pytają, czy mogą dalej przetwarzać dane.

Dzięki temu każdy może wiedzieć, do jakiej bazy się kiedyś zapisał i kto dysponuje informacjami o nim. Przy tej okazji może się nie zgodzić na dalsze przetwarzanie, czyli wypisać się z bazy.

To dobry moment na uświadomienie sobie, w jak wielu miejscach znajdują się nasze dane

To także moment, w którym ukrócone powinny zostać wszelkie działania telemarketerów i handlarzy danymi.

Do tej pory częstym procederem było przekazywanie sobie baz między szemranymi firmami i nagabywanie potencjalnych klientów. Czy w takim razie to koniec telefonów z ofertami handlowymi? Koniec zapraszania na pokazy sprzętu paramedycznego i cudownych garnków za 7 tys. zł?

Tego typu działania są bezprawne już na gruncie obowiązujących przepisów, jednak dotychczasowe metody przeciwstawienia się im okazały się mało skuteczne. - Wykonywanie telemarketingu wiąże się z odebraniem trzech rodzajów zgód: na przesyłanie spamu, na wykorzystywanie telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego, a także na przetwarzanie danych osobowych - tłumaczy Michał Wołoszczuk, radca prawny w kancelarii prawnej D. Dobkowski sp.k. stowarzyszonej z KPMG w Polsce.

Wejście w życie RODO nie gwarantuje, że takie telefony znikną, można jednak przypuszczać, że będzie ich o wiele mniej. Rozporządzenie zapewnia nowe instrumenty do walki z niechcianymi informacjami i daje nadzieję na lepsze egzekwowanie przepisów dotyczących ochrony danych osobowych, m.in. ze względu na przewidziane wysokie kary pieniężne - dodaje.

RODO w Polsce

Nowe przepisy będą obowiązywały od piątku, 25 maja, we wszystkich krajach Unii Europejskiej. W każdym z nich rząd musi wprowadzić ustawę wdrażającą unijne rozporządzenie. W Polsce i w większości państw sprawa ta się opóźnia, ale nie znaczy to, że RODO nie będzie od piątku obowiązywało.

Przepisów należy przestrzegać niezależnie od tego, czy lokalni politycy spóźnili się czy nie.

Czytaj też: Unijna ochrona danych osobowych w Kościele. GIODO będzie mógł kontrolować parafie i nakładać kary. Ale Kościół nie chce tracić autonomii

--

Wyborcza to Wy, piszcie: interwencje@wyborcza.pl

Artykuł otwarty w ramach bezpłatnego limitu

Wypróbuj prenumeratę cyfrową Wyborczej

Nieograniczony dostęp do serwisów informacyjnych, biznesowych,
lokalnych i wszystkich magazynów Wyborczej.