25 maja 2018 roku
Wchodzi w życie Rozporządzenie Ogólne o Ochronie Danych Osobowych, bardziej znane pod popularnym skrótem RODO.
Regulacja ta stanowi bardzo pozytywną rewolucję w zakresie ochrony danych osobowych.
Dlaczego rewolucję? Czyżby dotychczas nasze dane osobowe nie były chronione?
Oczywiście, że były! W pewnych zakresach nawet bardzo podobnie do zapisów RODO. Gdzie jest różnica?
Bardzo ważną różnicą, której efektów doświadcza obecnie każdy europejski użytkownik Internetu jest bardzo uwypuklona jawność i jasność informacji o przetwarzanych danych osobowych oraz jawność wszelkich zgód. Stąd też jesteśmy obecnie bombardowani przeróżnymi okienkami informacyjnymi oraz prośbami o wyrażenie zgód na przetwarzanie danych.
Zgodnie z RODO, informacje nie mogą być nieczytelne, nie powinny być też przed użytkownikiem poukrywane, np. wrzucone gdzieś do regulaminów pomiędzy inne zapisy. Ponadto RODO nie dopuszcza zgód typu „Opt-out”, czyli takich, w których zgoda jest domyślna, a użytkownik może ją wycofać. Zgody wg RODO muszą przyjmować formę „Opt-in”, co oznacza, że domyślnie występuje brak zgody, a dopiero świadome działanie użytkownika może to zmienić.
Czy bez zgody nie można przetwarzać naszych danych osobowych?
Rzeczywiście wątek zgody jest bardzo przy omawianiu RODO eksponowany, lecz pamiętać należy, że zgoda jest zaledwie jedną z podstaw przetwarzania danych. Dla przykładu wskazać można, iż pewne dokumenty pracownicze powinny być przechowywane przez pracodawcę aż 50 lat. Zatem zawierając z kimś umowę o pracę, choćby krótkoterminową, w pakiecie otrzymujemy przetwarzanie danych osobowych przez pół wieku. I choć umowę o pracę zawieraliśmy dobrowolnie, to po jej rozwiązaniu nie możemy skutecznie zażądać zaprzestania przetwarzania tychże danych osobowych. Nie możemy zatem powołać się tutaj na prawo do bycia zapomnianym, to nie zadziała.
W wielu przypadkach może dojść do konwersji pierwotnego celu i związanej z tym podstawy przetwarzania danych w zupełnie inny cel i inną podstawę przetwarzania danych osobowych. Wyobraźmy sobie sytuację zapisu do newslettera. Nie ma wątpliwości, że wysłanie newslettera wymaga naszej uprzedniej zgody, którą wg RODO możemy cofnąć. Cofnięcie tej zgody oznacza jednak tylko tyle, że nie można już do nas wysyłać newslettera (nie można przetwarzać danych w celu wysyłania newslettera). Jednakże wydawca newslettera ma uzasadniony interes, aby nasze dane przetwarzać nadal, jednakże tym razem w zupełnie innym celu, np. aby móc w przyszłości wykazać, że wyraziliśmy zgodę na otrzymywanie newslettera, a jego wydawca nie jest spamerem, którego należy ukarać.
RODO stawia na minimalizację przetwarzania danych.
Zakres przetwarzanie danych musi być zgodny z celem ich gromadzenia. Zatem dla przywołanego zapisu do newslettera, jego wydawcy niezbędny jest wyłącznie nasz adres email, nic więcej.
O wiele ciekawszy aspekt praktyczny minimalizacji znajdziemy w przypadku dostępu do naszych danych przez aplikacje mobilne. Czasami lista uprawnień do danych, których żąda aplikacja przyprawia o zawrót głowy. Zgodnie z RODO aplikacja nie powinna gromadzić więcej danych niż jest to rozsądnie konieczne.
Czasami podstawa do gromadzonych danych osobowych wynika wprost z przepisów prawa, np. art. 18 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz. U. z 2017 r. poz. 1219 z późn. zm.), stanowi podstawę prawną do przetwarzania całkiem pokaźnej ilości danych osobowych.
Najbliższy czas pokaże, w jakim kierunku zmierzać będą standardy ochrony danych osobowych na gruncie stosowania RODO.