RODO to unijne rozporządzenie o ochronie danych osobowych. Z jednej strony ma w znacznie większym stopniu zabezpieczać prawa konsumentów w skali UE, z drugiej – stanowi wyzwanie dla małych i dużych firm oraz instytucji. RODO będzie dotyczyć każdego przedsiębiorcy, który przetwarza dane choćby jednego obywatela UE.
RODO ma służyć ujednoliceniu zasad ochrony danych osobowych w Unii Europejskiej. Rozporządzenie weszło w życie w maju 2016 r., stosowane będzie od 25 maja 2018 r. Naruszenie jego przepisów wiąże się z ryzykiem nałożenia na przedsiębiorstwa kary finansowej do 20 mln euro lub 4 proc. wartości rocznego światowego obrotu przedsiębiorstwa. Dlatego w szczególny sposób do jego wdrożenia przygotowują się giganci globalnego internetu.
Do czego RODO przyda się konsumentom?
Spójrzmy na RODO najpierw od strony konsumentów. Co gwarantuje nowe prawo dotyczące ochrony naszych danych osobowych?
W telegraficznym skrócie, najważniejsze prawa konsumentów wynikające z RODO to: możliwość żądania przeniesienia danych; wzmocnienie prawa do wglądu i dostępu do swoich danych; możliwość usunięcia danych osobowych obywatela („Prawo do bycia zapomnianym”).
„Oto Rodo. RODO nie trzeba się bać”. Materiał Ministerstwa Cyfryzacji. Źródło: YouTube
Patrząc nieco szerzej, po pierwsze, dzięki RODO mamy uzyskać szczegółową, a jednocześnie przystępną informację (podaną w tzw. ludzkim języku) o tym, jakie ich dane i w jakich celach są przetwarzane. Po drugie, nowe prawo wymusza, np. na firmach działających w Sieci domyślne ustawienia w maksymalny sposób chroniące naszą prywatność. Po trzecie, uzyskujemy prawo do przeniesienia danych w formacie, który umożliwia ich załadowanie do innej aplikacji/usługi. Po czwarte mamy prawo do czytelnego wyjaśnienia, jaka logika stoi za automatycznym podejmowaniem decyzji w naszej sprawie, oraz do ludzkiej interwencji (chodzi o to, żeby np. ostatecznych decyzji dotyczących dostępu do usług internetowych nie podejmowały algorytmy). Po piąte, we własnym kraju zyskujemy możliwość pozwania każdej firmy, która te standardy narusza.
Z perspektywy konsumentów wdrożenie RODO to przede wszystkim obietnica większej kontroli w relacji z administratorami (czyli osobami – fizycznymi lub prawnymi – które ustalają cele i sposoby przetwarzania danych osobowych).
RODO, biznes, instytucje
RODO ma też wpływ na polskie instytucje i ich relacje z biznesem. Pojawi się Urząd Ochrony Danych Osobowych (UODO), na czele którego stanie Prezes Urzędu Ochrony Danych Osobowych (PUODO). Przynajmniej w pierwszych latach obowiązywania nowego prawa administratorzy mogą spodziewać się kontroli podejmowanych z urzędu, szczególnie w sytuacji, gdy w grę wchodzi duża skala przetwarzania danych (banki, firmy telekomunikacyjne, brokerzy danych) lub innowacyjne – a jednocześnie ryzykowne – rozwiązania (np. Internet rzeczy, czyli możliwość cyfrowego/internetowego zarządzania choćby sprzętami AGD).
„RODO to reforma proobywatelska”. Materiał Ministerstwa Cyfryzacji. Źródło: YouTube
„Jeśli w praktyce okaże się, że firmy lub inne organizacje przetwarzające dane osobowe tych standardów nie przestrzegają, na fali mocno nagłośnionej reformy i rosnących oczekiwań konsumenci będą się skarżyć i dochodzić swoich praw. Biorąc pod uwagę wzmocnione i szybsze procedury egzekwowania prawa, jakie przewiduje polska ustawa wdrażająca RODO, w tym możliwość wnoszenia skarg także przez organizacje konsumenckie, ten scenariusz wydaje się bardzo prawdopodobny” – przekonuje Fundacja Panoptykon.
Wyzwania dla małego i wielkiego biznesu
Nowe prawo wprowadza spore napięcie na linii administarcja publiczna – wielkie biznesowe organizacje. Na polskim podwórku UODO może, np. wprowadzić zakaz przetwarzania danych, uderzając w jeden z kluczowych procesów biznesowych. Przykładowo, może zablokować możliwość przekazywania danych poza Unię Europejską korporacji, która procesy obsługi klientów realizuje w Indiach czy USA.
Z całą pewnością RODO stanowi duże wyzwanie dla mniejszych podmiotów obsługujących dane osobowe wszelkiego rodzaju klientów/użytkowników. Administratorzy Danych Osobowych (jak wyżej wspomniano: podmioty prawne lub fizyczne) będą musieli zgłaszać wszelkie incydenty związane z naruszeniem bezpieczeństwa danych osobowych, które „prowadzą do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych”. Administrator będzie miał 72 godziny na zgłoszenie faktu zaistnienia takiego incydentu. Ponadto RODO wprowadza obowiązek prowadzenia tak zwanego rejestru naruszeń, w którym powinny się znajdować wszystkie informacje na temat naruszeń przyjętych reguł.
RODO może nam pomóc w przypadku usług związanych z internetem rzeczy. Fot. Pixabay
Niewykluczone, że część firm międzynarodowych będzie próbowało, np. zablokować dostępu do stron internetowych dla internautów, którzy pochodzą z Unii Europejskiej. Niektórzy mogą uniemożliwić rejestrację konta, blokując europejskie IP. Niedawno ruszyła usługa, która za kilka dolarów miesięcznie pozwala na całkowitą blokadę całego ruchu z UE. Tylko że wielu firmom taka akurat strategia nie będzie się opłacać, ponieważ automatycznie wykluczą się z gigantycznego europejskiego rynku.
Jakie kary i za co?
Przyjrzyjmy się najpierw większym karom. RODO może nałożyć karę w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – do 4 proc. jego całkowitego rocznego światowego obrotu, jeśli administrator: a) narusza podstawowe zasady przetwarzania danych osobowych, w tym warunki udzielonej mu zgody na przetwarzanie danych; b) nie realizuje swoich obowiązków względem osób, których dane dotyczą; b) narusza zasady dotyczące transferów danych; c) nie przestrzega nakazów organu ochrony danych (np. tymczasowego ograniczenia przetwarzania).
Niższe kary (do 10 mln euro, a w przypadku przedsiębiorstwa – do 2 proc. jego całkowitego rocznego światowego obrotu) grożą m.in. w przypadku: a) nieuwzględnienia ochrony danych w fazie projektowania lub nieuwzględnienia zasad domyślnej ochrony danych (privacy by design i privacy by default); b) zaniedbania oceny skutków dla ochrony danych (w przypadku stwierdzenia wysokiego ryzyka dla praw i wolności podmiotów danych) lub (jeśli są wymagane) uprzednich konsultacji z organem ochrony danych; c) zaniedbania wymaganych ustaleń między współadministratorami lub między administratorem i podmiotem przetwarzającym dane; d) naruszenia obowiązków przez podmioty certyfikujące; e) naruszenia warunków wyrażenia zgody przez dziecko; f) zbierania danych identyfikujących podmiot danych, mimo że nie wymagają tego cele administratora.
Żeby lepiej poznać tajniki RODO, warto zapoznać się z przystępną broszurą Fundacji Panoptykon.
Źródło: panoptykon.org., bezprawnik.pl, pwc.pl
KW
© Artykuł jest chroniony prawem autorskim. Wykorzystanie tylko pod warunkiem podania linkującego źródła.
