Zmiany w RODO i e-Privacy

W maju 2016 r. weszło w życie unijne rozporządzenie o ochronie danych osobowych, którego postanowienia znajdą zastosowanie w polskim porządku prawnym od dnia 25 maja 2018 r. Uregulowanie zagadnienia ochrony danych osobowych w rozporządzeniu oznacza obowiązek bezpośredniego stosowania tych przepisów przez wszystkie podmioty przetwarzające dane osobowe na terytorium całej Unii Europejskiej. Oznacza również, że RODO znajdzie zastosowanie w polskim porządku prawnym automatycznie, bez konieczności implementacji do ustawy o ochronie danych osobowych. Wybór rozporządzenia jako prawnego narzędzia wprowadzenia zmian w zakresie ochrony danych osobowych ma na celu ujednolicenie zasad ochrony danych osobowych na terytorium całej Unii Europejskiej.

Przykładowe zmiany wprowadzone przez RODO

1. Uprawnienia ochronne dla osób, których dane są przetwarzane

Rozporządzenie przyznaje osobom, których dane osobowe są przetwarzane, nowe instrumenty ochronne. W pierwszej kolejności wskazać należy, że zgodnie z art. 15 RODO osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz informacji m.in. o celu ich przetwarzania. Ma ona również prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, jeśli są nieprawidłowe.

Jednym z najważniejszych uprawnień przyznanych przez RODO jest tzw. prawo do bycia zapomnianym. Osoba, której dane są przetwarzane, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, jeśli zachodzi jedna z następujących okoliczności:

• dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
• osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie, i nie ma innej podstawy przetwarzania;
• osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne, prawnie uzasadnione podstawy przetwarzania;
• dane osobowe były przetwarzane niezgodnie z prawem;
• przetwarzanie nie było zgodne z przepisami unijnymi lub krajowymi dotyczącymi danych osobowych;
• dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego osobom poniżej 16 lat.

Jeżeli osoba, której dane są przetwarzane, zażąda od administratora ich usunięcia, musi on dopilnować, by zostały usunięte wszystkie linki do informacji zawierających te dane oraz ich kopie, nawet jeśli zostały wcześniej udostępnione innym podmiotom.

Co więcej, ustawodawca unijny wprowadził zasadę przejrzystości, zgodnie z którą administrator danych ma obowiązek podjąć odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielać osobie, której dane są przetwarzane, wszystkich niezbędnych informacji. Adresat ma zrozumieć przeznaczony do niego komunikat, dlatego niezgodne z przepisami będzie np. umieszczanie informacji drobnym drukiem wśród zawiłego i długiego tekstu.