RODO zmienia Internet. Co czeka użytkowników sieci?

Facebook i Google objęte zmianami

Dotychczasowe prawo nie przystawało do aktualnej sytuacji społecznej i technologicznej. Wiele obszarów naszej codziennej aktywności było zupełnie pominięte, jeśli chodzi o ochronę danych osobowych.

RODO to zmienia. Rewolucja obejmuje swoim zakresem, w takim samym stopniu, wszystkie kraje członkowskie Unii Europejskiej, a także wszystkie podmioty, które swoje usługi świadczą na terenie wspólnoty, np. poprzez Internet.

- To duża zmiana. Dotychczas firmy, które nie były zarejestrowanie w Unii Europejskiej, nie podlegały pod prawo wspólnotowe. Wielkie korporacje z za oceanu np. Facebook  Google, były de facto wyjęte spod prawa. Zgodnie z postanowieniem rozporządzenia, od 25 maja każda firma, która świadczy usługi na terenie Unii jest zobowiązana przestrzegać europejskiego prawa dotyczącego ochrony danych osobowych - mówi Katarzyna Muszyńska, ekspert ds. ochrony danych osobowych, LexDigital.

Większa ochrona - mniej danych

RODO nie tylko rozszerza zakres podmiotów podlegających prawu, ale co najważniejsze - prawa obywateli, dotyczących ochrony danych osobowych. Kluczowa w tym względzie jest sama definicja danych osobowych. W kontekście Internetu i nowych technologii, została ona rozszerzona o adres IP i pliki cookies. RODO reguluje także kwestie związane z danymi osobowymi biometrycznymi - czyli linie papilarne, skan źrenic czy twarzy, coraz częściej wykorzystywane jako kody dostępu do sprzętu IT.

Zmiany jakie wprowadza RODO, wynikają z ekonomicznego charakteru danych osobowych, które stały się dźwignią obecnej gospodarki. Dlatego rozporządzenie rozszerza zakres chronionych danych, przy jednoczesnym obowiązku zminimalizowania ilości przetwarzanych danych.

Nowe prawo ma rozwiązać notorycznie spotykaną sytuację w sieci “darmowych usług”. Webinary, e-booki, podcasty to narzędzia często wykorzystywane do zbierania danych osobowych użytkowników. - Dotychczas firmy mogły zbierać więcej informacji niż było im potrzebne do świadczenia jakiejkolwiek usługi. RODO kładzie temu kres. Maksymalna ilość i kategorie pozyskanych danych, to wyłącznie takie, które pozwolą na zrealizowanie usługi. Aby otrzymać e-booka wystarczy mail, na którego przesłany zostanie plik. W takiej sytuacji, nie ma potrzeby przekazywania numeru telefonu, czy adresu zamieszkania - dodaje Katarzyna Muszyńska z LexDigital.

Jeden zbiorczy checkbox niezgodny z prawem

Sposób pozyskiwania danych także ulega zmianie. Obecnie, często spotyka się w sieci sytuację, w której usługa jest realizowana po zaznaczeniu jednego zbiorczego checkbox’a, w którym wyrażona zgoda obejmuje realizację usługi, a jednocześnie działań marketingowych oraz udostępnianie danych podmiotom trzecim.

Od maja takie działanie będzie niezgodne z prawem. Zgodnie z RODO, każde działanie wymaga osobnej zgody na przetwarzanie danych osobowych. Z treści zgody musi jasno wynikać czego dotyczy. Zabronione jest odgórne zaznaczanie checkbox’ów (zgoda musi mieć charakter świadomego działania), a także ukrywanie zgód w regulaminach serwisów czy usług - dodaje Katarzyna Muszyńska, LexDigital.

Osobna zgoda potrzebna będzie także na profilowanie. Dotychczas nie było obowiązku informowania użytkowników o prowadzeniu działań związanych z automatyzacją decyzji. Wraz z wejściem w życie RODO, do profilowania potrzebna będzie osobna zgoda, oraz poinformowania o celu profilowania, ale także o kategoriach przetwarzanych danych. W przeciwnym przypadku profilowanie nie będzie mogło być przeprowadzone.

Wiedza i świadomość użytkowników

RODO kładzie nacisk na zwiększanie wiedzy i świadomości użytkowników w kwestii przetwarzania danych osobowych. W tym celu daje narzędzia, w postaci praw, które pozwolą świadomie zarządzać swoimi danymi.

To przede wszystkim prawa dostępu do danych i otrzymania kopii przetwarzanych danych osobowych. Każdy, czyjego dane są przetwarzane, ma prawo uzyskać od administratora danych informacje m.in. o tym jakie dane są przetwarzane, w jakim celu, jak zostały pozyskane oraz w oparciu o jaką przesłankę legalizującą odbywa się proces.

W sytuacji, gdy dane przetwarzane są niezgodnie z prawem, RODO daje narzędzie do zaprzestania tego procesu. Prawo do bycia zapomnianym, pozwala złożyć wniosek, do administratora danych, z żądaniem usunięcia danych osobowych. RODO wskazuje kilka przesłanek, na które można się powołać m.in. zakończenie działań, w celu których zostały zebrane, czy wycofanie zgody. Co ważne wystarczy jedna z nich, aby dane zostały całkowicie usunięte.

W realizacji praw ma pomóc język w jakim formułowane będą wszelkie komunikaty kierowane do użytkowników. Zabrania się używania trudnych, specjalistycznych sformułowań, nie dozwolone będzie także umieszczanie ważnych informacji dotyczących przetwarzania danych tzn. “drobnym druczkiem”.

Wszelkie działania niezgodne z nowym prawem będą surowo karane. RODO przewiduje milionowe kary za niewłaściwe przetwarzanie danych osobowych. Dodatkowo, choć nie zawiera przepisów karnych, to zezwala na ich wprowadzenie ich do porządków krajowych. Oznacza to, że złamanie prawa w tym zakresie, może wiązać się nawet z karą więzienia.