Ustawa o ochronie danych osobowych.
Dane osobowe w Polsce chronione są na podstawie ustawy z dnia 29 sierpnia 1997 r. Została ona przyjęta przez Sejm Rzeczpospolitej Polski, następnie została poddana wielu zmianom i nowelizacjom, które stanowiły dostosowanie ustawy do bieżącej sytuacji i uwzględniały nowo pojawiające się zagrożenia wraz z rozwojem technologii. Ostatnia poprawka pochodzi z roku 2016. Zadaniem ustawy jest uregulowanie możliwości postępowania zarówno osób fizycznych, jak i organizacji dysponujących danymi osobowymi, np. swoich pracowników, podopiecznych, kontrahentów czy klientów. Szczegółowo ustala sposób ich przetwarzania, możliwości korzystania z nich i udostępniania. Zgodnie z zapisami ustawy, żadna osoba fizyczna, jak i organizacja czy zakład pracy, nie mogą w żaden sposób przetwarzać danych osobowych bez woli osoby, której one dotyczą. Nawet proces rekrutacyjny nie może zostać wszczęty, jeżeli na dokumentach aplikacyjnych kandydat do pracy nie umieści wyraźnej zgody na przetwarzanie swoich danych osobowych, niezbędne do przeprowadzenia procesu wstępnej kwalifikacji i rekrutacji pracowniczej. Kategorycznie zabronione jest udostępnianie danych osobowych podmiotom trzecim i postronnym. Każda osoba fizyczna i organizacja oraz zakład pracy zobowiązany jest do podjęcia najwyższych środków ostrożności celem chronienia danych osobowych i uniemożliwienia wglądu w nie osób postronnych. Ustawa przewiduje również szczegółowe działanie w przypadku utraty danych osobowych, czyli np. zagubienia dokumentów zawierających takie dane. Za umyślne udostępnianie danych osobowych bez zgody osoby, której one dotyczą, grożą wysokie kary finansowe. Karze może również podlegać nieumyślne udostępnienie informacji osobowych. W związku z wejściem w życie RODO również Ministerstwo Cyfryzacji przygotowało projekt nowej ustawy o ochronie danych osobowych. To pierwszy od 20 lat akt regulujący ochronę danych osobowych w Polsce.
Co to jest RODO?
RODO to nowe unijne rozporządzenie o ochronie danych osobowych. Konkretnie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Ma ono ujednolić i wzmocnić ochronę danych osobowych obywateli w Unii Europejskiej poprzez chociażby wprowadzenie prawa do bycia zapomnianym ? możliwości wystąpienia do administratora naszych danych o ich usunięcie. Administrator będzie miał obowiązek zrobić to niezwłocznie. Każdy przedsiębiorca, który prowadzi działalność w UE (bez względu na formę prawną tej działalności) podlega RODO. Nie ma przy tym znaczenia siedziba oddziału, to gdzie znajdują się serwery ani narodowość osób, których dane są przetwarzane.
Jakie zmiany wprowadza RODO dla osób fizycznych?
Nowe przepisy wprowadzają wiele zmian także w zakresie osób indywidualnych. Osoba fizyczna będzie miała prawo do żądania usunięcia swoich danych, jest to tzw. prawo do bycia zapomnianym. Osoba fizyczna będzie miała uprawnienie do żądania przeniesienia danych, czyli przekazania ich bezpośrednio innemu, wskazanemu przez osobę fizyczną administratorowi. Jako zwykły obywatel osoba będzie miała większe prawo do dostępu i wglądu w swoje dane.
Zgoda na przetwarzanie danych osobowych.
Dzięki RODO zostanie również rozszerzone prawo sprzeciwu wobec przetwarzania danych, w tym prawo do zakazania marketingu bezpośredniego z wykorzystaniem danych osobowych.
Jakie obowiązki wynikają dla przedsiębiorcy?
Przedsiębiorcy mają obowiązek uwzględniać zasady ochrony danych osobowych oraz dobrać rozwiązania organizacyjne i techniczne, które zapewnią należyte ich przechowywanie. Muszą być one zgodne z zasadami wynikającymi z RODO.
Firmy, których dotyczy rozporządzenie, nie uchronią się zatem przed koniecznością wymiany formularzy, zmiany klauzul i zgód na przetwarzanie danych osobowych klientów, zweryfikowania wewnętrznych procesów pod kątem bezpieczeństwa informacji, wdrożenia infrastruktury IT, przeszkolenia pracowników czy utworzenia stanowiska administratora danych osobowych.
Do podstawowych obowiązków, jakie muszą spełnić przedsiębiorstwa przetwarzające i administrujące dane osobowe, należą:
- należyte zabezpieczenie przechowywanych danych,
- przekazywanie klientom szczegółowych informacji o przetworzeniu ich danych osobowych,umożliwienie wglądu w historię zmiany danych, informowanie o celu zbierania danych,
- uzyskanie zgody na wykorzystanie danych w kontekście konkretnego procesu biznesowego,
- opracowanie i prowadzenie dokumentacji przetwarzania danych, w tym rejestru czynności przetwarzania i rejestru naruszeń,
- wdrożenie zasady privacy by default, tj. wcielenie takich środków technicznych i organizacyjnych, które pozwolą na domyślne przetwarzanie tylko tych danych, które są niezbędne do określonego procesu,
- obowiązek notyfikacyjny, polegający na konieczności zgłoszenia do organu nadzorczego incydentu naruszenia bezpieczeństwa, w ciągu 72 godzin od jego zajścia,
- zapewnienie rozliczalności (na żądanie organu nadzorczego przedstawić dokumentację, która wykaże przestrzeganie prawa),
- udokumentowanie udzielenia zgody, tj. przechowywanie informacji o tym, kto wyraził zgodę, kiedy to zrobił, w jakim zakresie oraz jakie informacje zostały mu przekazane przy okazji odbierania zgody.
Jeżeli jeszcze nie zapoznaliście się z nową ustawą warto to zrobić, poznacie swoje prawa i obowiązki i nie będziecie musieli się martwić tym, że przez nieznajomość prawa mogą grozić wam jakieś kary.