Rewolucja w prawie ochrony danych osobowych

Nadejście Nowego Roku często wiąże się ze zmianami w różnych sferach życia. Nie inaczej rzecz ma się z przepisami prawa. 26 maja 2018 r. wchodzi w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. zwane w skrócie RODO. Dlaczego o tym piszemy już teraz? Stosowane bowiem bezpośrednio w polskim porządku prawnym RODO pod hasłem podwyższenia oraz ujednolicenia standardów ochrony danych osobowych, wprowadza rewolucyjne zmiany w prawie ochrony danych osobowych.

RODO nakłada na administratorów danych szereg obowiązków. Administratorami danych są przede wszystkim przedsiębiorstwa (bez względu na skalę ich działalności), takie jak: banki, firmy telekomunikacyjne, ubezpieczeniowe czy właściciele sklepów internetowych, o ile przetwarzają dane osobowe osób fizycznych, np. swoich pracowników. Do tych szczególnych obowiązków należy w szczególności wprowadzenie odpowiednich procedur bezpieczeństwa, a jeżeli pracodawca zatrudnia co najmniej 250 pracowników, to również musi wdrożyć dokumentację zwaną rejestrem czynności przetwarzania. Ponadto utrzymano nadal funkcjonujące powinności takie jak np. obowiązek informowania na żądanie, w jaki sposób wykorzystywane są nasze dane osobowe.

Prawo do bycia zapomnianym

Jeżeli chodzi o rewolucyjne zmiany, z pewnością należy do nich zaliczyć obowiązek powiadomienia organu nadzoru o stwierdzonym przypadku uchybienia w ochronie danych skutkującego ryzykiem naruszenia naszych praw lub wolności osobistych. Powyższy obowiązek spoczywa na administratorach danych, którzy muszą zgłosić organowi nadzoru naruszenie nie później niż w terminie 72 godzin od jego wykrycia. Dodatkowo, jeżeli ryzyko naruszenia naszych praw lub wolności jest wysokie, to administrator musi powiadomić o tym fakcie również osoby, których prawa zostały narażone wskutek naruszenia.

Innym ważnym rozwiązaniem, które wprowadza RODO jest tzw. prawo do bycia zapomnianym. Jest to całkowita nowość w polskim prawie i oznacza, iż możemy żądać od administratora danych, np. od portalu społecznościowego, aby usunął wszelkie dotyczące nas dane osobowe takie jak: imię, nazwisko, nick, zdjęcia, filmiki, wpisy etc. Ponadto jeżeli administrator danych upublicznił tego rodzaju dane osobowe, to w sytuacji skorzystania przez nas z prawa do bycia zapomnianym portal będzie zobowiązany do poinformowania innych administratorów przetwarzających te dane, aby usunęli oni wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

Kolejną istotną nowością jest również możliwość wymierzenia nierzetelnemu administratorowi danych dotkliwych kar pieniężnych, liczonych nawet w milionach EURO. Stanie się tak, jeżeli administrator danych naruszy przepisy o ochronie danych osobowych. Karę pieniężną będzie mógł nałożyć - po przeprowadzeniu odpowiedniego postępowania - organ nadzoru, którym w Polsce zostanie Prezes Urzędu Ochrony Danych Osobowych. Jest to niezwykle istotna zmiana, która z całą pewnością wpłynie na większą świadomość dotyczącą przepisów o ochronie danych osobowych i bardziej powszechne ich stosowanie, albowiem do tej pory nieliczne postępowania kontrolne najczęściej kończyły się wzywaniem do usunięcia naruszeń.

Dane biometryczne

W związku z wejściem w życie RODO nowelizacji ulegnie również wiele krajowych ustaw. Tytułem przykładu warto tu wspomnieć choćby o projektowanej zmianie polskiego kodeksu pracy, w którym w końcu uregulowana zostanie kwestia ewidencji czasu pracy z wykorzystaniem danych biometrycznych pracowników (np. odcisk palca), a także kwestia monitoringu w zakładzie pracy. Jeżeli projektowane zmiany kodeksu pracy wejdą w życie, pracodawca, uznając to za konieczne, będzie mógł zainstalować monitoring ze względu na bezpieczeństwo pracowników, ochronę mienia, zachowanie w tajemnicy informacji, których ujawnienie mogłoby narazić go na szkodę. Monitoring jednak nie może stanowić środka kontroli wykonywania przez pracownika pracy. Jednocześnie przepisy prawa będą stanowiły, iż monitoring nie może obejmować pomieszczeń, które nie są przeznaczone do wykonywania pracy, w szczególności pomieszczeń sanitarnych, szatni, stołówek lub palarni.

Unia Europejska niezależnie od RODO planuje także wprowadzić zupełnie nowe przepisy, które będą nas chroniły przed natarczywymi połączeniami telefonicznymi, np. przed telefoniczną akwizycją. Jednym z pomysłów unijnego prawodawcy jest możliwość wykonywania połączeń telefonicznych o charakterze marketingowym z numerów telefonów poprzedzonych łatwo rozpoznawalnym kodem lub prefiksem.

Podsumowując wypada zauważyć, iż opisywane zmiany prawa mają na celu coraz dalej idącą ochronę naszej prywatności, co jest nieuniknione zważywszy, iż obowiązujące do tej pory w Polsce regulacje pochodzą sprzed 20 lat, a zatem z ery, gdzie tak popularne dziś media społecznościowe jak Facebook, Instagram czy Twitter nie istniały nawet w umysłach ich twórców. Obiektywna ocena jednak, jak dalece wpłynie to na nasze codzienne życie będzie możliwa dopiero po kilku lub kilkunastu miesiącach od wejścia w życie RODO. Wtedy bowiem przekonamy się, w jakim stopniu administratorzy danych zastosowali się do nowelizacji prawa, a także czy nowe obowiązki są wystarczające, aby zapewnić nam należytą ochronę danych osobowych.