Tydzień pozostał do wejścia w życie największej zmiany prawnej tego roku. 25 maja w całej Unii Europejskiej zaczną obowiązywać nowe zasady dotyczące ochrony danych osobowych. Polski Senat przegłosował w środę 16 maja ustawę, która wprowadza unijne rozwiązania na grunt naszego prawa. Jeszcze do niedawna realny był scenariusz, w którym ustawodawca nie zdąży z przyjęciem ustawy, ale teraz akt czeka już tylko na podpis prezydenta.
Po co właściwie RODO?
Obecnie w każdym kraju przepisy dotyczące ochrony danych różnią się między sobą, co prowadzi do wielu sytuacji kolizyjnych. Skoro usługi świadczone przez sprzedawców, banki, ubezpieczycieli czy po prostu portale społecznościowe nie znają granic państwowych, to z punktu widzenia wszystkich zainteresowanych byłoby doskonale, gdyby na terenie całej Unii Europejskiej obowiązywały te same zasady dotyczące ochrony danych osobowych.
Dzięki ujednoliceniu firmy nie będą musiały dostosowywać się do przepisów obowiązujących w każdym kraju, na terenie którego chcą działać, a konsumenci będą mieć świadomość, że niezależnie od tego, kto przetwarza informacje o nich, są chronieni na tym samym poziomie.
Prace nad rozporządzeniem, które ujednolici regulacje we wszystkich 28 państwach członkowskich, rozpoczęły się w 2012 r., ale przyśpieszenie nastąpiło 3 lata temu.
Bazując na rozporządzeniu, każde państwo musi uchwalić swoją własną ustawę o ochronie danych osobowych. Polski parlament praktycznie do samego końca pracował nad ostatecznym brzmieniem aktu. Brak jego przyjęcia do 25 maja nie powodowałoby, że nowe regulacje nie zaczną u nas obowiązywać – w braku krajowej ustawy, obowiązuje unijne rozporządzenie. Mogłoby to jednak spowodować pewne problemy interpretacyjne, więc dobrze, że akt wejdzie w życie w planowanym terminie.
Zobacz też: * *Numer telefonu to dane osobowe i można zażądać usunięcia ich z bazy danych
25 maja przestanie obowiązywać dotychczasowa ustawa o ochronie danych osobowych z 1997 r. (z małym wyjątkiem: do czasu wejścia w życie tzw. unijnej dyrektywy policyjnej, w mocy pozostaną niektóre przepisy dot. przetwarzania danych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych).
Poza tym, że zacznie obowiązywać nowa ustawa o ochronie danych osobowych, pewne zmiany wprowadzono także w ponad 130 innych aktach prawnych. Ta liczba pokazuje, jak wielkim przedsięwzięciem jest "reforma" przepisów regulujących dane.
Nie tylko konieczność ujednolicenia przepisów jest powodem, dla którego 28 państw zdecydowało się na opracowanie nowych regulacji. Drugą, nie mniej ważną przyczyną jest postępująca cyfryzacja i następujące nieustannie zmiany technologiczne. Polska ustawa sprzed 21 lat jest zwyczajnie przestarzała i choć wielokrotnie była nowelizowana, nie nadąża za tempem zmian technologicznych.
Im bardziej uniwersalne prawo, tym lepiej
Przed Komisją Europejską, która opracowała kierunek zmian, stało prawdziwe wyzwanie: napisanie przepisów w taki sposób, by upływ czasu – i nieustanny rozwój technologiczny – nie powodował ich szybkiej dezaktualizacji. Jeśli przepisy są napisane zbyt sztywno, to nie nadążają za różnego rodzaju zmianami cywilizacyjnymi.
Dobre przepisy są z kolei na tyle uniwersalne, że zachowują aktualność także w zmieniających się warunkach. Ambicją autorów rozporządzenia było stworzenie przepisów "neutralnych technologicznie", a więc takich, które można stosować niezależnie od rozwoju technologii.
Kierując się tą zasadą, RODO określa raczej pewien kierunek działania, wskazuje cel, który firmy (instytucje, agencje państwowe, nawet parafie) muszą osiągnąć, ale pozostawia im dobór środków i metod. Inne wymogi należy postawić międzynarodowemu bankowi, który przetwarza dane milionów klientów, a inne – osiedlowej szkole językowej.
Jak to działa w praktyce? Przykładowo, RODO nie wskazuje wprost, jakie dokumenty, procedury i polityki należy wdrożyć. Nakłada na podmiot przetwarzający dane obowiązek zachowania staranności, tak by podczas przetwarzania danych osobowych nie doszło do nieprawidłowości.
Za naruszenie przepisów odpowiadać będzie dyrektor firmy, instytucji, szkoły czy urzędu. Nie zwolni go z tej odpowiedzialności powołanie inspektora ochrony danych osobowych czy wynajęcie zewnętrznej firmy, która będzie kontrolowała prawidłowość działań. Nie może przenosić odpowiedzialności na swoich pracowników!
40 proc. firm nie jest przygotowanych do zmian
Kary za naruszenie regulacji są bardzo wysokie (maksymalna wysokość kary to 20 mln euro lub 4 proc. światowych rocznych obrotów firmy! Tak wysokie kary będą jednak stosowane tylko wobec firm, które z premedytacją naruszają prawo), dlatego szef organizacji powinien mieć pewność, że jego firma jest dobrze przygotowana. Z tym jest, niestety, nie najlepiej. Wprawdzie firmy od wielu miesięcy wiedziały o zmianie przepisów, ale mało która zleciła audyt i omówiła ze specjalistami, w których obszarach musi się "podciągnąć", wdrożyć nowe procedury.
Z danych 2018 GDPR Compliance Report wynika, że w kwietniu, czyli na półtora miesiąca przed wejściem przepisów w życie, tylko 40 proc. przedsiębiorstw było w pełni przygotowanych do nowych wyzwań!
Powodów, dla których firmy ignorują ten obowiązek, jest wiele. Jedne skarżą się, że nie mają czasu i pieniędzy na przeprowadzenie audytu i dokonanie wdrożeń. Takie tłumaczenie nie stanowi żadnej taryfy ulgowej, tym bardziej że w przypadku firm, które przetwarzają niewielkie ilości danych (jak wspomniana już osiedlowa szkoła językowa), raczej nie będą konieczne żadne generujące duże koszty wdrożenia.
W przypadku takiej małej firmy prawdopodobnie wystarczy dostosowanie formularzy regulujących zgodę na przetwarzanie danych i ograniczenie danych tylko do tych, które naprawdę są niezbędne, by dostarczyć użytkownikowi produkt (przykładowo, czy sprzedający odzież sklep internetowy naprawdę potrzebuje znać imiona rodziców kupującego? Czy jest to informacja niezbędna dla zrealizowania zamówienia?).
- Najlepiej z przygotowaniem się do wejścia w życie przepisów radzą sobie największe firmy, bo one też ryzykują największe kary. Firmy średniej wielkości, zatrudniające około 250 osób, właściwie w tym zakresie nie odstają od dużych. Małe i mikroprzedsiębiorstwa też mają świadomość, ale odnosimy wrażenie, że czekają na to, co się wydarzy – powiedziała w rozmowie z money.pl Magdalena Szymańska z firmy Sage, zajmującej się wdrożeniami informatycznymi.
Dla konsumenta: rekruter nie zajrzy na FB, telemarketerzy rzadziej będą dzwonić
Nowych przepisów z całą pewnością nie powinni się bać konsumenci, bo po 25 maja ich dane będą z pewnością lepiej chronione. Przykład pierwszy z brzegu: w internecie jesteśmy śledzeni przez dziesiątki firm, którym zależy na tym, by poznać nas jak najlepiej, a na podstawie zebranych informacji oferować nam produkty i usługi, którymi potencjalnie jesteśmy zainteresowani.
Śledzenie użytkowników wiąże się z profilowaniem, czyli takim przetwarzaniem danych, by uzyskać odpowiedzi na najbardziej frapujące pytania (co robi internauta w wolnym czasie? Jakie osiąga zarobki? Czy planuje powiększyć rodzinę?). Wszystko po to, by dostarczać adekwatne reklamy.
Może na pierwszy rzut oka profilowanie nie brzmi, jak jakieś wielkie zagrożenie, ale spójrzmy na sprawę szeroko: im więcej wiedzą o nas firmy (bez znaczenia, czy to giganci z Doliny Krzemowej czy sportowy sklep internetowy), tym bardziej wyzbywamy się swojej prywatności. A prywatność (oraz możliwość decydowania, komu i ile chcemy o nas powiedzieć) to wartość, którą należy chronić.
RODO wychodzi tej potrzebie naprzeciw, gdyż daje nam prawo dostępu do danych składających się na profil. Administrator danych ma też obowiązek wyjaśnienia konsekwencji profilowania oraz zasad podejmowania zautomatyzowanych decyzji na podstawie profilowania.
Jeśli nie chcemy, by administrator przetwarzał pewne dane, będziemy mogli zgłosić sprzeciw.
Co jeszcze zmieni się po 25 maja? Powinniśmy zauważyć spadek liczby dzwoniących do nas telemarketerów. To zasługa regulacji e-Privacy, która jest powiązana z RODO. Zakłada ona, że każdy będzie mógł zażądać trwałego usunięcia wszystkich swoich danych z baz kontaktów. Co więcej, firmy wykorzystujące dane klientów do nabycia kontaktów będą musiały mieć wyraźnie udzieloną przez nas zgodę. Skończy się więc udawane zdziwienie telemarketerów, którzy zapytani o to, skąd mają nasz numer, mętnie odpowiadają, że zostaliśmy wylosowani przez komputer.
Więcej o tym piszemy w tym artykule:RODO. Łatwiej będzie uniknąć telefonów od telemarketerów. Pomoże specjalny prefiks
Inaczej będzie też wyglądała rekrutacja do pracy. Pracodawcy nie będą mogli wypytywać znajomych kandydata czy kolegów z poprzedniej pracy. Niewykluczone też, że referencje staną się po prostu nieskuteczne. Wszystko przez to, że kandydat będzie mógł ujawnić tylko te dane, które będą dla niego korzystne.
Masz newsa, zdjęcie lub filmik? Prześlij nam przez * *dziejesie.wp.pl