Jak RODO 2018 zmieni podejście do ochrony naszej prywatności?

Samo pojęcie prywatności oznacza „prawo do pozostawienia w spokoju”. Zdawać się może, że obecne czasy skutecznie uniemożliwiają przestrzeganie tego. Jednakże prawo zmienia i dostosowuje, troszcząc się o podmioty, które go dotyczą.

Nowe rozporządzenie daje o wiele szerszą gamę środków, dzięki którym mamy kontrolę nad swoimi danymi osobowymi. Przy zachowaniu podstawowych zasad szacunku, dotyczących prywatności osób, których dane są przetwarzane, położony jest szczególny nacisk na dwa podejścia.

Zasada uwzględniania danych na etapie projektowania (ang. privacy by design) mówi, iż na każdym etapie działań, prowadzonych czy to w sferze publicznej czy prywatnej, powinno uwzględniać się ochronę prywatności obywateli. Już od samego początku tworzenia nowego narzędzia bądź usługi, należy stwarzać takie, by dawały kontrolę nad sposobem przetwarzania danych, ich wykorzystywania oraz bezpieczeństwa. Obowiązek ten spada na administratora, który według rozporządzenia w art. 25, ust. 1: „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator […] wdraża odpowiednie środki techniczne i organizacyjne […], w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.”

Polecamy: RODO. Ochrona danych osobowych. Przewodnik po zmianach

Rozporządzenie informuje też o konieczności wytwórców tychże usług do wdrożenia prawa i zapewnienia administratorom możliwości wywiązania się ze spoczywających na nich obowiązków. W wypadku nieprzestrzegania prawa można liczyć się z dotkliwymi karami finansowymi, sięgającymi kilkunastu milionów euro.

Zobacz: Prawo administracyjne

Przyjmuje się, iż ochrona danych jest domyślnym prawem każdego obywatela (ang. privacy by default). Mimo, iż nie jest dokładnie sprecyzowane, jakie środki techniczne i organizacyjne należy wdrożyć, rozporządzenie podpowiada że takie środki mogą polegać, m.in. na minimalizacji przetwarzania danych osobowych, ich pseudonimizacji, przejrzystości, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń. Co ważne, środki te mają zapewniać, aby domyślnie dane osobowe nie były udostępniane nieokreślonej liczbie osób fizycznych.

Związane jest z tym również prawo do bycia zapomnianym (ang. a right to be forgotten, art. 17). Ma ono zastosowanie gdy dane są przetwarzane w sposób niezgodny z prawem, naruszają nasze dobre imię, bądź nie są już niezbędne do spełnienia celu, w jakim były zbierane, niezależnie od tego, czy zostały umieszczone przez osobę, której dotyczą czy osoby trzecie. Wiąże się z tym jednak zasadnicza obawa, jak daleko może wybiec nasze prawo do sprzeciwu. Czym jest tu sprawiedliwe działanie przeciwko publikowaniu fałszywych treści, a co podchodzi pod cenzurę?

W dobie Internetu trudno żądać całkowitego prawa do usunięcia danych; wydaje się to wręcz niemożliwe. Mimo iż prawo stale się dostosowuje do zmieniających się czasów, to najsłabszym czynnikiem pozostają tu ludzie. Jakkolwiek rozporządzenie daje nam wiele środków, to trzeba nauczyć się z nich korzystać.