Najważniejsze zmiany w RODO 2018 r.

Ochrona praw dzieci (art. 8)

Z racji wieku, mogą być nie do końca świadome konsekwencji i ryzyka, które podejmują, przy udostępnianiu swoich danych osobowych, toteż wymagają szczególnej ochrony. Do 16 roku życia przetwarzanie danych jest możliwe tylko za zgodą osoby sprawującej opiekę nad dzieckiem oraz w jej zakresie. Co istotne, państwa członkowskie mają prawo przewidzieć niższą granicę wiekową, do lat 13.

Związane jest to również z zasadą przejrzystości, która szerzej omówiona zostanie w dalszej części artykułu. Wszelkie informacje i komunikaty powinny być na tyle klarowne, proste i nieskomplikowane, aby dziecko również mogło je zrozumieć.

Przejrzystość (art. 12)

Jak zostało już wspomniane, wszelkie informacje przedstawić należy  w sposób czytelny dla przeciętnego użytkownika. Ma on mieć świadomość, że jego dane są zbierane, wykorzystywane i w odpowiednim zakresie przetwarzane. Ponadto, podjęta jest próba zachęcenia do ustanowienia mechanizmów certyfikacji, znaków jakości; m.in. po to by każdy mógł sprawdzić, jaki jest stopień ochrony ich danych przy korzystaniu z poszczególnych usług i produktów.

INFORAKADEMIA poleca: JAK MAŁE BIURO RACHUNKOWE MA SIĘ PRZYGOTOWAĆ DO RODO

Prawo do bycia zapomnianym (art. 17)

W dobie mediów społecznościowych i publikowania fałszywych informacji jest to szczególnie istotne. Aby móc sprostować, poprawić, bądź po prostu zadbać o swoje dobre imię. Jeśli przetwarzane dane nie są już niezbędne do spełnienia założonych celów bądź osoba cofnęła swoją zgodę czy wzniosła sprzeciw albo były one przetwarzane niezgodnie z prawem, możemy zażądać ich usunięcia.

Zobacz: Prawo administracyjne

Co ważne, tyczy się to również osób, które wyraziły zgodę na przetwarzanie swoich danych osobowych, gdy były dzieckiem (czyli teoretycznie nie były w pełni świadome możliwych konsekwencji). Powinny one móc wykonywać owe prawo, mimo bycia osobami dorosłymi, chyba że zaburza to w jakikolwiek sposób wolność wypowiedzi czy wywiązanie się z obowiązku osoby przetwarzającej te dane.

Prawo do przenoszenia danych (art. 20)

W końcu dostajemy możliwość sprawdzenia, ile tak naprawdę naszych danych osobowych jest przetwarzanych i w jaki sposób. W powszechnie używanym formacie, otrzymujemy plik z tymi informacjami. Możemy, według własnego uznania, przesłać go innemu administratorowi, pod warunkiem iż wcześniej przetwarzanie odbywało się na podstawie naszej zgody bądź umowy.

Sprzeciw (art. 21)

Nawet jeśli przetwarzanie odbywa się zgodnie z prawem, to przysługuje nam prawo sprzeciwu. Zważając na indywidualną sytuację i konkretne dane, których nie chcemy udostępniać, administrator podejmuje decyzję o zaprzestaniu przetwarzania. Nie ma on prawa późniejszej przeróbki tychże danych, chyba że wykaże prawnie uzasadnione podstawy do tegoż zajęcia. Możliwe jest również zautomatyzowane przesłanie sprzeciwu.

Domyślna ochrona oraz ochrona od podstaw (art. 25)

Na każdym etapie działań powinno uwzględniać się ochronę prywatności obywateli. Od samego początku tworzenia nowych usług, kierować się należy dbałością w kwestiach kontroli nad przetwarzaniem danych, ich wykorzystywania oraz bezpieczeństwa.

Ponadto, ochrona prywatności staje się prawem każdego obywatela. Przy minimalizacji przetwarzania ustawienia domyślne każdego produktu czy usługi mają zapewniać szerokie zabezpieczenia naszej prywatności.

Bezpieczeństwo przetwarzania (art. 32)

Mając na uwadze koszty i stan wiedzy technicznej, zostają wdrożone odpowiednie środki organizacyjne i techniczne, zapewniające bezpieczeństwo. W szczególności wykorzystując: pseudonimizację i szyfrowanie danych, zdolność do przywrócenia szybkiego dostępu do nich w razie poszczególnych incydentów oraz regularne testowanie i ocenianie skuteczności podjętych środków.

Kładzie się również duży nacisk na przeciwdziałanie skutkom przypadkowego zniszczenia, modyfikacji, utraty bądź niezamierzonego ujawnienia danych.

Zobacz: Środowisko

Oceniając stan bezpieczeństwa, można kierować się kodeksem postępowania bądź certyfikacją. Kodeks przewiduje mechanizmy, pozwalające na obowiązkowe monitorowanie przestrzegania przepisów tego rozporządzenia przez podmioty, takie jak Europejska Rada Ochrony Danych, Komisja Europejska czy państwa członkowskie Unii.

Inspektor ochrony danych (art. 37 – 39)

Wyznacza się go w przypadku przetwarzania danych przez organy publiczne (z wyłączeniem sądów w zakresie sprawowania wymiaru sprawiedliwości), gdy główna działalność administratora czy podmiotu polega na przetwarzaniu, na dużą skalę (i jako taka wymaga regularnej kontroli i monitorowania), dotyczy danych wrażliwych („szczególnych kategorii danych osobowych”) bądź tych dotyczących wyroków skazujących i naruszeń prawa.

Licząc się z strukturą organizacyjną i wielkością, czy to przedsiębiorstw czy organów publicznych, może zostać wyznaczony jeden inspektor ochrony danych (IOD) dla poszczególnej grupy. IOD jest wybierany na podstawie swoich kwalifikacji zawodowych, w szczególności tych z zakresu prawa i ochrony danych osobowych. Włączany jest on do wszelkich spraw, dotyczących danych osobowych i zobowiązany jest przez to do zachowania tajemnicy lub poufności.

Osoby, których dane dotyczą, mogą kontaktować się z inspektorem w kwestii przetwarzania tychże oraz z wykonaniem praw im przysługujących (jak choćby przenoszenie danych czy prawo do bycia zapomnianym).

Do  jego zadań należą m.in.: monitorowanie przestrzegania rozporządzenia, innych przepisów UE czy państw członkowskich z zakresu ochrony danych oraz polityk administratora (np. szkolenia personelu, podziału obowiązków czy działań zwiększających świadomość), udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych czy współpraca z organem nadzorczym.

Przekazywanie danych do państw trzecich i organizacji międzynarodowych (art. 44 – 46, 49)

Może nastąpić, gdy Komisja stwierdzi iż zapewniają one odpowiedni stopień ochrony danych. Przy ocenie, czy taki rzeczywiście jest, uwzględniane są m.in. praworządność, poszanowanie praw człowieka, ustawodawstwo (bezpieczeństwo, obrona, prawo karne), istnienie egzekwowalnych praw osób, których dane te dotyczą czy skuteczne działanie co najmniej jednego niezależnego organu nadzorczego.

Po ocenie, zostaje przyjęta decyzja np. na drodze aktu wykonawczego, czy zapewniony jest właściwy stopień ochrony. W akcie przyjmuje się również czas okresowego przeglądu, a po jego upływie ponownie dokonuje się oceny. Jeśli by powtórna ocena nie była zadowalająca, uchyla się bądź zawiesza decyzję, i podejmowane są konsultacje mające zaradzić tej sytuacji.

Wszelkie oceny publikowane są na stronie internetowej oraz w Dzienniku Urzędowym Unii Europejskiej.

Pomimo negatywnej decyzji, możliwe jest dalsze przekazywanie danych, pod warunkiem istnienia pewnych zabezpieczeń i skutecznych środków ochrony prawnej, choćby klauzul ochrony danych czy zatwierdzonego kodeksu postępowania bądź mechanizmu certyfikacji. Wyjątkami zaś są sytuacje, gdy osoba, której dane dotyczą, jest świadoma ryzyka owej sytuacji  i mimo to, wyraża zgodę; przekazanie jest niezbędne do zawarcia lub wykonania umowy, dochodzenia roszczeń bądź w grę wchodzą ważne względy interesu publicznego.

Europejska Rada Ochrony Danych (art. 68 – 71)

Działa w sposób niezależny i zapewnia spójne stosowanie tego rozporządzenia. W zakres jej działań wchodzą: monitorowanie i właściwe stosowanie RODO, oraz rozstrzyganie sporów jego dotyczących, doradzanie Komisji w sprawach odnoszących się do ochrony danych osobowych, wymiany informacji pomiędzy administratorami, wydawanie zaleceń, wytycznych i tworzenie najlepszych praktyk co do usuwania łącz do danych („prawo do bycia zapomnianym”) i wszelkich innych kwestii tyczących się tego rozporządzenia.

Wydaje również co roczne sprawozdanie na temat ochrony osób fizycznych (ich danych) w Unii, a w konkretnych przypadkach, także w państwach trzecich i organizacjach międzynarodowych.

Prawo do wzniesienia skargi do organu nadzorczego (art. 77 – 82)

Każdy ma prawo wznieść skargę do organu nadzorczego (tu: GIODO), jeśli uważa, iż jego dane były przetwarzane niezgodnie z RODO. Organ ten informuje o postępach swojej pracy. Osobie przysługuje prawo do skutecznego środka ochrony prawnej, przeciwko prawnie wiążącej decyzji tegoż organu.

Ma również możliwość do umocowania innego podmiotu, organizacji czy zrzeszenia – do przemawiania w jej imieniu i żądania odszkodowania. Odszkodowanie uzyskać można tyko w wypadku nie dopełnienia obowiązków, które nakłada to rozporządzenie, przez podmioty przetwarzające lub działanie niezgodne z prawem i instrukcjami administratora.

Kary finansowe (art. 83)

Kary, w każdym indywidualnym przypadku, mają być odstraszające, proporcjonalne i skuteczne. Zważając na charakter, wagę i czas trwania naruszenia oraz inne czynniki łagodzące bądź obciążające (umyślny charakter naruszenia, działania podjęte w celu zminimalizowania szkody, kategorie danych osobowych) ustala się karę pieniężną.

Wynosić może ona nawet do 10 000 000 euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego światowego rocznego obrotu z poprzedniego roku obrotowego, jeśli narusza ona przepisy, tyczące się obowiązków administratora czy podmiotu przetwarzającego, certyfikującego bądź monitorującego.

Kwota ta podwyższa się dwukrotnie, w przypadku naruszenia przepisów o prawach osób, których dane dotyczą, podstawowych zasad przetwarzania, przekazywania danych do państw trzecich oraz nieprzestrzegania nakazu ograniczenia przetwarzania bądź zawieszenia danych.