RODO - na co należy uważać?

Przestrzegamy, żeby dokładnie czytać komunikaty powołujące się na RODO; w niektórych sytuacjach może dojść do próby zainfekowania urządzenie lub wyłudzenia danych - podkreślił w poniedziałek Karol Manys z Ministerstwa Cyfryzacji.

W całej Unii Europejskiej w piątek zaczęło obowiązywać unijne rozporządzenie o ochronie danych osobowych (RODO). Daje ono m.in. prawo do bycia zapomnianym, czyli możliwość usunięcia, również z internetu, informacji na swój temat, jeśli nie są prawdziwe lub są obraźliwe.

Karol Manys z Ministerstwa Cyfryzacji powiedział PAP, że do resortu docierają informacje, które mogą świadczyć o nieuczciwych praktykach w związku z wprowadzeniem unijnego rozporządzenia o ochronie danych osobowych. "Przestrzegamy, żeby osoby, które otrzymują informacje powołujące się na RODO, dokładnie czytały komunikaty i wykazywały ostrożność. W niektórych sytuacjach może bowiem dojść do próby zainfekowania urządzenie lub wyłudzenia danych" - przestrzegał. Zaznaczył, że o ewentualnych nieprawidłowościach można informować służby odpowiedzialne za cyberbezpieczeństwo, np. NASK lub CERT.GOV.PL.

Oświadczenie ws. możliwych nadużyć wystosowało Ministerstwo Cyfryzacji. "Z informacji, jakie otrzymujemy wynika, że obok licznych wiadomości informujących Państwa o przetwarzaniu danych osobowych są również takie, które mogą być ukierunkowane na oszustwa" - czytamy w komunikacie.

Resort podkreślił, że "należy zwrócić uwagę na informacje zawierające linki bądź załączniki z dokumentami, z których skorzystanie zapewnić ma pozornie pełną zgodność z RODO, a faktycznie może skutkować zainstalowaniem tzw. wirusa". "Co zrobić, gdy taką wiadomość dostaniemy? Prosimy o dokładne zapoznanie się z nią. Nie należy reagować na wiadomości lub SMS-y z niewiadomego lub podejrzanego źródła" - napisano.

MC przestrzega przed nieprawdziwymi informacjami o prawnej konieczności nabycia specjalnych szaf na dokumenty, zapewniających zgodność z RODO, krat w oknach, szczególnych kategorii niszczarek, nakładek na ekrany monitorów, kłódek oraz innych dedykowanych RODO rozwiązań. "RODO nie stawia takich wymogów" - zaznaczono. Resort przypomina również, że RODO nigdzie nie mówi o obowiązkowych egzaminach, czy szkoleniach na Inspektorów Ochrony Danych.

Przyjęte w maju 2016 r. przez UE ogólne rozporządzenie o ochronie danych osobowych ma zharmonizować przepisy w całej Wspólnocie. RODO stanowi, że przetwarzanie danych będzie możliwe za wyraźną zgodą tego, kogo dotyczą. Przewiduje kary za naruszenie prawa do ochrony danych - do 20 mln euro lub 4 proc. obrotu firmy.

Unijne przepisy dotyczą wszystkich podmiotów prywatnych i publicznych, które przetwarzają dane osobowe. W RODO zdefiniowano je jako dane, które pozwalają zidentyfikować osobę fizyczną. Chodzi o imię, nazwisko, numer PESEL, płeć, adres e-mail, numer IP komputera, dane lokalizacyjne, kod genetyczny, poglądy polityczne, historię zakupów.

Unijne przepisy przyznają osobom, których dane dotyczą, prawo do ich usunięcia, w tym tzw. prawo do bycia zapomnianym. Są to m.in. sytuacje, gdy dane osobowe nie są już niezbędne do celów, do których je zebrano, podmiot danych wycofał zgodę i nie ma innej podstawy prawnej dla ich przetwarzania, dane osobowe muszą być usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w unijnym bądź krajowym przepisie prawnym (np. przepisy dotyczą niszczenia dokumentacji medycznej), dane zostały zebrane w celu świadczenia usług internetowych dziecku.

RODO przewiduje także sytuacje wyłączające prawo do usunięcia danych, m.in. gdy przetwarzanie przez administratora jest wymagane przez prawo unijne albo krajowe bądź jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń. Na przykład organy publiczne i instytuty naukowe mogą przetwarzać dane osobowe w celach archiwalnych, badań naukowych i historycznych oraz w celach statys­tycznych. Nie można usunąć wcześniej upublicznionych danych, jeśli naruszałoby to prawo innych osób do korzystania z wolności wypowiedzi lub prawa do informacji.

Kolejne uprawnienie zapisane w RODO to możliwość przeniesienia swoich danych osobowych z jednej instytucji do drugiej, np. banku, by na nowo nie wypełniać dokumentacji kredytowej. Tutaj również zapisane są jednak wyjątki. Nie można przenosić danych, jeżeli ich przetwarzanie jest niezbędne do wykonywania zadania realizowanego w interesie publicznym, a także w ramach sprawowania władzy publicznej powierzonej administratorowi.(PAP)

autor: Paweł Żebrowski