Pod tajemniczym i bardzo popularnym w ostatnim czasie skrótem kryje się międzynarodowe Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 27 kwietnia 2016 r. w sprawie ochrony danych osobowych, które zacznie obowiązywać już od najbliższego piątku we wszystkich unijnych krajach. W praktyce oznacza to, że polskie firmy, instytucje, ośrodki medyczne, placówki publiczne lub inne podmioty przetwarzające dane osobowe mają obowiązek dostosować i wdrożyć nowe przepisy, celem których jest ochrona interesów osób prywatnych.
Dane osobowe to wszelkiego rodzaju informacje, dzięki którym w sposób bezpośredni lub pośredni można zidentyfikować osobę. Dzieli się je na dwie grupy. Pierwsza z nich, to dane zwykłe, np. imię i nazwisko, numer PESEL, adres zamieszkania, dane o lokalizacji, adres IP komputera, natomiast druga, to dane szczególnych kategorii, np. pochodzenie rasowe, poglądy religijne i polityczne, dane biometryczne czy dane na temat stanu zdrowia, których nie powinno się przetwarzać. Wyjątek stanowią sytuacje, gdy przepisy prawa stanowią inaczej.
RODO wprowadza szereg regulacji, które muszą znaleźć swoje zastosowanie w procesie przetwarzania danych osobowych, ponieważ ich brak grozi poważnymi karami finansowymi, mogącymi sięgać kwot nawet 20 milionów euro. Każda firma ma obowiązek poinformować właściciela danych osobowych o tym, kto tymi danymi zarządza, czyli kto jest administratorem danych osobowych, w jakim celu są one przetwarzane i przez jaki okres czasu. Ważne jest też to, skąd te dane zostały pozyskane i na jakiej podstawie się z nich korzysta – czy na mocy prawa, czy za zgodą właściciela.
Bardzo istotna staje się tu kwestia wyrażania zgody na przetwarzanie danych osobowych – ma być ona jednoznaczna i oczywista, a osoba, która taką zgodę wyraża, powinna być w pełni świadoma tego, na co się decyduje. W praktyce oznacza to koniec długich, napisanych zawiłym językiem regulaminów na rzecz obowiązku informacyjnego, polegającego na przekazaniu informacji dotyczących przetwarzania danych osobowych w sposób zwięzły i zrozumiały dla każdego.
Chcąc uniknąć natarczywych reklam w postaci np. kontaktu telefonicznego lub mailowego, można skorzystać do tzw. prawa do bycia zapomnianym. W praktyce oznacza to, że jeśli zadzwoni do nas konsultant firmy X z ofertą, a my mamy dosyć takich telefonów, możemy zażądać usunięcia naszych danych osobowych z bazy firmy i konsultant powinien to uczynić w trybie natychmiastowym. Co więcej, informacje na nasz temat powinny zniknąć również z każdej innej bazy danych, jeśli wspomniana firma X wcześniej przekazała je podmiotom trzecim. Ta sama sytuacja dotyczy, męczących niekiedy, reklam wysyłanych na prywatne skrzynki mailowe. Wystarczy u dołu takich wiadomości znaleźć i kliknąć komunikat „usuń mój adres z listy mailingowej” – dopiero takie rozwiązanie pozwala skutecznie uwolnić się od niechcianych ogłoszeń. Ważne jest to, że – zgodnie z RODO – wycofanie zgody powinno być równie łatwe jak jej wyrażenie.
Prócz prawa do bycia zapomnianym warto pamiętać o tym, że RODO pozwala na stały dostęp do własnych danych. W dowolnym momencie można zwrócić się do firmy lub instytucji z wnioskiem o udostępnienie i wskazanie zakresu, w jakim są one wykorzystywane. Możemy także nasze dane zaktualizować, usunąć lub poprosić o ich przeniesienie do innej firmy.
Żyjąc w cyfrowym świecie, nie zawsze zdajemy sobie sprawę z tego, jak wiele informacji na nasz temat zostaje zebranych i zapisanych, np. podczas robienia zakupów w sieci. Podanie nawet najprostszych informacji, np. imienia, nazwiska, daty urodzenia lub adresu zamieszkania daje firmom możliwość profilowania, czyli zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu pozyskanych informacji do oceny czynników osobowych,np. naszej sytuacji ekonomicznej, stanu zdrowia, osobistych preferencji, zainteresowań, zachowania lub lokalizacji. To z kolei pozwala firmom stosować agresywny marketing, graniczący z manipulacją, polegający na dopasowywaniu ofert do naszych oczekiwań. Im więcej firma o nas wie, tym łatwiej będzie jej sprzedać nam swój produkt. RODO, chcąc ograniczyć takie nieuczciwe działania, wymusza pozyskanie zgody na profilowanie, a klient tę zgodę wyrazić może, ale wcale nie musi. Ważne, żeby był tego świadomy.
Zasada minimalizacji danych oraz zasada ograniczania celu to dwie z siedmiu podstawowych zasad przetwarzania danych, które w znaczący sposób zmieniają dotychczasowe przepisy. Dokładnie powinniśmy wiedzieć komu i do czego nasze dane osobowe są potrzebne, a cel musi być konkretny. Jeśli chcemy, np. dokonać zakupu na odległość jakiegoś produktu, to podamy swoje dane niezbędne do realizacji zamówienia, czyli imię i nazwisko oraz adres zamieszkania. Jeśli firma prócz tych informacji, poprosi o udostępnienie np. daty urodzenia, numeru PESEL, adresu mailowego, to po pierwsze, powinna zapytać o zgodę, po drugie, wskazać w jakim celu chce te dane pozyskać. Jest to ważne zwłaszcza, przy wypełnianiu różnego rodzaju formularzy, w których podajemy wiele informacji, nie zawsze niezbędnych do realizacji umowy. Dotyczy to niemal każdej sfery życia. Warto więc sprawdzać, jakie informacje na swój temat ujawniamy w Internecie, w urzędach, szpitalach, przychodniach, gabinetach itp. i czy na pewno musimy to robić.
RODO nakazuje zaprzestać przetwarzania danych w chwili, gdy cel, dla którego zostały zgromadzone – zostaje zrealizowany. Oznacza to, że jeśli podaliśmy swoje dane firmie X w celu wykonania konkretnego zadania i jednocześnie nie zgodziliśmy się na dalsze przetwarzanie, np. w celach marketingowych, to w chwili ustania celu, firma ze skutkiem natychmiastowym powinna usunąć dane ze swojej bazy. Gdyby jednak chciała nadal je przetwarzać lub przekazać pozyskane informacje innym podmiotom zewnętrznym, musi najpierw o tym poinformować i zapytać o zgodę.
Wiele firm zostanie zobligowanych do zatrudnienia od 25 maja 2018 roku Inspektorów Ochrony Danych – to jeden z wymogów narzuconych przez RODO. Jeśli więc pojawią się wątpliwości lub zastrzeżenia co do sposobu przetwarzania danych osobowych, będzie można zwrócić się z wnioskiem lub skargą właśnie do Inspektora Ochrony Danych. Każda z firm będzie musiała upublicznić kontakt z nim, np. poprzez strony www . Jeśli jednak dana firma nie będzie zatrudniać IOD-a, to wszelkie wnioski będzie można zgłaszać bezpośrednio do Administratora Danych Osobowych, czyli osoby zarządzającej instytucją. RODO wprowadza istotną zmianę w kwestii zgłaszania naruszeń ochrony danych – Administrator będzie musiał zgłosić taki incydent, np. utraty danych w wyniku zniszczenia, kradzieży, pożaru, ataku hakerskiego lub z innej przyczyny w ciągu 72 godzin i dodatkowo będzie musiał poinformować o tym fakcie właściciela danych.
Wskazane w artykule Rozporządzenie to dokument bezpośrednio obowiązujący w krajach Unii Europejskiej, co oznacza, że nie wymaga dodatkowych regulacji ze strony władz. Każde państwo musi jednak ustanowić instytucję, która będzie czuwać nad prawidłowym stosowaniem nowych przepisów i która określi zasady m.in. międzynarodowej współpracy w zakresie ochrony danych osobowych, dokonywania kontroli zgodności z RODO etc. W Polsce od lat taką instytucją jest Generalny Inspektor Ochrony Danych Osobowych (po 25-tym maja będzie to Prezes Urzędu Ochrony Danych Osobowych), którego popularność w ciągu ostatnich dwóch lat znacząco wzrosła wraz ze wzrostem świadomości Polaków na temat ich praw w zakresie ochrony danych.