25 maja weszło w życie unijne rozporządzenie, które precyzyjnie określa zasady ochrony danych osobowych. Nakłada ono szereg obowiązków dotyczących zarządzania bezpieczeństwem przetwarzanych danych, głównie na przedsiębiorców. Co jednak zmieniło się w życiu zwykłego obywatela?
W pierwszej kolejności należy ustalić jakiego rodzaju dane są przedmiotem nowych regulacji. Większość Kowalskich nie ma problemu z zakwalifikowaniem do tej kategorii takich danych jak: imię i nazwisko, adres, numer PESEL, numer NIP, które danymi osobowymi są bezspornie. Jednakże, art. 6 ustawy o ochronie danych osobowych definiuje to pojęcie znacznie szerzej. Danymi osobowymi, zgodnie z ustawą, są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Zatem są to dane konkretnej osoby o zidentyfikowanej tożsamości bądź osoby której tożsamość można ustalić na podstawie zgromadzonych informacji. Wobec tak ogólnej definicji do danych osobowych należy zaliczyć również dane pozajęzykowe, jak np. obraz, dźwięk, odciski palców, informacja o kodzie genetycznym, oraz inne które pozwalają na dokonanie na ich podstawie identyfikacji osoby fizycznej. Niemniej, najistotniejsze znaczenie w świetle ustawy o ochronie danych osobowych mają informacje językowe.
Kolejnym problemem, jaki większość Kowalskich napotyka w styczności z przepisami dotyczącymi ochrony danych osobowych, to zagadnienie przetwarzania tych danych. Pewnie z racji tego, iż definicja przetwarzania wykracza nieco poza językowy zakres tego pojęcia. Zgodnie z definicją zawartą w ustawie o ochronie danych osobowych przetwarzanie danych osobowych oznacza jakiekolwiek operacje na nich wykonywane. Do operacji tych zalicza się miedzy innymi ich: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, a nawet usuwanie. Najogólniej rzecz ujmując, przetwarzaniem danych osobowych są wszelkie czynności, począwszy od ich zbierania, a skończywszy na ich usunięciu.
Przyswojenie tych dwóch pojęć jest kluczowe aby móc skutecznie wdrożyć system ochrony danych w firmie, bądź instytucji. Przydatne może być także osobom, które jako klienci, bądź petenci, realizować by chcieli swoje uprawnienia z nowych przepisów wynikających. W pierwszym przypadku, pracodawca bądź wyznaczona przez niego osoba, prowadzi szkolenia, które są integralnym elementem wdrażania RODO. Niestety, większość obywateli szkolenia tego typu z różnych przyczyn ominą. Dlatego w artykule niniejszym zamieszczone zostaną główne uprawnienia, z których korzystać może zwykły Kowalski w odniesieniu do praw przysługujących mu w zakresie ochrony jego danych osobowych.
Najważniejszym uprawnieniem, o którym każdy obywatel powinien wiedzieć, jest możliwość wglądu w to, które z jego danych są wykorzystywane, w jakim zakresie, celu oraz przez kogo są przetwarzane. Administrator danych będzie zobowiązany udzielić zainteresowanemu tych wszystkich informacji, a także na wyraźne życzenie poprawić lub uzupełnić te dane.
Jeśli osoba, której dane osobowe są przetwarzane, zażyczy sobie zaprzestania ich przetwarzania, może skorzystać z prawa do bycia zapomnianym. Wtedy administrator będzie musiał te dane usunąć. Oczywiście praktyka nasuwa tu szereg ograniczeń. Niektóre dane muszą być przechowywane, co wynika z innych ustaw. Przykładem mogą być dane księgowe, pracownicze, dowody księgowe, czy bilingi telekomunikacyjne. Jednakże, jeśli wycofamy zgodę na przetwarzanie naszych danych, to nie będą one mogły być użyte do niczego poza byciem zarchiwizowanymi w celu sprecyzowanym konkretną ustawą.
Możemy zażądać także przeniesienia naszych danych do innej instytucji. Przykładem może być sytuacja, w której składamy wniosek kredytowy do banku i uzyskamy decyzję odmowną. Mamy wtedy prawo zażądać, aby dane osobowe, zawarte w tym wniosku, zostały przekazane do innego banku, który być może inaczej się do naszego wniosku ustosunkuje. Jeśli jednak zażądamy przeniesienia wszystkich danych osobowych gromadzonych przez lata na którymś z serwisów społecznościowych do innego serwisu, to możemy spotkać się z brakiem technicznych możliwości aby tego dokonać.
Szpitale i przychodnie również muszą zastosować odpowiednie procedury, aby uchronić nasze dane osobowe. Bowiem nie każdy chce, aby inni ludzie wiedzieli do jakiego specjalisty chodzi, bądź na co się leczy. Powszechna do niedawna praktyka wzywania pacjentów po imieniu i nazwisku jest obecnie niedopuszczalna. Zalecaną przez Urząd Ochrony Danych Osobowych formą anonimizacji, czyli ukrycia danych osobowych, jest numerowanie pacjentów. Nie wszędzie jednak udało się wdrożyć to rozwiązanie. Niedopuszczalne także jest trzymanie na widoku kart pacjentów, które z reguły leżały na stole lekarza w kolejności przyjmowania. Stan zdrowia jest bowiem daną wrażliwą i jako takiej przysługuje jej wyjątkowa ochrona.
W zakładzie pracy informacje o stanie zdrowia, czyli np. treść zwolnienia lekarskiego, nie może być przekazana nikomu poza działem kadr, który nie może podać pozostałym pracownikom powodu naszej nieobecności. Chyba że wcześniej udzielimy na to zgody.
Podobnej ochrony możemy się domagać dla informacji o swoich poglądach politycznych, przekonaniach religijnych i światopoglądowych, karalności, preferencjach seksualnych, pochodzeniu rasowym bądź etnicznym. Są to dane wrażliwe, których przetwarzanie wymaga spełnienia dodatkowych warunków.
Co zrobić w przypadku gdy dojdzie do naruszenia naszych praw w zakresie ochrony danych osobowych? Przysługuje nam prawo do złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych, która może finalnie zakończyć się nałożeniem kary. Jej nałożenie nie wyklucza także dochodzenia odszkodowania na drodze cywilnej.
Za złamanie obowiązujących przepisów regulujących ochronę danych osobowych grożą sankcje o charakterze karnym, administracyjnoprawnym, jak i cywilnoprawnym. Za niedopuszczalne lub nieuprawnione przetwarzanie danych zwykłych grozi do 2 lat pozbawienia wolności, natomiast w odniesieniu do katalogu zamkniętego danych wrażliwych nawet do 3 lat. RODO, choć nie zawiera przepisów karnych, budzi respekt ze względu na wysokość kar finansowych, które w przypadku przedsiębiorców mogą wynieść 2% bądź 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Górna granica kary wyznaczona w rozporządzeniu to 20 mln EUR. Na podmioty publiczne, takie jak NFZ, urzędy czy szkoły, Prezes UODO może nałożyć, w drodze decyzji, administracyjnej kary pieniężne w wysokości do 100 000 zł.
Odpowiedzialność cywilna przejawia się w tej kwestii podobnie, jak w wielu innych. Każda osoba, której prawa przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone, może żądać, aby podmiot, który dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków.
Podmiot, który gromadzi nasze dane osobowe, ma obowiązek poinformować nas o każdym przypadku, kiedy te dane wyciekną lub w jakiś sposób dojdzie do naruszenia naszej prywatności. Będzie musiał także poinformować o takim wycieku odpowiedni organ nadzorczy.
Dyskusję w serwisach branżowych i społecznościowych zdominowały kwestie dostosowania procedur zarządzania danymi w przedsiębiorstwach i tym samym przysłoniły nam głównego beneficjenta nowych przepisów. Celem RODO jest przede wszystkim ochrona zwykłego Jana Kowalskiego przed wykorzystywaniem jego danych osobowych przeciwko niemu.
Paweł Rodziewicz Wersja archiwalna wpisu dostępna pod adresem: http://razemztoba.pl/beta/index.php?NS=srodek_new_&nrartyk= 18432
