Od 25 maja we wszystkich krajach UE zacznie obowiązywać ogólne rozporządzenie o ochronie danych osobowych(RODO). Harmonizuje ono prawo ochrony tych danych w Europie. Ponieważ przepisy RODO nakładają na administratorów przetwarzających dane nowe obowiązki, Generalny Inspektor Ochrony Danych Osobowych rozpoczął konsultacje wykazu form przetwarzania danych.

Jak mówiła w środę dziennikarzom szefowa GIODO dr Edyta Bielak-Jomaa, administratorzy muszą m.in. zweryfikować zgody osób, których dane przetwarzają. "I odpowiedzieć sobie na pytanie, czy te zgody, na podstawie których przetwarzają dane, zachowują ważność pod rządami rozporządzenia, czy też nie i trzeba będzie wystąpić o nowe" - mówiła Bielak-Jomaa, która uczestniczyła w konferencji "Nowe zasady zabezpieczania danych osobowych, czyli RODO w praktyce" w Warszawie.

Konsultacje potrwają do 30 kwietnia. "Chcemy porozumieć się z administratorami, podmiotami przetwarzającymi dane po to, aby mogli wyrazić swoje uwagi i opinie" - powiedziała.

Reklama

W przygotowanym dokumencie wymieniono różne sytuacje, w których dochodzi do przetwarzania danych. Są to m.in. profilowanie użytkowników portali społecznościowych, ocena zdolności kredytowej w bankach, zakupy w sklepach internetowych, przetwarzania danych biometrycznych klientów lub pracowników. Zgodnie z unijnym przepisami trzeba wtedy ocenić, czy użyte technologie i zakres danych nie rodzą ryzyka naruszenia praw i wolności osób.

Bielak-Jomaa zaznaczyła, że po 25 maja, kiedy zacznie obowiązywać RODO, urząd ni będzie prowadził zwiększonych kontroli administratorów danych. "Przewidujemy normalne działania po 25 maja. Jednym z instrumentów, jakie GIODO dostaje, jest możliwość nakładania kar, ale nie oznacza to, że od razu będziemy karać. Jeżeli będzie konieczność nałożenia kar, to będziemy je nakładać, jeśli uznamy, że trzeba przeprowadzić kontrole, to taką kontrolę przeprowadzimy. Po prostu będziemy korzystać ze wszystkich uprawnień" - dodała.

Reklama

Jak tłumaczyła, RODO zmienia "podejście i patrzenie na ochronę danych osobowych". "System ochrony danych osobowych dzięki RODO z poziomu krajowego systemu przenosi się na poziom europejski. Oznacza to, że obywatel polski, którego dane zostaną naruszone na przykład we Francji, będzie mógł złożyć skargę do polskiego GIODO, a ten skontaktuje się ze swoim francuskim odpowiednikiem" - powiedziała. Obecnie taką skargę trzeba złożyć we Francji.

"To jest wyjście do obywateli UE, ułatwienie, ujednolicenie i zharmonizowanie przepisów" - dodała.

Dostosowaniu polskich przepisów do RODO ma służyć przyjęty we wtorek przez rząd projekt ustawy o ochronie danych osobowych. Jak podkreśliła Bielak-Jomaa, jest on konieczny do tego, aby prawidłowo stosować RODO. Bielak-Jomaa krytycznie oceniła zaproponowaną w projekcie zmianę nazwy urzędu - Prezesa Urzędu Ochrony Danych Osobowych(PUODO), który zastąpi Generalnego Inspektora Ochrony Danych Osobowych.

"Nie przekonuje mnie konieczność zmiany nazwy urzędu. Nie jest ona merytorycznie uzasadniona, a będzie to generować ogromne koszty nie tylko finansowe, ale ogromne koszty, jeśli chodzi o rozpoznawalność urzędu, który zajmuje się ochroną danych osobowych" - podkreśliła.

W przyjętym przez rząd projekcie ustawy zaproponowano zniesienie dotychczasowej dwuinstancyjności postępowania w sprawach o naruszenie przepisów o ochronie danych osobowych. Kontrola organu w sprawie naruszeń przepisów o ochronie danych nie będzie mogła trwać dłużej niż miesiąc.

Projekt przewiduje także, że PUODO będzie powoływany przez Sejm za zgodą Senatu. Będzie go można odwołać przed końcem kadencji tylko w wyjątkowych przypadkach (umyślne przestępstwo lub umyślne przestępstwo skarbowe stwierdzone prawomocnym wyrokiem sądu). Wzmocnieniu jego pozycji ma służyć prawo do samodzielnego nadawania sobie statutu i możliwość korzystania podczas kontroli z pomocy funkcjonariuszy innych organów kontroli państwowej lub policji. Prezes będzie wydawał rekomendacje dotyczące zabezpieczenia danych osobowych. Każdy podmiot będzie musiał jednak sam ocenić ryzyko związane z wyciekiem tych danych i zastosować odpowiednie środki zabezpieczające. W projekcie zapisano również ustanowienie certyfikacji w dziedzinie ochrony danych osobowych.

RODO zakłada m.in. prawo do bycia zapomnianym, czyli możliwości usunięcia, również z internetu, informacji na swój temat, jeśli nie są prawdziwe lub są obraźliwe, prawo do przenoszenia danych – będzie można zażądać, aby każdy urząd albo bank, które mają nasze dane, przekazał je innemu urzędowi lub bankowi. Unijne przepisy nakładają także obowiązek powiadomienia o wycieku danych osobowych. Stanowią również, że przetwarzanie danych będzie możliwe za wyraźną zgodą tego, kogo dotyczą.

RODO przewiduje kary za naruszenie prawa do ochrony danych - do 20 mln euro lub 4 proc. całego obrotu firmy.(PAP)

autor: Krzysztof Markowski