Dnia 25 maja 2018 roku wymogi dotyczące ochrony danych osobowych uległy bardzo znaczącej zmianie. W życie weszło Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Uchyliło ono Dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Rozporządzenie to potocznie zwane jest rozporządzeniem ogólnym o ochronie danych osobowych, w skrócie RODO. Oryginalny dokument – GDPR (z ang. General Data Protections Regulation), objętościowo wynosi 88 stron A4[1], wprowadzająca to rozporządzenie polska ustawa składa się z 33 stron.[2] Z tych względów w tym artykule zostaną opisane jedynie wybrane aspekty powyższych aktów prawnych.
Wpływ RODO na strony i sklepy internetowe
Rozporządzenie ogólne o ochronie danych osobowych wpływa nie tylko na treści związane z regulaminami witryn internetowych, ale również określa ogólne wymogi dotyczące infrastruktury IT, a także zabezpieczenia danych osobowych w formie dokumentowej – np. umowy sporządzone na papierze. Administrator danych osobowych (w skrócie ADO) zgodnie z rozporządzeniem ma obowiązek uwzględnić ochronę danych osobowych już na etapie projektowania danego rozwiązania. Stąd bardzo ważne jest, aby podczas wyboru oprogramowania sklepu internetowego i jego rozwoju oraz doboru hostingu kierować się również wymogami dotyczącymi ochrony danych osobowych.
Nowe prawa związane z danymi osobowymi.
Rozporządzenie wprowadza konieczność przestrzegania praw dot. danych osobowych przez ich administratora:
Dostęp do danych osobowych
Łatwiejszy dostęp do danych. Każda osoba powinna mieć dostęp do danych, które jej dotyczą. Administrator danych osobowych na żądanie osoby, o której mowa, jest zobowiązany dostarczyć kopię takich danych. Jeżeli jest taka możliwość, administrator powinien zapewnić zdalny dostęp do danych, za pośrednictwem bezpiecznego systemu.
Przenoszenie danych osobowych
Prawo do przenoszenia danych osobowych. Administrator danych osobowych na żądanie osoby, której te dane dotyczą, musi przekazać dane bezpośrednio do innego wskazanego administratora, o ile przesłanie to, nie wymaga wprowadzania nowych, kompatybilnych z odbiorcą, systemów przetwarzania.
Prawo do bycia zapomnianym
Prawo do usunięcia danych potocznie zwane prawem do bycia zapomnianym. Osoba, której dane dotyczą może żądać od administratora danych, ich usunięcia. Administrator w takim przypadku ma obowiązek usunąć dane osobowe bez zbędnej zwłoki. Oczywiście usuniecie danych jest możliwe, jeżeli spełnione są pewne powody do ich usunięcia np. dane osobowe przestały być niezbędne do celów, do których zostały zebrane. Nie możliwe jest np. usunięcie danych, na żądanie właściwej osoby, która zaciągnęła kredyt w banku.
Obowiązek informacyjny
RODO nakłada również obowiązek informowania o wycieku danych, osób których one dotyczyły. Administrator danych osobowych powinien dokonać tego niezwłocznie, wymagane jest również poinformowanie Urzędu Ochrony Danych Osobowych w czasie mniejszym niż 72 godziny od zdarzenia.
Pseudonimiacja i anonimizacja danych
Pseudonimizacja i anonimizacja są to procesy przekształcania oraz późniejszego przechowywania, a także przetwarzania danych osobowych, w taki sposób, aby w przypadku kradzieży były bezwartościowe. Pseudonimizacja polega najczęściej na zapisaniu danych osobowych szyfrem, który możliwy jest do odkodowania wcześniej ustalonym kluczem. Anonimizacja to natomiast proces nieodwracalny, nadanie danym osobowym znaków, przez które żadnym sposobem nie można już zidentyfikować osoby fizycznej.[3]
Kliknij i przejdź do artykułu o prawach konsumenta.
[1] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679
[2] http://prawo.sejm.gov.pl/isap.nsf/download.xsp/WDU20180001000/O/D20181000.pdf
[3] http://blog.e-odo.pl/category/reforma-ochrony-danych-osobowych/anonimizacja-i-pseudonimizacja/