Za niespełna półtora roku zaczną być stosowane nowe unijne przepisy dotyczące danych osobowych. Firmy muszą się liczyć z nowymi obowiązkami. Za niewywiązanie się z nich grożą duże kary finansowe. Zmiany odczują również konsumenci, którzy uzyskają prawo do przenoszenia danych, ograniczenia profilowania, prawo do bycia zapomniany i szerszej informacji o tym, jak przetwarzane są ich dane. Zgody na przetwarzanie danych osobowych w internecie będą mogły udzielać samodzielnie również dzieci, które ukończyły 16 rok życia. Tę granicę w krajowej ustawie można obniżyć do 13 lat.
– Nowe przepisy, które będą obowiązywały od maja 2018 roku, wprowadzają pewne modyfikacje do obecnie obowiązującej ustawy o ochronie danych osobowych. Zmieniają się zasady uzyskiwania zgody na przetwarzanie tych danych. Jest też dużo nowych obowiązków nałożonych na administratorów – mówi agencji Newseria Biznes dr Dominik Lubasz, radca prawny z Kancelarii Lubasz i Wspólnicy.
Za półtora roku (dokładnie 25 maja przyszłego roku) wejdzie w życie unijne rozporządzenie RODO dotyczące ochrony danych osobowych. Nowa regulacja ma ujednolicić przepisy we wszystkich 28 państwach członkowskich Unii Europejskiej. Z jednej strony zwiększy ono kontrolę konsumentów nad ich danymi osobowymi, a z drugiej – nałoży szereg nowych obowiązków na firmy.
Jedną z kluczowych zmian, które wprowadza rozporządzenie RODO, jest obowiązek zadbania o ochronę danych osobowych już na etapie projektowania wdrażanych rozwiązań związanych z przetwarzaniem danych, np. aplikacji, portali internetowych, w tym społecznościowych, organizowania konkursów itp. Administratorzy będą musieli wdrożyć właściwe rozwiązania techniczne i organizacyjne, które zagwarantują odpowiedni poziom bezpieczeństwa danych.
– Administrator danych osobowych musi zweryfikować ryzyko związane z przetwarzaniem danych osobowych i stosownie do tego ryzyka wdrożyć odpowiednie rozwiązania. Może to być szyfrowanie, backupowanie danych albo rozwiązania pseudonimizacyjne, a zatem pozbawiające danych pewnych cech wewnętrznych do celów operacyjnych, tak by nie można było ich przypisać określonej osobie bez użycia dodatkowych informacji. Administrator musi podjąć decyzję dotyczącą zabezpieczeń i to on odpowiada za błąd w tejże decyzji – mówi Dominik Lubasz.
Zgodnie z nowymi przepisami nasze dane mają być chronione w sposób domyślny („by default”), co oznacza, że ustawienia dostępności naszych danych, zakresu, czasu czy ich ilości zbieranej przez firmy wiedzy muszą być domyślnie ustawione na minimum, które jest wyznaczane przez ograniczony przesłankę niezbędności do osiągnięcia celu przetwarzania. Firmy i programiści będą musieli uwzględnić ten przepis zwłaszcza przy tworzeniu nowych produktów i usług.
– Domyślna ochrona danych i ochrona danych w fazie projektowania to dwa zespolone ze sobą obowiązki. Mają dać impuls do tego, aby administratorzy danych zrozumieli, że już w fazie kreacji rozwiązań, opracowywania nowej aplikacji internetowej czy mobilnej trzeba uwzględnić ochronę danych. Potem, w trakcie użytkowania tej aplikacji, trzeba zadbać, aby dane klienta były w odpowiedni sposób zabezpieczone, aż do zakończenia współpracy – wyjaśnia radca prawny z Kancelarii Lubasz i Wspólnicy.
