W 2018 roku we wspólnotowym porządku prawnym zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku o ochronie danych osobowych (dalej jako: „RODO” lub „Rozporządzenie” lub „RODO”). Forma powyższego aktu prawnego jako rozporządzenia determinuje jego bezpośrednie stosowanie przez państwa członkowskie Unii Europejskiej.
Oznacza to, że co do zasady jego przepisy muszą być przestrzegane bez konieczności uprzedniej ich implementacji do krajowego prawodawstwa. Nie oznacza to jednak, że Rozporządzenie nie będzie miało wpływu na kształt krajowych przepisów o ochronie danych osobowych. Na stronie Rządowego Centrum Legislacji dostępny jest projekt nowej ustawy o ochronie danych osobowych uwzględniający takie zagadnienia jak: pozycja ustrojowa organu nadzorczego, zasady podejmowania przez niego czynności czy kary za nieprzestrzeganie nowych przepisów.
 

WARTO WIEDZIEĆ

Każda osoba, której informacje są przetwarzane, będzie uprawniona do domagania się usunięcia swoich danych osobowych z danego systemu. Żądanie takie wiąże także administratora przechowującego dane, o ile spełnione są wymienione w Rozporządzeniu przesłanki.
 

Co dla praktyki polskiego obrotu prawnego oznacza wejście w życie RODO?

Odpowiedzialność za naruszenie przepisów o ochronie danych osobowych

Podmioty zajmujące się przetwarzaniem danych osobowych jako formą świadczenia usług, np. przedsiębiorcy zajmujący się internetowymi bazami danych, będą odpowiadać bezpośrednio za wszelkie naruszenia związane z ochroną danych osobowych. W praktyce może to oznaczać kary finansowe lub inne sankcje za powyższe działania. Zgodnie z art. 82 RODO skargę może wnieść każda osoba, która poniosła szkodę w wyniku nieuprawnionego przetwarzania jej danych. Roszczenie takie kieruje się przeciwko administratorowi lub podmiotowi przetwarzającemu dane.
 

Prawo do bycia zapomnianym

Każda osoba, której dane osobowe są przetwarzane, będzie uprawniona do domagania się niezwłocznego usunięcia swoich danych osobowych. Żądanie takie wiąże administratora danych, o ile spełnione są przesłanki wskazane w Rozporządzeniu. Należą do nich m.in. wygaśnięcie przyczyny do gromadzenia informacji, cofnięcie niezbędnej zgody przez osobę, której dane dotyczą czy przetwarzanie danych w sposób sprzeczny z prawem (zob. art. 17 RODO). Co więcej, rozszerzone zostanie prawo do żądania sprostowania przetwarzanych danych.
 

Prawo dostępu do informacji

Osobie, której dane dotyczą, przysługiwać będą uprawnienia związane z dostępem do swoich danych osobowych. Podmiot przetwarzający ww. dane zobowiązany będzie, na żądanie osoby, której dane dotyczą, udzielić wszelkich wyjaśnień m.in. co do celu przetwarzania, kategoryzacji danych, informacji o odbiorcach oraz planowanym okresie przetwarzania danych osobowych.
Co więcej, osoba której dotyczą przetwarzane dane, będzie mogła domagać się wydania kopii danych osobowych podlegających przetwarzaniu przez administratora.
 

Prawo do sprzeciwu

Przepisy Rozporządzenia przewidują możliwość wniesienia sprzeciwu przez osobę, której dane dotyczą. Po skorzystaniu z omawianego uprawnienia, administrator będzie zobowiązany zaprzestać przetwarzania danych osobowych, chyba że wykaże uzasadniony powód, dla którego dalsze przechowywanie danych byłoby konieczne. Podmioty gromadzące informacje o konkretnych osobach na potrzeby marketingu bezpośredniego nie będą uprawnione do odmowy spełnienia powyższego żądania.
Dodatkowo, podmioty przetwarzające dane mają obowiązek poinformować odpowiednią osobę o przysługującym jej prawie do sprzeciwu (zob. art. 21 RODO).
 

Porada praktyczna

Każdy powinien zapoznać się z nowymi przepisami Rozporządzenia oraz śledzić planowane zmiany, tak aby dopełnić obowiązków, które wynikają z nowych aktów normatywnych. Szczególnie istotne są one dla osób, których dane są przetwarzane wbrew ich woli oraz administratorów poszczególnych baz.
 

Podsumowanie

Nowe unormowania w związku z ochroną danych osobowych zwiększają odpowiedzialność podmiotów przetwarzających ww. dane oraz umożliwiają osobom, których dane podlegają przetwarzaniu, skuteczniejsze dochodzenie roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych. Jak wynika z treści Rozporządzenia oraz komunikatów Ministerstwa Cyfryzacji, planowane zmiany przewidują powstanie odpowiednich organów nadzoru nad podmiotami przetwarzającymi dane osobowe oraz ścisłą kontrolę przestrzegania prawa ochrony danych osobowych.
 

Podstawa:

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
2. Ministerstwo Cyfryzacji: Nowe prawo ochrony danych osobowych