RODO wprowadza bardzo istotne zmiany w stosunku do obecnie obowiązujących w Polsce przepisów o ochronie danych osobowych. W nowym modelu ochrony danych osobowych, na przedsiębiorcy będzie ciążył obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych aby przetwarzanie danych osobowych odbywało się zgodnie z nowymi przepisami.
Już na etapie projektowania systemu przedsiębiorca ma obowiązek uwzględniać zasady ochrony danych osobowych, czyli dobrać takie rozwiązania organizacyjne i techniczne, które zapewnią ochronę tych danych. Ponadto w ramach wprowadzonej przez RODO zasady tzw. privacy by default przedsiębiorca będzie musiał wprowadzić w swoich systemach informatycznych ochronę prywatności jako domyślne ustawienie systemów.
Generalnie Rozporządzenie nie określa wprost, jakie konkretnie zabezpieczenia, czy tez rozwiązania w zakresie ochrony danych osobowych mają być wprowadzone przez przedsiębiorców. Z jednej strony zatem przedsiębiorca będzie mieć wolną rękę w projektowaniu wewnętrznej struktury ochrony danych osobowych, z drugiej jednak strony przyjęte przez niego rozwiązania muszą być zgodne z zasadami ochrony danych osobowych wynikającymi z RODO. Rozporządzenie wprowadza bowiem zasadę „rozliczalności” administratora za przestrzeganie zasad ochrony danych osobowych.
Sprawdź: INFORLEX SUPERPREMIUM
Zgodnie z RODO, jeżeli przetwarzanie danych osobowych osoby fizycznej odbywa się na podstawie pisemnej zgody na przetwarzanie zawartej w oświadczeniu dotyczącym również innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
Osoba, która wyraziła zgodę na przetwarzanie swoich danych osobowych może w każdej chwili taką zgodę cofnąć, przy czym o prawie do cofnięcia zgody na przetwarzanie osoba fizyczna powinna zostać poinformowana przed wyrażeniem zgody. W praktyce oznacza to, że część przedsiębiorców, która obecnie przetwarza dane osobowe swoich klientów w oparciu o zgodę na przetwarzanie danych będzie musiała dostosować klauzule wyrażenia zgody na przetwarzanie danych osobowych do nowych wymagań wynikających z RODO, w szczególności poprzez zamieszczenie informacji o możliwości cofnięcia zgody na przetwarzanie w każdym czasie.
RODO wprowadza również prawo konsumenta do żądania usunięcia danych osobowych, czyli „prawo do bycia zapomnianym”. Osoba, której dane dotyczą będzie mieć prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator danych będzie zobowiązany niezwłocznie takie dane usunąć, jeżeli dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane.
Osoba której dane dotyczą będzie mieć również prawo do otrzymania od administratora danych osobowych jej dotyczących, jak również będzie mogła żądać aby administrator danych przesłał jej dane osobowe bezpośrednio innemu, wskazanemu przez nią administratorowi, o ile jest to technicznie możliwe.
Należy mieć na uwadze, że RODO wprowadza bardzo wysokie kary finansowe dla przedsiębiorców, którzy nie będą przestrzegać wymogów dotyczących ochrony danych osobowych wynikających z Rozporządzenia. Kary finansowe za naruszenie podstawowych zasad przetwarzania danych osobowych lub naruszenia praw osób, których dane są przetwarzane mogą wynieść nawet do 20.000.000 Euro, a w przypadku przedsiębiorstwa – do 4 % całkowitego rocznego obrotu. Niewątpliwie zatem w interesie przedsiębiorców jest dostosowanie swoich wewnętrznych procedur do zasad i wymogów dotyczących ochrony danych osobowych wynikających z RODO.
mec. Paweł Kowalski, radca prawny z Kancelarii Prawnej „Rachelski i Wspólnicy”