W praktyce oznacza to, że polskie firmy, instytucje, ośrodki medyczne, placówki publiczne lub inne podmioty przetwarzające dane osobowe mają obowiązek dostosować i wdrożyć nowe przepisy, celem których jest ochrona interesów osób prywatnych.
Dane osobowe to wszelkiego rodzaju informacje, dzięki którym w sposób bezpośredni lub pośredni można zidentyfikować osobę. Dzieli się je na dwie grupy.
Pierwsza z nich, to dane zwykłe, np. imię i nazwisko, numer PESEL, adres zamieszkania, dane o lokalizacji, adres IP komputera, natomiast druga, to dane szczególnych kategorii, np. pochodzenie rasowe, poglądy religijne i polityczne, dane biometryczne czy dane na temat stanu zdrowia, których nie powinno się przetwarzać. Wyjątek stanowią sytuacje, gdy przepisy prawa stanowią inaczej.
Najważniejsze zmiany
RODO wprowadza szereg regulacji, które muszą znaleźć swoje zastosowanie w procesie przetwarzania danych osobowych, ponieważ ich brak grozi poważnymi karami finansowymi, mogącymi sięgać nawet 20 milionów euro. Każda firma ma obowiązek poinformować właściciela danych osobowych o tym, kto tymi danymi zarządza, czyli kto jest administratorem danych osobowych, w jakim celu są one przetwarzane i przez jaki okres czasu. Ważne jest też to, skąd te dane zostały pozyskane i na jakiej podstawie się z nich korzysta – czy na mocy prawa, czy za zgodą właściciela.
Bardzo istotna staje się tu kwestia wyrażania zgody na przetwarzanie danych osobowych – ma być ona jednoznaczna i oczywista, a osoba, która taką zgodę wyraża, powinna być w pełni świadoma tego, na co się decyduje. W praktyce oznacza to koniec długich, napisanych zawiłym językiem regulaminów na rzecz obowiązku informacyjnego, polegającego na przekazaniu informacji dotyczących przetwarzania danych osobowych w sposób zwięzły i zrozumiały dla każdego.
Prawo do bycia zapomnianym
Chcąc uniknąć natarczywych reklam w postaci np. kontaktu telefonicznego lub mailowego, można skorzystać do tzw. prawa do bycia zapomnianym. W praktyce oznacza to, że jeśli zadzwoni do nas konsultant firmy X z ofertą, a my mamy dosyć takich telefonów, możemy zażądać usunięcia naszych danych osobowych z bazy firmy i konsultant powinien to uczynić w trybie natychmiastowym. Co więcej, informacje na nasz temat powinny zniknąć również z każdej innej bazy danych, jeśli wspomniana firma X wcześniej przekazała je podmiotom trzecim.
Ta sama sytuacja dotyczy, męczących niekiedy, reklam wysyłanych na prywatne skrzynki mailowe. Wystarczy u dołu takich wiadomości znaleźć i kliknąć komunikat "usuń mój adres z listy mailingowej" – dopiero takie rozwiązanie pozwala skutecznie uwolnić się od niechcianych ogłoszeń. Ważne jest to, że – zgodnie z RODO – wycofanie zgody powinno być równie łatwe jak jej wyrażenie.
Prócz prawa do bycia zapomnianym warto pamiętać o tym, że RODO pozwala na stały dostęp do własnych danych. W dowolnym momencie można zwrócić się do firmy lub instytucji z wnioskiem o udostępnienie i wskazanie zakresu, w jakim są one wykorzystywane. Możemy także nasze dane zaktualizować, usunąć lub poprosić o ich przeniesienie do innej firmy.
Zgoda na profilowanie
Żyjąc w cyfrowym świecie, nie zawsze zdajemy sobie sprawę z tego, jak wiele informacji na nasz temat zostaje zebranych i zapisanych, np. podczas robienia zakupów w sieci. Podanie nawet najprostszych informacji, np. imienia, nazwiska, daty urodzenia lub adresu zamieszkania daje firmom możliwość profilowania, czyli zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu pozyskanych informacji do oceny czynników osobowych, np. naszej sytuacji ekonomicznej, stanu zdrowia, osobistych preferencji, zainteresowań, zachowania lub lokalizacji.
To z kolei pozwala firmom stosować agresywny marketing, graniczący z manipulacją, polegający na dopasowywaniu ofert do naszych oczekiwań. Im więcej firma o nas wie, tym łatwiej będzie jej sprzedać nam swój produkt. RODO, chcąc ograniczyć takie nieuczciwe działania, wymusza pozyskanie zgody na profilowanie, a klient tę zgodę wyrazić może, ale wcale nie musi. Ważne, żeby był tego świadomy.
Minimalizacja danych i konkretny cel
Zasada minimalizacji danych oraz zasada ograniczania celu to dwie z siedmiu podstawowych zasad przetwarzania danych, które w znaczący sposób zmieniają dotychczasowe przepisy. Dokładnie powinniśmy wiedzieć, komu i do czego nasze dane osobowe są potrzebne, a cel musi być konkretny.
