Ogólne rozporządzenie o ochronie danych (RODO, ang. GDPR) obowiązuje w Polsce od 25 maja 2018 roku jako bezpośrednio stosowany akt prawa unijnego. W połączeniu z krajową ustawą o ochronie danych osobowych (Dz.U. 2018 poz. 1000 z późn. zm.) tworzy ramy prawne regulujące, w jaki sposób firmy, urzędy i organizacje mogą zbierać, przechowywać i przetwarzać dane obywateli.
Co to są dane osobowe w rozumieniu RODO?
Dane osobowe to wszelkie informacje, które pozwalają bezpośrednio lub pośrednio zidentyfikować konkretną osobę fizyczną. Należą do nich:
- imię i nazwisko, adres zamieszkania, numer telefonu,
- adres e-mail (jeśli zawiera imię i nazwisko lub jest przypisany do konkretnej osoby),
- numer PESEL, numer dowodu osobistego,
- adres IP, identyfikatory urządzeń (w kontekście śledzenia w sieci),
- dane o lokalizacji, dane biometryczne (odcisk palca, zdjęcie twarzy).
Dane szczególnych kategorii (tzw. dane wrażliwe) – takie jak stan zdrowia, orientacja seksualna, przynależność etniczna, poglądy polityczne czy wyznanie – podlegają surowszym zasadom i mogą być przetwarzane wyłącznie na podstawie wyraźnej zgody lub w ściśle określonych przypadkach.
Twoje prawa wynikające z RODO
RODO przyznaje osobom fizycznym szereg konkretnych uprawnień wobec podmiotów przetwarzających ich dane.
Prawo dostępu do danych (art. 15 RODO)
Masz prawo zażądać od firmy lub instytucji informacji o tym, jakie Twoje dane posiada, w jakim celu je przetwarza, komu je udostępnia i jak długo planuje je przechowywać. Podmiot ma obowiązek odpowiedzieć w ciągu miesiąca od otrzymania żądania.
Prawo do sprostowania danych (art. 16 RODO)
Jeśli Twoje dane są nieprawidłowe lub niekompletne, możesz zażądać ich poprawienia. Dotyczy to np. błędnie zapisanego adresu w bazie sklepu internetowego lub nieaktualnego numeru telefonu w rejestrze pacjentów.
Prawo do usunięcia danych (art. 17 RODO)
Tzw. „prawo do bycia zapomnianym" pozwala żądać usunięcia danych, jeśli nie są już potrzebne do celów, dla których zostały zebrane, wycofałeś zgodę na przetwarzanie, lub dane są przetwarzane niezgodnie z prawem. Prawo to nie jest absolutne – firmy mogą odmówić, jeśli przetwarzanie jest konieczne np. do realizacji umowy lub spełnienia obowiązku prawnego (np. przechowywania faktur przez 5 lat).
Prawo do ograniczenia przetwarzania (art. 18 RODO)
W określonych sytuacjach możesz zażądać, aby firma „zamroziła" przetwarzanie Twoich danych – np. na czas rozpatrywania sprzeciwu dotyczącego ich przetwarzania lub weryfikacji prawidłowości danych.
Prawo sprzeciwu (art. 21 RODO)
Masz prawo sprzeciwić się przetwarzaniu Twoich danych w celach marketingu bezpośredniego – np. wysyłaniu newsletterów bez Twojej wyraźnej zgody. Po złożeniu sprzeciwu firma musi natychmiast zaprzestać takiego przetwarzania.
Jak złożyć wniosek? Żądania związane z prawami wynikającymi z RODO należy kierować bezpośrednio do administratora danych. Dane kontaktowe inspektora ochrony danych (IOD) powinny być podane w polityce prywatności serwisu. Pismo można złożyć elektronicznie (e-mail) lub tradycyjną pocztą. Firma ma 30 dni na odpowiedź (termin może być przedłużony o kolejne 2 miesiące w przypadku skomplikowanych wniosków).
Gdzie zgłosić naruszenie RODO?
Organem nadzorczym odpowiedzialnym za egzekwowanie przepisów o ochronie danych w Polsce jest Urząd Ochrony Danych Osobowych (UODO). Jeśli firma odmawia realizacji Twoich praw lub przetwarza dane bezprawnie, możesz złożyć skargę przez:
- formularz elektroniczny dostępny na stronie uodo.gov.pl,
- pisemnie na adres: ul. Stawki 2, 00-193 Warszawa.
UODO bada skargi i może nałożyć administracyjne kary finansowe na podmioty naruszające przepisy. Możesz też dochodzić roszczeń cywilnych przed sądem – RODO przewiduje prawo do odszkodowania za poniesione szkody.
Zgoda na przetwarzanie danych – co warto wiedzieć
Zgoda na przetwarzanie danych musi być świadoma, dobrowolna i jednoznaczna. Oznacza to, że:
- zgoda nie może być warunkiem skorzystania z usługi, jeśli przetwarzanie nie jest niezbędne do jej wykonania,
- checkboksy zgodne z RODO nie mogą być domyślnie zaznaczone,
- każdą zgodę można cofnąć w dowolnym momencie, bez konsekwencji dla osoby, która ją wycofała,
- zgoda na marketing musi być odrębna od zgody na inne czynności (np. realizację zamówienia).
Jeśli strona internetowa żąda podania danych, które nie są niezbędne do korzystania z serwisu – np. numeru telefonu przy rejestracji do newslettera – możesz odmówić ich podania lub zgłosić praktykę do UODO jako potencjalne naruszenie zasady minimalizacji danych.
Bezpieczeństwo danych u usługodawców
RODO nakłada na administratorów danych obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych chroniących dane. W praktyce oznacza to m.in. szyfrowanie danych, kontrolę dostępu, regularne tworzenie kopii zapasowych i testowanie procedur bezpieczeństwa. Jeśli firma, której powierzyłeś dane, padła ofiarą naruszenia (np. wycieku bazy danych), ma obowiązek poinformować o tym Ciebie i UODO, jeśli incydent stwarza ryzyko naruszenia Twoich praw.