Nowe prawa podmiotów danych osobowych

Dodano: 04-05-2016

W dniu 8 kwietnia 2016 roku Rada Unii Europejskiej przyjęła Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) oraz Dyrektywę w sprawie ochrony danych osobowych przetwarzanych na potrzeby ścigania przestępstw. W dniu 14 kwietnia 2016 roku Rozporządzenie i Dyrektywa zostały przyjęte przez Parlament Europejski. Polska ma dwa lata na dostosowanie swego prawa do nowych unijnych regulacji.

W rozporządzeniu skupiono się przede wszystkim na aktualizacji zasad i praw mających na celu lepszą ochronę danych osób fizycznych oraz nowych wytycznych dla administratorów danych. Rozporządzenie wprowadziło nową definicję danych osobowych. W porównaniu z definicją zawartą w ustawie o ochronie danych osobowych, dokonano rozszerzenia m. in. o identyfikatory on-line rozumiane jako: adresy internetowe protokołów, identyfikatory plików cookie, a nawet znaczniki identyfikacji radiowej RFID. Nowe obowiązki spoczywające na administratorach danych obejmują przede wszystkim przekazywanie osobom fizycznych informacji o przetwarzaniu danych w sposób przejrzysty tak, aby właściciele danych byli świadomi zagrożeń, zasad, gwarancji i praw oraz potrafili z nich korzystać.

Nowe rozporządzenie będzie także wymuszało na administratorach danych zapewnienie łatwego dostępu do danych osobowych ich właścicieli celem weryfikacji zgodności ich przetwarzania z obowiązującym prawem. Administrator na żądanie osoby fizycznych będzie zobowiązany przedstawić informacje o celu przetwarzania, okresie, w którym następuje przetworzenie, odbiorcach, kategoriach danych, prawach podmiotu danych, zasadach stosowanych w automatycznym ich przetwarzaniu, źródle pochodzenia danych oraz ewentualnych konsekwencjach profilowania. Twórcy rozporządzenia zawarli w nich również regulację, że, o ile pozwalają na to systemy informatyczne, podmiot danych może mieć wgląd do swoich danych oraz żądać ich poprawienia, jeśli są niepełne lub zawierają błędne informacje.

Ponadto, art. 17 ww. rozporządzenia wprowadza prawo do bycia zapomnianych, szczególnie odnosi się to do internetowych baz danych, a więc usunięcia z baz wszystkich informacji o danym podmiocie (kopii, linków). Podobnie działa prawo do ograniczenia przetwarzania danych osobowych, z tym, że prawo to może zostać cofnięte za zgodą podmiotu lub w innych, wyjątkowych sytuacjach.

W sposób szczególny w rozporządzeniu potraktowano prawo sprzeciwu wobec przetwarzania danych osobowych. Informacja o możliwości sprzeciwu powinna zostać przedstawiona podmiotowi danych w sposób jasny, wyraźny i wyróżniający się od innych informacji. Wykazanie sprzeciwu oznacza całkowity zakaz przetwarzania danych. Z drugiej strony podmiot będzie mógł żądać od administratora przekazania swoich danych innemu administratorowi. Rozporządzenie przewiduje, że, aby przekazanie to nastąpiło, muszą zostać spełnione przesłanki o zgodzie lub umowie oraz zautomatyzowanym przetwarzaniu i zastosowaniu odpowiedniej formy zapisu danych.

Podsumowując, administrator danych w zależności od posiadających możliwości technicznych, kosztów i sytuacji powinien dążyć do zapewnia zasad ochrony danych osobowych oraz regulacji określonych ww. rozporządzeniu poprzez wdrożenie odpowiednich środków technicznych, organizacyjnych, np. pseudonimizacji. Rozporządzenie zakłada minimalizację przetwarzania danych osobowych, jedynie jeśli jest to niezbędne do realizacji określonego celu w zakresie ich ilości, zakresie i dostępności.   

wstecz