Jan Kowalski i RODO. Klient ma nowe prawa

Po kilku latach intensywnych prac nad RODO (europejską reformą ochrony danych osobowych), 25 maja br. zacznie obowiązywać rozporządzenie w tym temacie. Jest on tyleż wrażliwy, co iinteresujący, bo dotyczy wszystkich użytkowników korzystających z sieci. Również i tych, którzy dokonują zakupów przez internet.

Jan Kowalski i jego prawo do informacji

Nieustannie słyszy się o kradzieży danych osobowych, o posługiwaniu się nimi bez zgody osoby, której dotyczą. Nagminnie mnożą się przypadki sprzedaży danych innym podmiotom. Podobno użytkownik wyraził na takie działanie zgodę, ale w praktyce, wielokrotnie był do takich czynności zmuszany. Inaczej nie mógłby zawrzeć umowy, albo zrobić zakupów w niejednym sklepie internetowym. Celowo nie wspominamy nawet o fakcie, że ktoś, kto żądał usunięcia swoich danych osobowych, lub wzywał do zaprzestania ich przetwarzania – nierzadko był zbywany ironicznym uśmieszkiem. Teraz możemy odetchnąć z ulgą, bo widać zmiany i to daleko idące. RODO przewiduje na przykład, że administrator będzie zmuszony usunąć dane osobowe w każdym przypadku, kiedy ich przetwarzanie nie będzie już niezbędne do celów, dla których zostały zebrane lub były przetwarzane, kiedy cofniemy naszą zgodę na przetwarzanie, lub jeśli dane osobowe były przetwarzane niegodnie z prawem. To naprawdę wygodne przepisy, pozwalające zachować kontrolę nad tym kto i w jakim celu operuje naszymi danymi. W tym kontekście jednak jest i mały haczyk.

Prawo do usuwania danych – zalecamy ostrożność!

W temacie uprawnienia do usuwania własnych danych, jakie daje RODO, zalecamy daleko idącą ostrożność. Korzystanie z tegoż prawa bez refleksji, może bowiem rodzić poważne konsekwencje. A w przypadku handlu elektronicznego te mogą być dość przykre. Podjęta decyzja o usunięciu danych osobowych jest bezpowrotna, co oznacza usunięcie z systemu wszystkich informacji – włącznie z np. przypisanymi rabatami, kuponami promocyjnymi, itd.

- Parlament Europejski i nasz ustawodawca słusznie zajęli się tak ważnym zagadnieniem, jak ochrona danych osobowych. - komentuje Robert Strzelecki - Po lekturze dokumentu źródłowego odnoszę wrażenie, że niestety nowe zasady nie nadążają za zmianami w globalnym świecie i za rozwojem społeczeństwa informatycznego. Otóż, w przedmiotowych dokumentach oprócz nakazów i zakazów nie wspomina się o tym, że np. konsument wydając dyspozycję usunięcia swoich danych osobowych z danej bazy utraci bezpowrotnie swoje przywileje z tymi danymi powiązane, np. rabaty. Niestety w Rozporządzeniu Ogólnym o Ochronie Danych Osobowych nikt takiego przypadku nie przewidział.

Prawo do przenoszenia danych

Nowe przepisy mówią też np., że gdy przetwarzanie naszych danych osobowych odbywa się na podstawie naszej zgody lub jest niezbędne do wykonania umowy, której jesteśmy stroną, możemy skorzystać ze wskazanego uprawnienia. Na jego podstawie możemy zażądać od administratora danych, by przekazał nam nasze dane osobowe, które następnie będziemy mogli przekazać innemu administratorowi. Na mocy nowego prawa, stary administrator będzie mógł sam dokonać takiego przeniesienia danych, kiedy o to zawnioskujemy. Przykład: zmieniamy określonego usługodawcę, a nowy potrzebuje naszych danych osobowych. Nie musimy sami szukać tych danych. Wystarczy, że skorzystamy z przedstawionego prawa do przenoszenia danych. Inny przykład: zmieniając placówkę medyczną. Możemy żądać, żeby obecny podmiot przetwarzający nasze dane wygenerował plik ze wszystkimi naszymi danymi osobowymi i przekazał go nam. Sami doręczamy plik danych nowej placówce, a stary administrator usuwa dane ze swoich nośników, na których je przechowuje. Administrator danych będzie miał również obowiązek udzielenia wszelkich informacji na temat danych osobowych osobie, której te dane dotyczą. W przypadku złożenia zapytania przez tę osobę, powstanie obowiązek udzielenia odpowiedzi na zadane pytanie w terminie miesiąca.

Odszkodowanie od Facebooka?

Nowe prawo ochrony danych osobowych (RODO) przyznaje prawo (art. 82) do odszkodowania za krzywdę materialną i niematerialną. To o tyle ważne, że przecież nieustannie dochodzi do nieprawidłowego przetwarzania danych, ale też do sytuacji kiedy przetwarzania danych dokonują nieuprawnione podmioty, czy też nasze dane udostępnianie są nieuprawnionym osobom lub podmiotom. W takim działaniu brylują serwisy społecznościowe. Choćby Facebook'a oskarżono o naruszenie przepisów, polegające m.in. na zbieraniu danych na temat orientacji seksualnej, na temat poglądów politycznych i religijnych bez wyraźnej zgody użytkowników. Są to tzw. dane wrażliwe, a nieudostępnienie możliwości niewyrażenia zgody (opt-out) przez użytkownika na profilowanie do celów reklamowych oraz zbieranie danych na temat innych aktywności użytkownika w nowych przepisach zostało w RODO dobrze uregulowane.

RODO i profilowanie

- Profilowaniem nazywane jest zautomatyzowane przetwarzanie danych osobowych, które ma na celu ocenę czynników osobowych konkretnej osoby fizycznej. - informuje Anna Rak w serwisie FisPoland. - Innymi słowy: profilowanie to analizowanie danych osobowych konkretnego konsumenta, które pomaga stworzyć tak dokładny opis jego preferencji i cech, jak to tylko możliwe. Zgodnie z przepisami RODO, osoba, której dane dotyczą (zazwyczaj konsument), ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Przykładem decyzji, która wywołuje wobec osoby skutki prawne jest chociażby automatyczne odrzucenie składanego przez internet wniosku o udzielenie pożyczki. Należy także wskazać, że w każdej chwili podmiot danych (konsument) będzie miał prawo wyrazić sprzeciw wobec profilowania oraz będzie mu przysługiwało prawo dostępu do swoich danych, z których składa się „profil”. Niezależnie od uprawnień jednostki, w znacznej większości przypadków przedsiębiorcy będą zobowiązani uzyskać zgodę na profilowanie od osoby, której dane dotyczą.

Więcej na temat rozporządzenia na stronie: http://rodo2018.pl