Nowe obowiązki informacyjne
System ochrony danych osobowych w krajach Unii Europejskiej czekają nie lada zmiany. Już niebawem, bo od 25 maja 2018 r. zastosowanie znajdą przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Rozporządzenie wyraźnie wzmacnia prawa przysługujące osobom fizycznym w zakresie ochrony i przetwarzania ich danych osobowych. Rozporządzenie RODO będzie miało ogromny wpływ na cały system bezpieczeństwa danych osobowych w firmach lub w organizacjach.
Zwiększenie bezpieczeństwa wiąże się nieodłącznie z koniecznością wprowadzenia nowych rozwiązań przez administratorów danych osobowych, w tym przedsiębiorców. Obecnie obowiązująca ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, nakłada na administratora tych danych szereg obowiązków informacyjnych względem osób, których przetwarzane dane dotyczą. Warto porównać, jak te obowiązki informacyjne zmienią się od 25 maja 2018 r., po rozpoczęciu stosowania RODO.
Zgodnie z art. 24 ust. 1 obecnej ustawy o ochronie danych osobowych, w przypadku zbierania danych osobowychod osoby, której one dotyczą, administrator danych jest zobowiązany do poinformowania tej osoby o:
Natomiast w przypadku zbierania danych osobowych nie od osoby, której dane dotyczą, zgodnie z art. 25 ust. 1 obowiązującej ustawy o ochronie danych osobowych, administrator danych dopełnia powyższego obowiązku informacyjnego, poszerzając go przy tym o:
Decyzja, co do sposobu przekazania powyższych informacji, jest pozostawiona administratorowi danych. Obowiązująca ustawa nie przewiduje szczególnych wymagań co do formy ich przekazania.
Powyższa reguła, jak i zakres przekazywanych informacji, ulegną zmianie na skutek zastosowania nowych przepisów ogólnego rozporządzenia o ochronie danych.
Ustawodawca unijny, już w preambule do Rozporządzenia, które będzie stosowane od 25 maja 2018 r., wskazuje na cel i kierunek zmian w systemie ochrony danych osobowych:
_Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. (…) _
– Motyw 39 Preambuły RODO
Jeżeli dane osobowe będą zbierane od osoby której dotyczą, administrator danych osobowych w momencie pozyskiwania danych, będzie zobowiązany do przekazania jej następujących informacji (zgodnie z art. 13 ust. 1 i 2 RODO):
Zgodnie z art.14 RODO w przypadku zbierania danych nie od osoby, której dane te dotyczą, obowiązek informacyjny ulega poszerzeniu o:
Przyglądając się powyższym przepisom bardziej szczegółowo, można stwierdzić, że ustawodawca unijny wprowadza znacznie szerszy zakres informacji, które należy przekazać osobom od których pozyskiwane są dane osobowe, niż ma to miejsce obecnie - podczas obowiązywania ustawy o ochronie danych osobowych.
Rozszerzone wymagania wprowadzone przez Rozporządzenie RODO sprawią, że zwiększy się obszerność informacji, których przekazanie będzie konieczne. Każdy administrator danych osobowych jest zobowiązany do zadbania o to, by w momencie rozpoczęcia stosowania nowego rozporządzenia o ochronie danych osobowych (RODO) przekazywać wszystkie wymagane prawem informacje podczas procesu zbierania danych osobowych.