25 maja zaczną obowiązywać nowe przepisy dotyczące ochrony danych osobowych (RODO). Przyjęte w maju 2016 r. przez Unię Europejską ogólne rozporządzenie o ochronie danych osobowych (RODO) zastępuje dyrektywę w tym zakresie z 1995 r. RODO ma zharmonizować prawo ochrony danych osobowych w Europie.

Zdaniem koordynatora prac nad reformą ochrony danych osobowych z Ministerstwa Cyfryzacji dr Macieja Kaweckiego, wokół reformy narosło bardzo dużo mitów.

"Przede wszystkim informacje o obowiązkowych certyfikatach, obowiązkowych szkoleniach, o tym, że należy zdawać jakieś egzaminy państwowe w zakresie RODO, o obowiązkowych szafach, tych konkretnych w zakresie RODO, o tym, że jak mamy biuro na parterze, musimy zamieścić kraty w oknach" - wymieniał i podkreślił, że to wszystko są mity.

Kawecki zaznaczył, że oprócz tych mitów, mamy także do czynienia z działaniami, które "są dużo bardziej niebezpieczne, czyli zastraszanie przedsiębiorców tym, że jeżeli nie skorzystają z usług konkretnego podmiotu, to grozi im skarga do prezesa urzędu". I dodał, że "musimy pamiętać, że tego typu działanie może stanowić przestępstwo".

Jak tłumaczył Kawecki, "coraz częściej RODO jest używane jako przykrywka wyłudzeń danych - do przedsiębiorcy dzwoni określona firma, pyta czy dostosowałeś się do RODO, jakie masz zabezpieczenia. My, ponieważ nam już RODO zaczyna się kojarzyć, udzielamy odpowiedzi na to pytanie, a następnie te informacje służą do tego, żeby wymierzyć dla nas bardziej scentralizowany atak, np. cyberatak".

Ekspert powiedział też, że coraz częściej otrzymujemy maile z informacjami, że jeśli chcemy dowiedzieć się więcej na temat RODO, musimy wejść w aktywny link, otworzyć załączniki. Kawecki ostrzegł, że w ten sposób, może nam być dostarczane złośliwe oprogramowanie.

"Coraz częściej pojawiają się telefony z informacją np., że aktualizujemy bazę PESEL, czy to jest pana numer PESEL, podawany jest numer PESEL, okazuje się, że to jest niewłaściwy numer PESEL, więc my podajemy właściwy i w ten sposób dochodzi do wyciągnięcia od nas numeru PESEL zestawionego z numerem telefonu- to już są dane osobowe" – Kawecki podawał kolejny przykład. Podkreślił, że musimy o tym pamiętać i tego się strzec.

Kawecki zwrócił uwagę na to, że przypadki mitów, w które obrosło RODO i które należy obalać pojawiają się choćby w przypadku sektora medycznego.

"Ostatnio dostaliśmy wiadomość od jednego ze szpitali, że dyrektor zakazał oznaczania imieniem i nazwiskiem kroplówek oraz worków z krwią, przyjmując numerację. Musimy pamiętać o tym, że prawo do życia jest prawem bezwzględnym, a prawo o ochronie danych osobowych podlega ograniczeniom" - powiedział. I dodał: "w tym przypadku nie poddawajmy się jakiejkolwiek panice, oznaczenie tego typu rzeczy imieniem i nazwiskiem jest dopuszczalne, jest zgodne z prawem".

RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych.

RODO zakłada m.in. prawo do bycia zapomnianym, czyli możliwość usunięcia, również z internetu, informacji na swój temat, jeśli nie są prawdziwe lub są obraźliwe, a także prawo do przenoszenia danych – będzie można zażądać, aby każdy urząd albo bank, które mają nasze dane, przekazał je innemu urzędowi lub bankowi.

Nakłada także obowiązek powiadomienia o wycieku danych osobowych. Stanowi też, że przetwarzanie danych będzie możliwe za wyraźną zgodą tego, kogo dotyczą. RODO przewiduje kary za naruszenie prawa do ochrony danych - do 20 mln euro lub 4 proc. całego obrotu firmy.

Według nowych przepisów, prezes urzędu ochrony danych osobowych będzie mógł kierować do organów państwowych, samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych.

Będzie mógł również występować do organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych. Wzmocnieniu pozycji urzędu służyć mają także przyznanie prawa do przeprowadzania kontroli naruszenia zasad ochrony danych osobowych.

Wprowadzono również rozwiązania mające przyspieszyć postępowania w sprawach ochrony danych - zniesiono dwuinstancyjność postępowania w sprawach o naruszenie przepisów o ochronie danych osobowych. Wprowadzono także przepis, dzięki któremu podejmowana przez PUODO kontrola nie będzie mogła trwać dłużej niż miesiąc.

więcej
Wideo

Kawecki opowiada o RODO