Przyjęte w maju 2016 r. przez Unię Europejską ogólne rozporządzenie o ochronie danych osobowych (RODO) zastępuje dyrektywę w tym zakresie z 1995 r. RODO ma zharmonizować prawo ochrony danych osobowych w Europie.
"Będziemy mieli prawo oczekiwać, że to, co jest polskim prawem, bo w tym znaczeniu rozporządzenie jest polskim prawem, wygląda dokładnie tak samo w każdym państwie UE. Jeżeli więc będziemy mieli np. problem ze sklepem prowadzonym we Francji, z oferty którego skorzystamy przez internet, będziemy mogli dochodzić swoich praw za pośrednictwem polskich organów ochrony danych osobowych, mimo że odpowiedzialnym za wydanie decyzji będzie organ z innego kraju członkowskiego" - podkreślił Wiewiórowski, który we wtorek uczestniczył w konferencji "Niezmienne wartości i ich skuteczna ochrona w dobie przemian" poświęconej ochronie danych osobowych w Polsce.
Jak powiedział, obywateli UE nie będzie interesowało, w jaki sposób administracje krajów będą współpracowały. "Dla obywateli istotne będzie to, że będą mieć możliwość złożenia skargi w każdym z państw członkowskich i uzyskania rozstrzygnięcia sprawy niezależnie od tego skąd podmiot, którego sprawa dotyczy, pochodzi" - dodał.
Nowe przepisy oznaczają więc, że w przypadku problemów z firmą z innego kraju UE nie będzie już trzeba zgłaszać się do konkretnego kraju, tylko wystarczy się zgłosić do polskiego organu ochrony danych osobowych. "Trzeba jednak pamiętać, że nie zwalania nas to z zapoznania się z regulaminem przed realizacją usługi, czy zakupem towarów. Jeżeli więc nie jesteśmy w stanie zrozumieć regulaminu sklepu czy innej firmy, z której usług chcemy skorzystać, to nie korzystajmy z serwisu, ponieważ zawierając umowę przyjmujemy regulamin niezależnie od tego, w jakim języku został on napisany" - wskazał Wiewiórowski.
Jak mówił, w RODO mamy do czynienia z wieloma nowymi rozwiązaniami, ale które wykorzystują 20 lat doświadczenia stosowania dyrektywy dotyczącej ochrony danych we wszystkich państwach członkowskich UE obowiązującej od 1995 r.
Wiewiórowski podkreślił, że RODO dotyczy także innych podmiotów zarejestrowanych poza UE, ale oferujących usługi na terenie UE.
"Wszystkie one będą podlegały prawu europejskiemu. Jeżeli np. będziemy mieli do czynienia z firmą wietnamską, która sprzedaje towary, ale nie kieruje ich wprost do UE, no to już jest to nasza decyzja, czy chcemy skorzystać z oferty tej firmy. Ale jeżeli firma ta kieruje ofertę do jakiegokolwiek kraju w UE, czyli np. podaje ceny w euro, albo formułuje oferty w jednym z oficjalnych języków UE, czy ma też przedstawicielstwo na terenie Unii Europejskiej to wówczas będziemy mogli stosować przepisy RODO" - dodał.
Wyjaśnił, że każdy podmiot, który chce działać na rynku UE, musi dostosować się do prawa europejskiego, ewentualne niedostosowanie będzie skutkowało utrudnieniem działania tej firmy.
"Po raz pierwszy wprowadzono system sankcji finansowych, które są nakładane przez organ ochrony danych, sankcji bardzo dotkliwych, które będą realizowane we wszystkich państwach członkowskich UE. Do tej pory taki system sankcyjny istniał w niektórych krajach członkowskich np. w Hiszpanii, Włoszech, Wielkiej Brytanii, ale np. w takich krajach jak Finlandia był to system w ogóle nieznany" - powiedział.
"Po wejściu RODO ten sam system sankcyjny będzie obowiązywał we wszystkich krajach UE. A Unia Europejska ma doświadczenie w dochodzeniu odpowiedzialności od tych podmiotów, które nie chcą takich sankcji płacić" - dodał Wiewiórowski.
Za naruszenie przez przedsiębiorcę przepisów RODO będzie groziło nałożenie wysokiej kary finansowej - do 20 mln euro lub 4 proc. wartości rocznego światowego obrotu przedsiębiorstwa.
RODO przewiduje, że aby dane użytkownika mogły być przetworzone, musi on wyrazić na to wyraźną zgodę, np. poprzez zaznaczenie na stronie internetowej pola z potwierdzeniem wyrażenia zgody na przetwarzanie danych. Niewybranie żadnego pola albo pola zaznaczone automatycznie nie mogą być uznane za wyrażenie zgody. Nowe przepisy mają też ułatwić użytkownikowi wycofanie zgody na przetwarzanie danych; ma to być równie proste, jak wyrażenie tej zgody.
Dzieci poniżej określonego wieku nie będą mogły zakładać kont w mediach społecznościowych, bez zgody rodziców. Kraje UE mają same określić wiek użytkownika, od którego nie będzie konieczna zgoda rodzica. Nie może być to jednak mniej niż 13 lat i więcej niż 16 lat.
W przepisach przewidziano także uproszczony dla konsumentów mechanizm składania skarg w przypadku naruszenia ich prywatności. Tzw. zasada jednego okienka (ang. one stop shop) ma pozwolić obywatelom na składanie takich skarg do organu w swoim miejscu zamieszkania, nawet jeśli do złamania prawa doszło w innym państwie UE.
Unijne przepisy wprowadzają także obowiązek informowania krajowego organu ochrony danych osobowych o wycieku danych osobowych dotyczył a jeśli wyciek dotyczy dużej grupy osób albo prowadziłby do zagrożenie prywatności to również muszą być poinformowana osoby, których wyciek dotyczył.(PAP)
autor: Krzysztof Markowski
edytor: Anna Małecka
