Od dnia 25 maja 2018 r. w całej Unii Europejskiej należy stosować przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego dalej „Ogólnym rozporządzeniem o ochronie danych (RODO)”.
Obowiązujące od 25 maja regulacje RODO (GDPR), zastępują obowiązującą od 1995 roku dyrektywę unijną dotyczącą ochrony danych osobowych (ang. Data Protection Directive). Nowe regulacje ujednolicą przepisy prawne, funkcjonujące dotąd w 28 krajach członkowskich Unii Europejskiej.
Jaki jest cel RODO?
W ogólnym ujęciu RODO (ang. GDPR) ujednolica regulacje obowiązujące obecnie w poszczególnych krajach członkowskich Unii Europejskiej (UE), przy jednoczesnym zapewnieniu spójności procesu ich wdrażania, a następnie egzekwowania – należy to do kompetencji lokalnych urzędów do spraw ochrony danych osobowych (ang. DPA; Data Protection Authorities).
Podstawowe cele nowych regulacji to:
- Modernizacja obowiązującego systemu prawnego, tak by lepiej chronił dane osobowe
w erze globalizacji i warunkach innowacji technologicznych; - Wzmocnienie praw jednostki, przy jednoczesnym ograniczeniu przeszkód administracyjnych zapewniając wolny/ nieograniczony przepływ danych osobowych w ramach Unii Europejskiej;
- Wprowadzenie jasności i spójności do zasad ochrony danych osobowych, w celu zapewnienia ich ujednoliconego stosowania i efektywnego wdrażania przez kraje UE.
Jaki rodzaj zgody w świetle nowych przepisów prawa jest potrzebny firmom, aby mogły zbierać dane osobowe?
Zgoda „jasno wyrażona” oznacza, że użytkownik musi jasno zdeklarować chęć udostępnienia swoich danych. Zasada ta odnosi się do szczególnych kategorii danych osobowych, takich jak: rasa, religia, orientacja seksualna, przynależność polityczna, czy stan zdrowia.
Po drugiej stronie znajdują się tak zwane nieszczególne kategorie danych osobowych, na przykład historia przeglądania stron internetowych. W tym przypadku, regulacje RODO wymagają od firm uzyskania od użytkowników zgody „jednoznacznej”. Jako, że internetowe identyfikatory (np. pliki cookie) zostały skategoryzowane jako nieszczególne kategorie danych osobowych, zgoda typu opt-in (jasno wyrażona) nie jest wymagana.
Regulacje RODO mówią, że zgoda musi być „dobrowolna, konkretna, świadoma i specyficzna”. Co to oznacza?
„Dobrowolna” – zgoda jest ważna tylko wówczas, gdy osoba, której dane dotyczą ma możliwość podjęcia faktycznej decyzji, i nie występuje ryzyko oszustwa, zastraszania, przymusu, czy znaczących negatywnych konsekwencji w sytuacji, gdy odmówi zgody.
„Specyficzna” i „świadoma” oznacza, że aby zgoda była ważna, musi być dokładna i oparta
na odpowiednich informacjach. Innymi słowy, zgoda ogólna, bez określenia konkretnego powodu postępowania, nie jest akceptowalna.
„Jednoznaczna” oznacza, że zgoda musi wynikać z aktywności wskazującej na jej faktyczne wyrażenie. Dla przykładu, kiedy osoba nie przerywa przeglądania strony internetowej i w ten sposób akceptuje używanie plików cookie.
