W ostatnim czasie często komentowanym tematem stała się ochrona danych osobowych. Wszystko za sprawą nowego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (zwanego „RODO”). Dotyczy ono ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnego przepływu takich danych.

Rewolucyjne zmiany w zakresie ochrony danych osobowych czekają nas już 25 maja 2018 roku, ponieważ od tego momentu rozporządzenie zacznie bezpośrednio obowiązywać w państwach Unii Europejskiej i wiązać będzie wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą. Przedsiębiorca zbierający dane osobowe od innych osób w ramach prowadzonej przez siebie działalności powinien podczas pozyskiwania danych osobowych udzielić takim osobom następujących informacji:

• ujawnić swoją tożsamość i dane kontaktowe (należy również podać tożsamość i dane kontaktowe przedstawiciela przedsiębiorcy oraz dane osobowe inspektora danych osobowych – gdy ma to zastosowanie),
• wskazać w jakim celu przetwarza dane osobowe,
• podać podstawę prawną, tj. przepis prawa, który pozwala przedsiębiorcy na  przetwarzanie danych osobowych, a także, w przypadku przetwarzania z uwagi na prawnie uzasadniony interes przedsiębiorcy gromadzącego dane osobowe lub osoby trzeciej, wskazać jaki to interes,
• podać informacje o odbiorcach danych osobowych lub o kategoriach odbiorców (jeżeli istnieją).

W przypadku zamiaru przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej konieczne jest spełnienie dodatkowych obowiązków informacyjnych. Ponadto, wymagane jest podanie innych informacji niezbędnych do zapewnienia rzetelności i przejrzystości przetwarzania, takich jak okres przez który dane osobowe będą przechowywane (a gdy nie jest to możliwe, kryteria ustalania tego okresu), informacje o prawie osoby, której dane są przetwarzane do żądania dostępu do tych danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu  – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Wymagane jest również podanie informacji o prawie wniesienia skargi do organu nadzorczego, wskazanie, czy podanie danych osobowych jest wymagane ze względu na przepis prawa, albo odpowiedniego zapisu w umowie, albo jest warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych. Należy wyjaśnić, że profilowanie danych polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, np. do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia,  zainteresowań, zachowania, lokalizacji.

Wskazane powyżej informacje należy udzielić w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje te są kierowane do dziecka. Niezależnie od wybranej formy przekazania informacji przedsiębiorca zbierający dane osobowe innych osób powinien być w stanie udowodnić, że informacje te rzeczywiście zostały przekazane.

Szymon Goździk
Prawnik