Prawo do bycia zapomnianym

Dzięki Artykułowi 17 unijnego rozporządzenia zyskujemy prawo do usunięcia naszych danych ze wszystkich źródeł. Na nasz wniosek osoby, której dane dotyczą, administratorzy danych zobowiązani są do niezwłocznego wykasowania wszelkich dotyczących nas danych osobowych ze wszystkich systemów, w których są przetwarzane.

Jest to tylko z pozoru łatwa czynność. Samo usuwanie danych ze wszystkich źródeł będzie dość problematycznym procesem. Nie zawsze administrator danych osobowych ma bowiem świadomość wszystkich źródeł pochodzenia danych i miejsc ich przechowywania, nadto ich usuwanie może w praktyce spowodować naruszenie innych danych zapisanych na tych samych nośnikach a nie objętych procesem skorzystania z prawa do bycia zapomnianym. Z punktu widzenia organizacji dostosowanie się do zmian wynikających z przepisów RODO jest zadaniem wymagającym wdrożenia odpowiednich procedur. Każdy bowiem wniosek o usunięcie danych osobowych będzie musiał być rozpatrzony i zrealizowany bez zbędnej zwłoki.

Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie

Nowe rozporządzenie Unii Europejskiej wprowadza prawo do niepodlegania decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu i wywołuje wobec tej osoby skutki prawne. Profilowanie polega na dowolnym zautomatyzowanym przetwarzaniu danych osobowych pozwalającym ocenić czynniki osobowe osoby fizycznej. Wykorzystują je np. aplikacje bankowe, które na podstawie pozyskanych informacji automatycznie oceniają naszą zdolność kredytową. Warto wiedzieć, że o profilowaniu musimy zostać poinformowani na etapie zbierania danych osobowych.

Wprowadzenie ograniczenia profilowania spowoduje z pewnością konieczność modyfikacji istniejących formularzy zgód, na podstawie których przedsiębiorcy mogą przetwarzać dane osobowe. Aby przygotować się do wdrożenia zasad opisanych w unijnym rozporządzaniu firmy powinny w pierwszej kolejności ocenić, w jakich procesach wykorzystują profilowanie klientów oraz kiedy decyzje te są podejmowane w sposób automatyczny i wywołują wobec danej osoby skutki prawne.

Większy zakres informowania i przystępny język

W RODO bardzo mocno podkreślana jest waga retencji danych. Firmy podczas zbierania informacji zobowiązane będą do podania okresu ich przechowywania. W przypadku kiedy nie będzie to możliwe przedsiębiorcy będą musieli przedstawić kryteria jego ustalenia. Do tej pory konieczność wskazania takich informacji nie była wymagana przez prawo.

Co istotne w kontaktach z osobą, której dane dotyczą administrator danych osobowych, jak i procesor – firma, której powierzane są dane – już teraz powinni kierować się zasadą przejrzystości. Wszelkie informacje należy udzielać precyzyjnie, jasno i w terminie miesiąca od zapytania.

Ponadto dzięki nowym przepisom zyskujemy możliwość bezpośredniego kontaktu z Inspektorem ochrony danych – IOD (obecny administrator bezpieczeństwa informacji – ABI). Rozporządzenie nie Rozporządzenie nie określa, jakie dane kontaktowe Inspektora powinny podawać firmy. Zaleca się jednak, aby były to informacje, które pozwolą na nawiązanie kontaktu w łatwy sposób, np. poprzez maila.

Autor: adw. Anna Dmochowska, ekspert ds. ochrony danych ODO 24