Nowe rozporządzenie Unii Europejskiej zapowiada drakońskie kary (do dwóch milionów euro, lub dwa procent globalnego obrotu firmy) za zaniedbania w ochronie, pojawi się obowiązek płacenia odszkodowań użytkownikom, ujednoliceniu ulegną też przepisy we wszystkich krajach Unii. Co jeszcze się zmieni?
Na stronie Komisji znaleźć można ulotkę w języku polskim , objaśniającą kluczowe punkty reformy, a poniżej zamieszczamy oświadczenie komisarz Viviane Reding zapowiadająca nową reformę.
Firma, która nie udostępni możliwości przeglądania, poprawiania i usuwania swoich danych osobowych z baz, będzie mogła być ukarana kwotą do 250 tysięcy euro, lub pół procenta rocznego globalnego obrotu.
Nowe rozporządzenie (odnośnik do dokumentu w języku angielskim) ma przynieść firmom miliony euro oszczędności i wzmocnić zaufanie Europejczyków. Z polskiego punktu widzenia zmiany nie są rewolucyjne, ale są znaczące: pojawi się obowiązek podawania planowanego okresu przechowywania i przetwarzania danych osobowych oraz daty ich zgromadzenia, obowiązek przedstawiania na żądanie dowodu zgody użytkownika na przetwarzanie danych udzielonej na piśmie, obowiązek udostępnienia kontaktu do osoby odpowiedzialnej w firmie za bezpieczeństwo przetwarzania danych osobowych, oraz konieczność opracowania dokumentu o konsekwencjach wycieku przetwarzanych danych osobowych.
Jeśli dane osobowe wyciekną z firmy, będzie ona musiała zapłacić odszkodowanie użytkownikom, których dane zostały ujawnione.
Nieudostępnianie możliwości darmowego przeglądania, poprawiania i kasowania swoich danych przez użytkowników będzie karany grzywną do 250 tysięcy euro, albo pół procenta globalnego obrotu firmy. W nowym rozporządzeniu nacisk położony jest też na prawo do bycia zapomnianym wycelowane przede wszystkim w serwisy społecznościowe - użytkownik będzie mógł zażądać skasowania z serwisu wszystkich informacji jakie tam zamieścił, i żądanie to musi być przekazane i uwzględnione przez firmy trzecie, którym informacje te zostały przekazane (np. w celach reklamowych).
Podobnie jak to jest obecnie wymagane w Polsce, firmy będą musiały posiadać dokumentację procesu przetwarzania i magazynowania danych osobowych, wraz z opisem tego, komu i po co dane te są przekazywane. Jeśli firma będzie chciała przekazać dane do kraju w którym przepisy nie wymagają mocnej ochrony danych osobowych, będzie musiała zapewnić w kontrakcie odpowiedni poziom ich ochrony, oraz uzyskać zgodę osób, których danych to dotyczy i krajowego inspektora ochrony danych osobowych.
Jeśli nastąpi wyciek danych osobowych firma będzie miała 24 godziny na powiadomienie użytkowników, których dane wyciekły, oraz Generalnego Inspektora Ochrony Danych Osobowych.
Naruszenie zasad będzie kosztowne, oprócz wspomnianej wcześniej kary za brak udostępnienia użytkownikom możliwości poprawiania i skasowania niepotrzebnych danych, grzywną do pół miliona euro albo procenta globalnego obrotu zostanie ukarana firma która nie honoruje żądania zapomnienia o użytkowniku, albo nie prowadzi dokumentacji procesu przetwarzania danych osobowych.
Najsroższa kara - do miliona euro albo dwóch procent światowego obrotu, czeka firmy, które przetwarzają dane osobowe użytkowników bez ich zgody, albo kompletują dane z różnych dziedzin na temat konkretnych osób, oraz prowadzą przetwarzanie danych osobowych bez żadnej ochrony.
Unia Europejska bierze na celownik Facebooka i Google. To dobrze, bo w Stanach Zjednoczonych dane osobowe użytkowników nie są chronione w żaden sposób - ktokolwiek je zbierze, może z nimi robić, co chce. Od momentu wprowadzenia w życie nowego rozporządzenia, gigantom Internetu będą surowe kary, za naruszanie europejskiego prawa.
Zmiany dotkną też rodzime firmy, które w tej chwili firmy traktują ochronę danych ustawowych jako niewygodny obowiązek, albo jak przeszkodę w robieniu biznesu - jednak dzięki nowemu prawu łatwiej będzie uniknąć ingerencji w prywatność klientów.
Po przyjęciu nowego rozporządzenia, serwisy społecznościowe będą musiały udostępniać możliwość pobrania wszystkich danych jakie udostępniliśmy w serwisie w formacie, który umożliwi przeniesienie wszystkich informacji do innego serwisu, podobnie jak dziś przenosimy numer telefonu między operatorami.
Dodatkową motywacją dla firm będzie konieczność informowania użytkowników o wycieku ich danych, oraz płacenia odszkodowań za ujawnienie danych.
Ale oprócz kija, rozporządzenie pokazuje firmom także marchewkę - uprości się przetwarzanie danych osobowych w firmach mających oddziały w wielu krajach Europy, albo korzystają z chmur obliczeniowych wykupionych w innym kraju niż siedziba. Przedstawiciele Unii podkreślają, że nowe rozporządzenie ma podnieść zaufanie obywateli krajów Unii do internetowego biznesu - a więc także zwiększenie obrotów.
Największą słabością nowego rozporządzenia jest skupienie się na gigantach biznesu, a to nie oni są największym zagrożeniem dla naszych danych. Nowe unijne prawo nie sięgnie internetowej szarej strefy - małych, agresywnych firm, które nie mają przedstawicielstwa w krajach Unii, a ich model biznesowy oparty jest na łamaniu prawa i nielegalnym profilowaniu użytkowników. Kiedy miałem okazję zapytać o to samą panią komisarz Reding, dowiedziałem się, że nowe rozporządzenie takimi przypadkami się po prostu nie zajmuje. Jednocześnie przedstawiciele Komisji Europejskiej podkreślali, że nowe prawo ma dla reszty świata stanowić wzór do naśladowania w dziedzinie ochrony prywatności obywateli. Czy to się powiedzie - trudno powiedzieć, rozporządzenie obejmie firmy działające na terenie UE, a to nie one są największym zagrożeniem dla naszej prywatności.
