Firma – ochrona danych osobowych po nowemu

Rząd przyjął projekt ustawy o ochronie danych osobowych. Każda firma dysponująca danymi osobowymi, będzie miała z tego tytułu nowe obowiązki. To, co jest w nowym prawie najtrudniejsze to brak wyraźnych wytycznych.

Dotychczasowe prawo o ochronie danych osobowych charakteryzowało się formalistycznym podejściem do tematu. Tak jak zresztą większość obowiązujących przepisów. Na przykład dla właściwej ochrony danych osobowych firma musiała ustanowić hasła nie krótsze niż ośmioznakowe i zmieniać je co 30 dni. Jeśli spełniała warunki była kryta. Można było powiedzieć „to nie nasza wina, że dane wyciekły, przecież przestrzegamy prawa”.

Nowy projekt ustawy wdrażający zresztą do polskiego systemu prawnego słynne już RODO, podchodzi do tematu odwrotnie. To firma ma dbać o to, żeby dane nie wyciekły. Nie ma sztywnych wytycznych. Nie można się ukryć za przepisami. Firma ma tak postępować z danymi osobowymi żeby nie było wycieków.

To zupełnie nowe podejście do prawa. Rzeczywistość cyfrową trudno przewidzieć i z góry skodyfikować. Zapisano, więc jaki ma być efekt działań. Co tak jakby zamiast całego kodeksu drogowego napisać, że ma nie być wypadków. Wcale nie jest takie oczywiste, ze nie było by to skuteczne. W końcu w niektórych azjatyckich miastach ruch uliczny jest wolną amerykanką i jakoś to działa.

Jedną z niewielu pomocy, na jaką może liczyć firma to rekomendacje, które będzie wydawał Prezes Urzędu Ochrony Danych Osobowych. Ten urząd to nowy twór mający zastąpić GIODO. Będzie miał jednak większe uprawnienia.

Można też liczyć na komercyjne firmy zajmujące się tematem. Warto zwrócić uwagę czy mają one odpowiedni urzędowy certyfikat. W razie kłopotów może to być argument na obronę.

Dotychczas naruszanie ochrony danych osobowych było praktycznie bezkarne. Pod rządami nowego prawa kary mogą być drakońskie. Nawet do 20 milionów euro. Takie wysokie kary mogą grozić oczywiście dużym rynkowym graczom, a nie fryzjerowi.

Nowym obowiązkiem dla firm jest konieczność wykasowania wszelkich danych o osobie, która chce skorzystać z prawa do zapomnienia. Za niedopełnienie obowiązku wykreślenia takich danych może grozić kara. Tak samo za nękanie telefonami potencjalnego klienta.

Nowe prawo zacznie obowiązywać 25 maja.