Nowe rozporządzenie UE o ochronie danych osobowych

Trwająca od 2012 roku reforma ochrony danych osobowych w Unii Europejskiej oficjalnie zakończyła się w tym roku. Choć nowe prawa wejdą w życie dopiero od 2018 roku, już dziś obywatele państw członkowskich powinni się zorientować, co dla nich będą oznaczać nowe regulacje.

Regulacja unijna nie będzie obowiązywać jedynie na terenie Unii, ale także będzie dotyczyć tych podmiotów z państw, które choć nie są członkami UE, to na przykład świadczą usługi w Internecie obywatelom UE.

Jakie znaczenie ma nowe rozporządzenie Unii dla branży e-commerce?

Profilowanie, aktualnie nieokreślone żadnymi regulacjami prawnymi, jest obecnie jednym ze szczególnych narzędzi przedsiębiorców z branży e-commerce, zarządzającymi sklepami internetowymi bądź osób, które świadczą usługi hostingowe. Profilowanie jest niezwykle pomocne przy budowaniu długotrwałych relacji z klientami – głównie dzięki tworzeniu dedykowanych ofert, specjalnie dostosowanych do danego klienta.

Rozporządzenie o ochronie danych osobowych zwraca szczególną uwagę na niebezpieczeństwa związane z nowymi technologiami, stosowanymi chociażby właśnie w branży e-commerce. Skupia się na tym, jak ważne jest dokonanie oceny potencjalnych skutków przetwarzania danych osobowych. Rozporządzenie obliguje każdego przedsiębiorcę (czyli administratora danych) do przeanalizowania, jak jego działalność wpływa na ochronę danych osobowych, które mają zostać przetworzone.

Ponieważ przedsiębiorcy mają obowiązek przeprowadzić analizę ewentualnych następstw, to w tym celu muszą wykazać podstawę prawną przetwarzania danych osobowych, poinformować osobę o zasadach i konsekwencjach profilowania, a także o prawie do uzyskania informacji, do sprzeciwu i do niepodlegania decyzjom, które opierają się wyłącznie na profilowaniu. Przedsiębiorcy zobligowani są również do opracowania i wdrożenia zabezpieczeń organizacyjnych i technicznych adekwatnych do zagrożeń.

To, jakie dane zostały zebrane i w jakim celu oraz jakim podmiotom mogą zostać udostępnione mają być przedstawione w sposób, który zrozumie przeciętny obywatel bez znajomości języka prawniczego. Informacje o prawach, które przysługują osobom, których dane dotyczą oraz kontakt do administratora powinny być przekazane zwięźle, przejrzysto i w łatwo dostępnej formie. Regulaminy mają faktycznie informować o tym, na co wyrażamy zgodę, a nie sprawiać trudność w rozumieniu praw i obowiązków.

Jeśli dane osobowe będą wykorzystywane w procesie automatycznego podejmowania decyzji, jak na przykład w przypadku profilowania, powinna być o tym wyraźna informacja. Osoba, której dane są wykorzystane powinna poznać logikę działań, jakie zostały podjęte w tym celu i poznać przewidywane następstwa przetwarzania jej danych osobowych.

Nowe rozporządzenie unijne daje nam prawo żądać od administratora informacji, jakie dane o nas posiada. W przypadku danych przetwarzanych elektrycznie możemy również otrzymać dane zapisane w powszechnie dostępnym formacie i bezproblemowo przenieść je do innego usługodawcy.
Możemy także nie podlegać decyzjom, które w pełni oparte są na zautomatyzowanym przetwarzaniu danych. Dotyczy to także profilowania. Będzie ono dopuszczalne pod warunkiem, że administrator danych wykaże, że ma do tego podstawę prawną. Obywatele państw Unii mogą nie wyrazić zgody na wykorzystywanie ich danych do profilowania, gdy związane jest ono z marketingiem bezpośrednim.

Jak nowe rozporządzenie będzie wpływało na prowadzenie działalności internetowej, przedsiębiorcy przekonają się najwcześniej wiosną 2018 roku.