Ogólne rozporządzenie o ochronie danych osobowych (RODO)[1] kładzie duży nacisk na prawa osób, których dane dotyczą (podmiotów danych). Przede wszystkim wymaga rozszerzenia obowiązku informacyjnego, w taki sposób, aby było od razu wiadomo jak długo będą przetwarzane dane, komu przekazywane i jakie prawa przysługują podmiotowi danych. Obowiązek informacyjny omówiłam w tym artykule[2], więc teraz skupię się na samym obowiązku i sposobie pozyskiwania zgody na przetwarzanie danych osobowych.
Wraz z wejściem unijnych przepisów rozszerza się katalog praw osób, których dane dotyczą (podmiotów danych). Przede wszystkim RODO podkreśla prawo do przejrzystego i jasnego komunikowania o zasadach przetwarzania danych. Poza tym podmiot danych może w każdej chwili żądać wyczerpujących informacji na temat przetwarzania swoich danych, ich sprostowania, usunięcia (o ile nie stoi to w sprzeczności z przepisami prawa), zaprzestania przetwarzania (jeżeli jest to uzasadnione), przeniesienia lub ograniczenia przetwarzania. Administrator danych ma obowiązek w momencie pozyskiwania danych wypełnić obowiązek informacyjny wynikający z przepisów o ochronie danych osobowych wobec każdej osoby, której dane pozyskał.
Model postępowania przed prezesem nowego urzędu w sprawie naruszenia przepisów o ochronie danych osobowych, nie zabezpiecza właściwie interesów przedsiębiorców. Wątpliwości budzi możliwość wstrzymania wykonania decyzji urzędu, ale tylko w zakresie dotyczącym administracyjnej kary pieniężnej, nie zaś, np. w sytuacji ograniczenia lub zakazu przetwarzania danych osobowych. Projekt ustawy o ochronie danych osobowych, mimo minusów, stara się jednak wyjść naprzeciw oczekiwaniom przedsiębiorców - uważa Konfederacja Lewiatan.
Zgodnie z art. 40 z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków wskazanych w art. 43 ustawy. Podmiotem określonej w przepisie normy prawnej jest każdy administrator danych, przez którego zgodnie z art. 7 pkt 4 ustawy rozumie się organ, jednostkę organizacyjną, podmiot lub osobę fizyczną lub osobę prawną , które decydują o celach i środkach przetwarzania danych osobowych.
W dniu 16 marca 2015 r. Prezydent skierował do Trybunału Konstytucyjnego wniosek w trybie kontroli prewencyjnej w sprawie nowelizacji ustawy prawo o ustroju sądów powszechnych. We wniosku Prezydent zarzucił ustawie niezgodność z konstytucją nowych przepisów, dotyczących uprawnień Ministra Sprawiedliwości w ramach kontroli administracyjnej. Jednym z powodów, dla których wniosek został skierowany, była ochrona danych osobowych. Zdaniem Prezydenta, nowe przepisy mogą spowodować naruszenie prawa do ochrony danych, w tym danych wrażliwych.
Coraz częściej podnoszone są głosy, że zgoda jako przesłanka legalizująca przetwarzanie danych jest nadużywana i staje się, nie do końca słusznie, centralną, kluczową przesłanką. Dlatego też, coraz częściej mówi się o potrzebie odwoływania się do pozostałych przesłanek przetwarzania, w tym do przesłanki prawnie usprawiedliwionego celu.
1 stycznia 2015 r. wejdą w życie przepisy ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej - zwanej IV pakietem deregulacyjnym - m.in. w zakresie nowelizującym ustawę o ochronie danych osobowych. Niestety, wady przepisów nowelizujących poddają w wątpliwość ich ułatwiający wpływ na prowadzenie działalności gospodarczej. Z jednej strony, przedsiębiorcy-administratorzy danych zyskają bardziej precyzyjne wskazania co do pozycji, obowiązków i odpowiedzialności administratora bezpieczeństwa informacji (ABI). Z drugiej strony, niejasne umiejscowienie ABI pomiędzy pracownikiem administratora danych a człowiekiem GIODO, a także wprowadzenie kolejnych obowiązków rejestracyjnych – gdy założeniem było ich ograniczenie – staną się źródłem dalszych obciążeń i kosztów.