Co RODO zmieni dla zwykłych użytkowników internetu w Polsce?
Plik cookie, który identyfikuje działania internauty i pozwala je monitorować, jako identyfikator online został nazwany daną osobową (Art. 4) i wobec tego podlega wymogom Rozporządzenia, które ma wejść w życie.
Nowe przepisy poszerzają obowiązek informacyjny. Oznacza to, że internauta ma prawo do jak najpełniejszej i przejrzystej informacji na temat danych osobowych, które są przetwarzane. W ramach wdrażania przepisów Rozporządzenia oczywiście będzie wymagana szeroka współpraca na przykład pomiędzy wydawcami stron internetowych jak i stronami trzecim ─ takimi jak omawiany Facebook ─ aby odpowiednio informować internautów o przetwarzaniu ich danych. Myślę, że nadchodzi również czas, żeby sposób podawania informacji przez firmy przetwarzające nasze dane tworzył przestrzeń zaufania i był pozbawiony frazesów i kruczków prawnych.
A co z ochroną danych?
Rozporządzenie wprowadza obowiązek uwzględniania ochrony danych w fazie projektowania rozwiązań, które później mają przetwarzać dane osobowe. Przy tego typu podejściu, firmy ze szczególną starannością muszą zadać sobie trud i ograniczyć zakres zbieranych danych do tych, które służą określonemu wcześniej celowi. Oczywiście ocena tego zakresu należy przede wszystkim do firmy, która przetwarza dane, jednak podlega ona weryfikacji przez urzędy do spraw ochrony danych osobowych, a przy okazji sporu pomiędzy nim ─ przez sądy.
Co zatem z Facebookiem?
Facebook monitoruje zachowania internautów także po ich wylogowaniu się z serwisu społecznościowego? Jedną z istotniejszych kwestii jest więc sposób poinformowania i pozyskania zgody na takie użycie plików cookies. W Polsce pozyskanie zgody reguluje Prawo Telekomunikacyjne (Art. 173), które wciela w życie tzw. „Dyrektywę cookies” z 2002 roku, a która w niedługim czasie ma zostać zastąpiona nowym Rozporządzeniem Unii Europejskiej (tzw. Rozporządzeniem e-Privacy). Rozporządzenie to powinno wprowadzić jednolite zasady używania plików cookies w różnych celach, między innymi w tych, dla których wykorzystuje je Facebook.
Ale czy internauci dostaną faktyczną ochronę?
Nowe prawo ochrony danych osobowych (RODO) przyznaje wreszcie prawo do odszkodowania (Art. 82), także za krzywdę niematerialną ─ w polskim prawie takie odszkodowanie jest nazwane zadośćuczynieniem. Wobec tego, na gruncie nowych przepisów, być może łatwiej internauci mogliby uzyskać odszkodowanie, niż miało to miejsce w USA.
Aktualnie wobec Facebooka toczy się pięć postępowań wytoczonych przez europejskie Data protection authorities (Regulatorów, urzędów ochrony danych) - urzędy: belgijski, hamburski, hiszpański, francuski i holenderski badają różne aspekty przetwarzania danych osobowych przez Facebook. Jednym z podstawowych utrzymujących się zarzutów jest niewystarczająca kontrola nad danymi sprawowana przez użytkowników internetu i niejasne informowanie na temat użycia danych. Francuski CNIL, czyli Komisja Informacji i Wolności, ukarał Facebooka najwyższą z możliwych na gruncie aktualnych przepisów karą, tj. 150 000 EUR. Na podstawie RODO kary te zmieniają się drastycznie (rosną do 4 proc. obrotu grupy kapitałowej lub 20 mln EUR).