Ochrona danych i prywatność w sieci
Unijne przepisy o ochronie danych zapewniają ochronę danych osobowych zawsze, gdy dane te są gromadzone – np. przy zakupach przez internet, ubieganiu się o pracę lub składaniu wniosku o kredyt bankowy. Przepisy te stosuje się zarówno do przedsiębiorstw i organizacji (publicznych i prywatnych) z Unii Europejskiej, jak i spoza niej – takich jak Facebook czy Amazon, które oferują towary i usługi w UE – za każdym razem, gdy takie przedsiębiorstwa i organizacje proszą osoby fizyczne w UE o dane osobowe lub wykorzystują takie dane ponownie.
Format danych nie ma znaczenia – czy to online w systemie komputerowym, czy w dokumencie w formie papierowej – Twoje podstawowe prawa w zakresie ochrony danych muszą być szanowane za każdym razem, kiedy przechowuje się lub przetwarza dane, które pośrednio lub bezpośrednio identyfikują Cię jako osobę fizyczną.
Kiedy dozwolone jest przetwarzanie danych?
W unijnych przepisach o ochronie danych, zawartych w ogólnym rozporządzeniu UE o ochronie danych (lub RODO), opisano różne sytuacje, w których przedsiębiorstwo lub organizacja może gromadzić lub ponownie wykorzystywać Twoje dane osobowe:
- gdy przedsiębiorstwo lub organizacja zawarły z Tobą umowę – np. na dostawę towaru lub świadczenie usług (tj. gdy robisz zakupy przez internet) lub umowę o pracę
- gdy wypełniają one swoje zobowiązania prawne – na przykład jeżeli prawo wymaga przetwarzania Twoich danych, kiedy Twój pracodawca przekazuje informacje na temat Twojego miesięcznego wynagrodzenia do zakładu ubezpieczeń społecznych, aby zapewnić Ci ubezpieczenie społeczne
- gdy przetwarzanie danych leży w Twoim żywotnym interesie – np. może chronić Twoje życie
- w celu wykonania zadania w interesie publicznym – przede wszystkim w związku z realizacją zadań organów administracji publicznej takich jak szkoły, szpitale czy urzędy gminy
- jeżeli istnieje uzasadniony interes – np. jeżeli bank wykorzystuje Twoje dane osobowe, żeby sprawdzić, czy kwalifikujesz się do posiadania konta oszczędnościowego z wyższym oprocentowaniem
W pozostałych sytuacjach przed zgromadzeniem lub ponownym wykorzystaniem Twoich danych osobowych firma lub organizacja musi zapytać Cię o zgodę.
Zgoda na przetwarzanie danych
Zgoda, o którą zwraca się do Ciebie przedsiębiorstwo lub organizacja, musi zostać udzielona w sposób wyraźny, np. przez podpisanie formularza zgody lub wybranie „tak" w odpowiedzi na jasne pytanie typu „Tak/Nie" na stronie internetowej.
Nie wystarczy po prostu zrezygnować, np. zaznaczając pole wyboru, że nie chcesz otrzymywać wiadomości e-mail z ofertami handlowymi. Twoja zgoda jest niezbędna, aby możliwe było przechowywanie lub ponowne wykorzystywanie Twoich danych osobowych w tym celu.
Zanim wyrazisz zgodę powinieneś ponadto otrzymać następujące informacje:
- informacje o przedsiębiorstwie lub organizacji, które będą przetwarzać Twoje dane, w tym ich informacje kontaktowe i informacje kontaktowe ewentualnego inspektora ochrony danych
- cel, w którym firma lub organizacja będzie wykorzystywać Twoje dane osobowe
- jak długo zamierzają one przechowywać Twoje dane osobowe
- informacje dotyczące innych przedsiębiorstw lub organizacji, które otrzymają Twoje dane osobowe
- informacje o Twoich prawach w zakresie ochrony danych (do dostępu do danych, ich poprawienia lub usunięcia, wniesienia skargi, wycofania zgody)
Wszystkie te informacje powinny być przedstawione w jasny i zrozumiały sposób.
Wycofanie zgody na wykorzystywanie danych osobowych i prawo do sprzeciwu
Jeżeli wcześniej udzieliłeś zgody na wykorzystywanie Twoich danych osobowych przez przedsiębiorstwo lub organizację, możesz w dowolnym momencie skontaktować się z administratorem danych (osobą lub podmiotem zarządzającymi Twoimi danymi osobowymi) i wycofać swoją zgodę. Po wycofaniu zgody przedsiębiorstwo lub organizacja nie mogą dłużej wykorzystywać Twoich danych osobowych.
Gdy organizacja przetwarza Twoje dane osobowe na podstawie swojego uzasadnionego interesu, w ramach wykonywania zadania w publicznym interesie lub dla organu władzy publicznej, może przysługiwać Ci prawo do sprzeciwu. W określonych przypadkach pierwszeństwo może mieć jednak interes publiczny i wówczas przedsiębiorstwo lub organizacja będą mogły nadal wykorzystywać Twoje dane osobowe. Dotyczy to np. badań naukowych i statystyk lub zadań wykonywanych w ramach oficjalnej roli organu publicznego.
W przypadku marketingu bezpośredniego, np. w formie wiadomości e-mail reklamujących określone marki lub produkty, wymagana jest uprzednia zgoda. Jednak jeżeli jesteś już klientem danej firmy i kupujesz u niej określone produkty lub usługi, może ona wysyłać Ci e-maile reklamujące podobne produkty i usługi. W każdej chwili masz prawo zażądać, by nie przesyłano Ci materiałów reklamowych. Firma musi wówczas natychmiast przestać wykorzystywać Twoje dane.
Zawsze, gdy przedsiębiorstwo lub organizacja kontaktują się z Tobą po raz pierwszy, powinieneś otrzymać informacje o przysługującym Ci prawie do sprzeciwu wobec wykorzystywania Twoich danych osobowych.
Prawdziwa historia
Możesz sprzeciwić się wykorzystywaniu Twoich danych do celów marketingu bezpośredniego
Anatolios kupił przez internet dwa bilety na koncert swojego ulubionego zespołu. Od chwili zakupu biletów zaczął otrzymywać e-mailem wiadomości reklamujące koncerty i wydarzenia, którymi nie był zainteresowany. Skontaktował się z firmą sprzedającą bilety przez internet i poprosił o nieprzesyłanie mu wiadomości reklamowych. Przedsiębiorstwo natychmiast wykreśliło go ze swoich list marketingu bezpośredniego. Ku swemu zadowoleniu Anatolios przestał dostawać wiadomości reklamowe.
Szczególne przepisy dotyczące dzieci
Jeżeli Twoje dziecko chce korzystać z usług online takich jak media społecznościowe, pobieranie muzyki lub gier, często potrzebna będzie Twoja zgoda jako rodzica lub opiekuna prawnego, ponieważ tego rodzaju serwisy wykorzystują dane osobowe dziecka. Po ukończeniu 16. roku życia dziecko nie potrzebuje zgody rodzica (w niektórych krajach UE granica wieku może wynosić nawet 13 lat). Udzielenie zgody przez rodzica musi być skutecznie kontrolowane, np. za pośrednictwem wiadomości weryfikacyjnej przesłanej na skrzynkę mailową rodzica.
Dostęp do własnych danych osobowych
Możesz zażądać dostępu do swoich danych osobowych, którymi dysponuje przedsiębiorstwo lub organizacja. Masz także prawo do bezpłatnego otrzymania kopii swoich danych zapisanych w formacie umożliwiającym ich odczytanie. Odpowiedź powinna nadejść w ciągu 1 miesiąca. Firma lub organizacja powinny przekazać Ci kopię Twoich danych osobowych oraz wszystkie stosowne informacje o tym, w jaki sposób były lub są one wykorzystywane.
Prawdziwa historia
Masz prawo wiedzieć, które Twoje dane są przechowywane i w jaki sposób są one wykorzystywane
Maciej od niedawna uczestniczy w programie lojalnościowym w lokalnym supermarkecie. Zauważył, że od tego czasu dostaje korzystniejsze kupony rabatowe na zakupy. Zastanawiał się, czy ma to związek z programem lojalnościowym, więc zapytał inspektora ochrony danych supermarketu, jakie informacje na jego temat są przechowywane oraz w jaki sposób są one wykorzystywane. Dowiedział się, że supermarket przechowuje dane na temat produktów kupowanych przez niego co tydzień. Dzięki temu może zaoferować mu zniżki na wybrane, często kupowane produkty.
Korekta danych osobowych
Jeżeli firma lub organizacja przechowuje Twoje dane osobowe, które są nieprawidłowe, lub posiada niepełne informacje, możesz zwrócić się o ich poprawienie lub aktualizację.
Prawdziwa historia
Masz prawo poprosić o skorygowanie nieprawidłowych danych osobowych, które Cię dotyczą
Alison chciała kupić nowy dom w Irlandii i złożyła w swoim banku wniosek o kredyt hipoteczny. Podczas wypełniania formularza rejestracyjnego pomyliła się przy wpisywaniu daty urodzenia, przez co bank wprowadził do swojego systemu nieprawidłowy wiek Alison.
Gdy otrzymała oferty nowego kredytu hipotecznego i powiązanego z nim ubezpieczenia na życie, zdała sobie sprawę z błędu, ponieważ składka ubezpieczeniowa była o wiele wyższa niż jej aktualna składka. Alison zwróciła się do banku z prośbą o poprawienie danych osobowych w systemie. Dzięki temu otrzymała nową ofertę ubezpieczenia z poprawną datą urodzenia.
Przekazanie danych osobowych (prawo do przenoszenia danych)
W określonych sytuacjach możesz zażądać od przedsiębiorstwa lub organizacji zwrotu Twoich danych lub przekazania ich bezpośrednio do innego przedsiębiorstwa, o ile jest to możliwe technicznie. Jest to tzw. przenoszenie danych. Przykładowo możesz skorzystać z tego prawa, jeżeli postanowisz zmienić usługę na podobną – np. przenieść się z jednego portalu społecznościowego na inny – i chciałbyś, żeby Twoje dane osobowe zostały szybko i łatwo przeniesione do nowego serwisu.
Usunięcie danych osobowych (prawo do bycia zapomnianym)
Jeżeli Twoje dane osobowe nie są już potrzebne lub są bezprawnie wykorzystywane, możesz zażądać ich usunięcia. Jest to tzw. prawo do bycia zapomnianym.
Zasady te dotyczą także wyszukiwarek takich jak Google, ponieważ również wyszukiwarki uważane są za administratorów danych. Jeżeli informacje są niedokładne, nieadekwatne, nieistotne lub jest ich za dużo, możesz zażądać usunięcia z wyników wyszukiwania linków do stron internetowych z Twoim nazwiskiem.
Jeżeli firma udostępniła w sieci Twoje dane osobowe i zażądasz ich usunięcia, musi ona również poinformować administratorów pozostałych stron internetowych, na których zostały one udostępnione, o Twoim żądaniu usunięcia danych i linków do nich.
By chronić pozostałe prawa, takie jak wolność wypowiedzi, niektórych danych nie można usunąć automatycznie. Na przykład kontrowersyjne wypowiedzi osób publicznych mogą nie zostać usunięte, jeżeli zachowanie ich w sieci leży w interesie publicznym.
Prawdziwa historia
Możesz zażądać usunięcia swoich danych osobowych z innych stron internetowych
Alfredo stwierdził, że nie chce już używać mediów społecznościowych, więc usunął swój profil ze wszystkich portali, z których korzystał. Jednak kilka tygodni później odkrył, że jego stare zdjęcia z kont na portalach społecznościowych wciąż są widoczne po wpisaniu jego nazwiska w wyszukiwarce internetowej. Alfredo zwrócił się do firm odpowiedzialnych za media społecznościowe o usunięcie tych danych. Miesiąc później stwierdził, że zdjęcia zostały faktycznie usunięte i nie pojawiają się w wynikach wyszukiwania.
Nieuprawniony dostęp do danych (naruszenie danych)
W przypadku kradzieży Twoich danych osobowych, ich utraty lub nielegalnego dostępu do nich – tzw. „naruszenia danych" – administrator danych (osoba lub podmiot zarządzający Twoimi danymi osobowymi) musi zgłosić to do krajowego organu ochrony danych. Administrator danych musi także bezpośrednio poinformować Cię, jeśli naruszenie może wiązać się z poważnym ryzykiem dotyczącym Twoich danych osobowych lub Twojej prywatności.
Wniesienie skargi
Jeżeli sądzisz, że Twoje prawa do ochrony danych nie są respektowane, możesz wnieść skargę bezpośrednio do krajowego organu ochrony danych, który rozpatrzy ją i udzieli odpowiedzi w ciągu 3 miesięcy.
Zamiast zwracać się w pierwszej kolejności do krajowego organu ochrony danych możesz również wnieść sprawę przeciwko konkretnej firmie lub organizacji bezpośrednio do sądu.
W przypadku strat materialnych, takich jak straty finansowe, lub niematerialnych, takich jak kryzys emocjonalny, wynikających z nieprzestrzegania unijnych przepisów o ochronie danych przez przedsiębiorstwo lub organizację, może przysługiwać Ci odszkodowanie.
Pliki cookie
Cookies to niewielkie pliki tekstowe, które serwis internetowy przechowuje w przeglądarce internetowej na komputerze lub urządzeniu przenośnym. Cookies są powszechnie wykorzystywane: dzięki zapisywaniu preferencji użytkownika strona internetowa może sprawniej funkcjonować. Pliki cookie służą do monitorowania zachowania użytkownika w internecie. Na tej podstawie tworzą jego profil, który jest wykorzystywany do wyświetlania dostosowanych do jego zainteresowań reklam online.
Każda strona wykorzystująca cookies przed zapisaniem ich na Twoim komputerze lub urządzeniu przenośnym, musi uzyskać Twoją zgodę. Serwis internetowy nie ma prawa po prostu poinformować Cię, że wykorzystuje cookies, lub wyjaśnić, jak możesz je dezaktywować.
Na stronie internetowej serwisu powinny być dostępne informacje o tym, w jaki sposób cookies zostaną wykorzystane. Musisz mieć również możliwość wycofania się z decyzji, że je akceptujesz. Jeżeli tak postanowisz, serwis internetowy i tak musi zapewnić Ci usługi w wymiarze minimalnym, na przykład dostęp do części serwisu.
Nie wszystkie pliki cookie wymagają zgody użytkownika. Cookies wykorzystywane jedynie w celu wykonania lub ułatwiania transmisji komunikatu nie wymagają zgody. Obejmuje to na przykład pliki cookie wykorzystywane do równoważenia obciążenia (czyli rozłożenia zapytań skierowanych do serwera web na kilka maszyn). Zgody nie wymagają również pliki cookie, które są niezbędne do zrealizowania usługi online, której w wyraźni sposób zażądałeś. Dotyczy to na przykład plików cookie wykorzystywanych przy wypełnianiu formularzy on-line lub przy zakupach przez internet.