Co to jest RODO?

Od dnia 25 maja 2018 roku, będą miały zastosowanie nowe przepisy wprowadzone rozporządzeniem Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 roku, w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych). Powyższe rozporządzenie zastąpi dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku, w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. W konsekwencji doprowadzi to, do wprowadzenia jednolitej regulacji prawnej w zakresie ochrony danych osobowych we wszystkich państwach członkowskich Unii Europejskiej.

Akt z dnia 27 kwietnia 2016 roku, tak jak zresztą wcześniejsza dyrektywa, wielki nacisk kładzie na ochronę praw osób fizycznych, podkreślając, iż ochrona w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych każdego człowieka. Rozporządzenie wprowadza kilka nowości i klika bardzo istotnych zmian, co ewidentnie w tym wypadku wiąże się z łatwiejszą interpretacją przepisów, a także łatwiejszym ich stosowanie.
Generalnego Inspektora Ochrony Danych Osobowych (GIODO) zastąpi Prezes Urzędu Ochrony Danych Osobowych (UODO). Zmieni się nie tylko nazwa tego organu, ale także zwiększy się zakres jego obowiązków. Zadaniem UODO będzie ustalanie standardowych klauzul umownych, prowadzenia wykazu ocen skutków przetwarzania, popieranie mechanizmu certyfikacji, czy prowadzenie rejestru naruszeń.

Rozporządzenie przekształciło również administratora bezpieczeństwa informacji (ABI) w inspektora ochrony danych (IOD). Inspektor będzie powołany przez administratora danych osobowych (ADO) i podmiot przetwarzający zawsze, gdy przetwarzania dokonuje organ lub podmiot publiczny. Wyjątkiem będą sądy w zakresie sprawowania przez nie wymiaru sprawiedliwości. Główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa. Ponadto, co niezwykle istotne, każda osoba, której dane dotyczą, będzie mogła skontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem jej danych osobowych oraz z wykonywaniem jej praw. Inspektorem ochrony danych osobowych może być także podmiot zewnętrzny, działający na podstawie outsourcing’u.

Nowe obowiązki uzyskał również podmiot przetwarzający, który przetwarza dane w imieniu administratora. Podmiot przetwarzający będzie prowadził rejestr czynności przetwarzania, wdrażał środki techniczne i organizacyjne, czy też zawiadamiał administratora o incydentach. Należy podkreślić, iż podmiot przetwarzający ponosi taka samą odpowiedzialność jak administrator danych, w zakresie naruszenia przepisów rozporządzenia przy określaniu celów, czy sposobów przetwarzania.

RODO wprowadza również współadministratorów danych, są to co najmniej dwa podmioty, które wspólnie ustalają cele i sposoby przetwarzania. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji.

W ogólnym rozporządzeniu o ochronie danych osobowych zastosowano podział na przedsiębiorstwa średnie, małe i mikro, czego wcześniejsza dyrektywa w ogóle nie uwzględniała. W preambule wskazano, iż z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw niniejsze rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników. Zachęcono również instytucje i organy Unii, państwa członkowskie i ich organy nadzorcze, by stosując niniejsze rozporządzenie, uwzględniały szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. Obowiązki w zakresie ochrony danych osobowych, będą więc zależały od skali przetwarzania danych osobowych, a także z szczególnym uwzględnieniem prowadzonej działalności. Ponadto ochrona danych osobowych będzie obejmowała przedsiębiorców spoza Unii Europejskiej, w zakresie oferowanych przez nich towarów i usług osobom w UE oraz monitorowania ich zachowania.

Rejestrowanie zbiorów danych, które miało zastosowanie w ramach dyrektywy 95/46/WE, zostanie wyparte przez ocenę skutków przetwarzania dla ochrony danych osobowych dokonywaną przez administratora oraz uprzednie konsultacje z organem nadzorczym. Zgodnie z rozporządzeniem ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Ochrona dobierana jest więc do wielkości występującego ryzyka.
Zgodnie z preambułą aby zwiększyć przejrzystość i poprawić przestrzeganie niniejszego rozporządzenia, należy zachęcać do ustanowienia mechanizmów certyfikacji oraz do wprowadzenia znaków jakości i oznaczeń w dziedzinie ochrony danych, pozwalając w ten sposób osobom, których dane dotyczą, szybko ocenić stopień ochrony danych, której podlegają stosowne produkty i usługi. Powyższe pozwoli stwierdzić czy dany podmiot zgodnie z prawem stosuje zasady ochrony danych osobowych wynikające z nowego rozporządzenia.

Osoba, której dane dotyczą, ma prawo do rzetelnej informacji na temat przetwarzania danych osobowych. Administrator danych już w czasie ich zbierania będzie musiał informować o inspektorze ochrony danych, podstawie prawnej czy prawach osoby, której dane dotyczą. Administrator musi udzielić informacji jeśli dana osoba tego żąda, bezpłatnie, w terminie jednego miesiąca. Ponadto wszelkie informacje, zgodnie z zasadą przejrzystości mają być łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem.
Prawo osób fizycznych związane z ochroną danych osobowych będzie obejmować także konieczność informowania, już w momencie zbierania danych, o tym jak długo będą przetwarzane, trzeba poinformować także o ich usunięciu. Osoba, której dane dotyczą ma również prawo do żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, m. in. w przypadku gdy dane nie są już niezbędne do określonych celów, osoba której dane dotyczą cofnęła zgodę, czy wtedy gdy dane osobowe były przetwarzane niezgodnie z prawem. Ponadto rozporządzenie poszerzyło zakres szczególnych kategorii danych tzw. danych wrażliwych o dane biometryczne, dotyczące indywidualnych cech związanych z wyglądem i zachowaniem danej osoby. Należy przypomnieć, iż zgodnie z art. 9 rozporządzenia zabrania się ich przetwarzania, poza określonymi wyjątkami.

W rozporządzeniu wprowadzono również pojęcie pseudonimizacji danych, która oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Będzie to więc dodatkowy środek ochrony danych osobowych, niestosowany do tej pory.
W przypadku naruszenia bezpieczeństwa danych osobowych prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu dodanych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, administrator ma obowiązek zgłoszenia tego faktu organowi nadzorczemu. Zaś jeśli takie naruszenie powoduje wysokie ryzyko naruszenia praw i wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę której dane dotyczą.
Za rażące naruszenie przepisów ochrony danych osobowych, rozporządzenie przewiduje karę pieniężną w wysokości do 20.000.000,00 EUR, a w przypadku przedsiębiorstwa do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Niższe kary do 10.000.000,00 EUR lub do 2%, przewidziane są w sprawach mniejszej wagi. Każdy przypadek naruszenia przepisów będzie rozpatrywany indywidualnie, zgodnie z treścią art. 82 ust. 2 rozporządzenia, który stanowi, iż decydując o nałożeniu kary pieniężnej, oraz ustalając jej wysokość brana jest pod uwagę sala naruszeń, umyślny lub nieumyślny charakter naruszenia, kategoria danych osobowych, podjęte działania w celu zminimalizowania szkody, czy stopień współpracy z organem nadzorczym.

Nowe przepisy, związane z wprowadzeniem rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 roku, w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych), mogą stanowić nie lada problem dla osób, które są zobowiązane do ich wprowadzenia, a także dla tych osób, których dane dotyczą, w zakresie egzekwowania ich praw i wolności. Jednak tak jak zostało wskazane powyższej, nowelizacja dotycząca przepisów ochrony danych osobowych, po pierwsze powinna ułatwić przedsiębiorcom ich stosowanie, a także zwiększyć ochronę osób fizycznych, których dane są wykorzystywane, wprowadzając nowe instytucje i środki.

Do najważniejszych obowiązków, nakładanych na firmy przez RODO, można zaliczyć:
1. Zdefiniowanie celów przetwarzania danych osobowych oraz poinformowanie klientów,
2. które dane osobowe są przetwarzane przez firmę i w jakim celu;
3. Zgłaszanie naruszeń;
4. Ochrona danych osobowych pracowników oraz kontrahentów przed rozpowszechnianiem;
5. Prowadzenie Rejestru czynności przetwarzania;
6. Realizacja prawa klienta do bycia zapomnianym;
7. Wyznaczenie Inspektora Ochrony Danych Osobowych (obowiązkowe dla podmiotów wyznaczonych w art. 37 RODO).

Osoby zainteresowane szczegółową poradą w powyższej tematyce, zapraszamy do kontaktu z kancelarią.