ROZPORZĄDZENIE O OCHRONIE DANYCH OSOBOWYCH (RODO)

„RODO” czy Ogólne Rozporządzenie o Ochronie Danych to Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Rozporządzenie weszło w życie 17 maja 2016 r. Zacznie ono obowiązywać bezpośrednio w krajowych porządkach prawnych od 25 maja 2018 r. Rozporządzenie wiązać będzie wszystkich którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą.

RODO wprowadzi wiele zmian w dziedzinie ochrony danych osobowych. Część zmian i ważniejszych postanowień rozporządzenia została opisana poniżej.

Zgoda na przetwarzania danych osobowych.

Warunki wyrażenia zgody na przetwarzania danych osobowych reguluje art. 7 RODO. Administrator musi być w stanie wykazać, że osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych. Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy

Warunki wyrażenie zgody przez dziecko w przypadku usług społeczeństwa informacyjnego reguluje art. 8 RODO.

Obowiązki informacyjne

Art. 13 i 14 RODO wskazują liczne informacje, które muszą być uwzględnione w komunikacji sposobu przetwarzania danych osobowych kierowanej do osób, których dane dotyczą (konieczne jest podanie więcej informacji niż w informacji wymaganej przez ustawe o ochronie danych osobowych). Np. w przypadku zbierania danych od osoby, której dane dotyczą (art. 13) administrator podaje m.in. następujące informacje

1. dane administratora

2. cel przetwarzania danych osobowych oraz podstawę prawną

3. informacje o odbiorcach danych

4. okres przez który informacje będą przechowywane lub gdy nie jest to możliwe, kryteria ustalenia tego okresu.

5. Informacje o prawie cofnięcia zgody (jeżeli przetwarzanie odbywa się na podstawie zgody)

6. informacje o prawie wniesienia skargi do organu nadzorczego

7. informacje o profilowaniu

Prawo do bycia zapomnianym

Prawo do bycia zapomnianym, zgodnie z art. 17 rozporządzenia, osoba ma prawo żądać od administratora, niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z okoliczności wymienionych w art. 17 (m.in. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub osoba której dane dotyczą cofnęła zgodę na której opiera się przetwarzanie).

Prawo do przenoszenia danych

Kolejną zmianą wprowadzoną przez RODO jest prawo do przenoszenia danych. Zgodnie z art. 20 RODO osoba której dane dotyczą ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczone te dane osobowe, jeżeli:

1. przetwarzanie odbywa się na podstawie zgody lub umowy określonej w przepisach oraz;

2. przetwarzanie odbywa się w sposób zautomatyzowany.

Ponadto osoba której dane dotyczą, ma prawo żądać, by dane osobowe zostały przesłane bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.

Prawo do sprzeciwu

Zgodnie z art. 21 RODO osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.

Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie sprzeciwu oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji.

Ograniczenie profilowania

Rozporządzenie definiuje profilowanie jako dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

RODO wprowadza ograniczenia w zakresie profilowania włączając w to obowiązek otrzymania zgody na profilowanie przed rozpoczęciem zbierania danych (art. 22), obowiązek informowania o profilowaniu (art. 15 ust. 1 h) oraz konieczność akceptacji braku zgody na profilowanie (art. 21 ust. 1).

Zgłaszanie naruszeń

Zgodnie z art. 33 rozporządzenie obowiązkiem administratorów danych będzie zgłaszanie w ciągu 72 godzin od wykrycia do właściwego organu nadzoru przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie musi zawierać elementy wymienione w art. 33 ust. 3 RODO (m.in. opis naruszenia, opis możliwych konsekwencji naruszenia ochrony danych osobowych, opis stosowanych lub proponowanych środków w celu zaradzenia naruszeniu ochrony danych osobowych).

Zgodnie z art. 34 ust. 1 jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia prawn i wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą o takim naruszeniu (wyjątki określone w art. 34 ust. 3.)

Wyznaczenie Inspektora Ochrony Danych Osobowych

Obowiązkiem niektórych podmiotów zarówno kontrolujących, jak i przetwarzających dane, będzie wyznaczenie Inspektora Ochrony Danych Osobowych. Zgodnie z art. 37 administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych zawsze gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 1

Obowiązkowa inwentaryzacja danych i wymagania związane z dokumentacją

Zgodnie z art. 30 ust. 1 rozporządzenia administrator będzie zobowiązany do przygotowania i utrzymania rejestrów czynności przetwarzania danych osobowych. W rejestrze zamieszcza się m.in. następujące informacje: imię i nazwisko oraz dane kontaktowe administratora, cele przetwarzania, opis kategorii osób których dane dotyczą, kategorie odbiorców którym dane osobowe zostały lub zostaną ujawnione, jeżeli jest to możliwe planowane terminy usunięcia poszczególnych kategorii danych, jeżeli jest to możliwe ogólny opis technicznych i organizacynych środków bezpieczeństwa.

Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10. Wyłącznie ma bardzo wąski charakter i nie będzie dotyczyło większości przedsiębiorców.

Ocena skutków przetwarzania danych

Zgodnie z art. 35 jeżeli dany rodzaj przetwarzania – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych. Dla podobnych operacji przetwarzania danych można przeprowadzić pojedynczą ocenę.

Ocena skutków dla ochrony danych jest wymagana w szczególności w przypadku:

a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;

b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub

c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Obowiązki administratora

Zgodnie z art. 25 administrator jest zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne aby przetwarzania odbywało się zgodnie z rozporządzeniem. Środki te powinny być w razie potrzeby poddawane przeglądom i uaktualnieniom. Rozporządzenie nie wskazuje konkretnie jaki środki powinny być wdrożone. Administrator ocenia jakie środki są odpowiednie biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia.

Zgodnie z art. 35 dotyczącym bezpieczeństwa przetwarzania, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, uwzględniając stan wiedzy technicznej, koszty wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Zgodnie z art. 35 w stosownym przypadku należy stosować m. in:

a) pseudonimizacje i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Bezpośrednia odpowiedzialność przetwarzającego dane

Podmioty przetwarzające dane osobowe pochodzące od innych podmiotów, w trakcie świadczenia usług na ich rzecz (jak na przykład firmy dostarczające rozwiązania w chmurze czy firmy hostingowe), będą ponosić bezpośrednią odpowiedzialność za naruszenie przepisów RODO, włączając w to ryzyko otrzymania kary finansowej (art. 83).

Administracyjne kary pieniężne

Zgodnie z art. 83 rozporządzenia w razie naruszenia przepisów rozporządzenia organ nadzoru może nałożyć administracyjną karę pieniężną nawet do 20 000 000 euro, a w przypadku przedsiębiorstwa do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.