Rozporządzenie o Ochronie Danych Osobowych (RODO), znane również jako General Data Protection Regulation (GDPR), to najważniejszy akt prawny w Unii Europejskiej dotyczący ochrony danych osobowych. Zostało wprowadzone, aby zapewnić jednolity poziom ochrony danych osobowych w całej UE i zwiększyć kontrolę obywateli nad ich danymi. W niniejszym artykule omówimy kluczowe aspekty RODO, które powinny być znane każdemu przedsiębiorcy, administratorowi danych oraz osobie, której dane są przetwarzane.
Spis treści
- Podstawowe pojęcia
- Zasady przetwarzania danych osobowych
- Prawa osób, których dane dotyczą
- Obowiązki administratorów danych
- Przetwarzanie danych osobowych a zgoda
- Inspektor Ochrony Danych
- Sankcje za naruszenie RODO
- Praktyczne wskazówki dla przedsiębiorców
Podstawowe pojęcia
- Dane osobowe
Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (Art. 4 pkt 1 RODO). Mogą to być m.in. imię, nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy.
- Administrator danych
Administrator danych to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (Art. 4 pkt 7 RODO).
- Podmiot przetwarzający
Podmiot przetwarzający to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora (Art. 4 pkt 8 RODO).
Zasady przetwarzania danych osobowych
RODO wprowadza siedem podstawowych zasad przetwarzania danych osobowych (Art. 5 RODO):
Zasada legalności, rzetelności i przejrzystości
Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
Zasada ograniczenia celu
Dane osobowe powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie powinny być przetwarzane w sposób niezgodny z tymi celami.
Zasada minimalizacji danych
Dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do realizacji celów, w których są przetwarzane.
Zasada prawidłowości
Dane osobowe powinny być prawidłowe i w razie potrzeby uaktualniane. Należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.
Zasada ograniczenia przechowywania
Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
Zasada integralności i poufności
Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Zasada rozliczalności
Administrator jest odpowiedzialny za przestrzeganie wszystkich powyższych zasad i musi być w stanie wykazać ich przestrzeganie.
Prawa osób, których dane dotyczą
RODO wzmacnia prawa osób, których dane dotyczą, wprowadzając nowe uprawnienia oraz rozbudowując istniejące. Do najważniejszych praw należą:
1. Prawo dostępu do danych (Art. 15 RODO)
Osoba, której dane dotyczą, ma prawo uzyskać od administratora potwierdzenie, czy jej dane są przetwarzane, a jeżeli tak, to dostęp do tych danych oraz informacje na temat ich przetwarzania.
2. Prawo do sprostowania danych (Art. 16 RODO)
Osoba, której dane dotyczą, ma prawo żądać od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe, oraz uzupełnienia niekompletnych danych.
3. Prawo do usunięcia danych (Art. 17 RODO)
Osoba, której dane dotyczą, ma prawo żądać od administratora niezwłocznego usunięcia jej danych osobowych w określonych przypadkach, np. gdy dane nie są już potrzebne do celów, w których zostały zebrane, lub gdy wycofana została zgoda na ich przetwarzanie.
4. Prawo do ograniczenia przetwarzania (Art. 18 RODO)
Osoba, której dane dotyczą, ma prawo żądać od administratora ograniczenia przetwarzania jej danych osobowych w określonych przypadkach, np. gdy kwestionuje prawidłowość danych lub sprzeciwia się ich przetwarzaniu.
5. Prawo do przenoszenia danych (Art. 20 RODO)
Osoba, której dane dotyczą, ma prawo otrzymać dotyczące jej dane osobowe, które dostarczyła administratorowi, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, oraz ma prawo przesłać te dane innemu administratorowi bez przeszkód ze strony administratora, któremu te dane zostały dostarczone.
6. Prawo do sprzeciwu (Art. 21 RODO)
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych, opartego na prawnie uzasadnionych interesach administratora lub na zadaniu realizowanym w interesie publicznym.
7. Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji (Art. 22 RODO)
Osoba, której dane dotyczą, ma prawo nie podlegać decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, która wywołuje wobec niej skutki prawne lub w podobny sposób istotnie na nią wpływa.
Obowiązki administratorów danych
RODO nakłada na administratorów danych szereg obowiązków, które mają na celu zapewnienie zgodności z przepisami oraz ochronę danych osobowych.
- Obowiązek informacyjny (Art. 13-14 RODO)
Administrator musi poinformować osoby, których dane dotyczą, o przetwarzaniu ich danych osobowych, w tym o celach, podstawach prawnych, odbiorcach danych oraz przysługujących im prawach.
- Obowiązek prowadzenia rejestru czynności przetwarzania (Art. 30 RODO)
Administrator i podmiot przetwarzający są zobowiązani do prowadzenia rejestru czynności przetwarzania, który zawiera informacje m.in. o celach przetwarzania, kategoriach osób, których dane dotyczą, oraz kategoriach odbiorców danych.
- Obowiązek zgłaszania naruszeń ochrony danych osobowych (Art. 33-34 RODO)
W przypadku naruszenia ochrony danych osobowych, administrator ma obowiązek zgłosić to naruszenie do organu nadzorczego (w Polsce: Prezesa Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od jego stwierdzenia. Jeśli naruszenie może powodować wysokie ryzyko dla praw i wolności osób fizycznych, administrator musi również powiadomić osoby, których dane dotyczą.
- Obowiązek przeprowadzenia oceny skutków dla ochrony danych (Art. 35 RODO)
Administrator ma obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA), gdy planowane operacje przetwarzania mogą powodować wysokie ryzyko dla praw i wolności osób fizycznych.
- Zasada ochrony danych w fazie projektowania i domyślnej ochrony danych (Art. 25 RODO)
Administrator musi uwzględniać ochronę danych osobowych już na etapie projektowania systemów i procesów przetwarzania danych (privacy by design) oraz stosować domyślne ustawienia zapewniające maksymalną ochronę danych osobowych (privacy by default).
Przetwarzanie danych osobowych a zgoda
Jednym z kluczowych aspektów RODO jest uzyskanie zgody na przetwarzanie danych osobowych. Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna (Art. 7 RODO).
Dobrowolność zgody
Zgoda musi być wyrażona dobrowolnie, bez jakiejkolwiek presji lub przymusu. Osoba, której dane dotyczą, musi mieć realny wybór.
Konkretność zgody
Zgoda musi być udzielona na konkretne cele przetwarzania danych osobowych. Nie można uzyskać zgody „in blanco”.
Świadomość zgody
Osoba, której dane dotyczą, musi być świadoma, na co dokładnie wyraża zgodę, oraz jakie będą konsekwencje przetwarzania jej danych.
Jednoznaczność zgody
Zgoda musi być wyrażona jednoznacznym działaniem, takim jak zaznaczenie odpowiedniego pola w formularzu. Milczenie lub nieaktywność nie mogą być uznane za zgodę.
Inspektor Ochrony Danych
RODO wprowadza instytucję Inspektora Ochrony Danych (IOD), który ma na celu wspieranie administratora i podmiotu przetwarzającego w kwestiach związanych z ochroną danych osobowych (Art. 37-39 RODO).
Kiedy należy powołać IOD?
Powołanie IOD jest obowiązkowe w przypadku, gdy:
- Przetwarzania dokonuje organ publiczny lub podmiot publiczny.
- Główne czynności administratora lub podmiotu przetwarzającego polegają na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.
- Główne czynności administratora lub podmiotu przetwarzającego polegają na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (np. danych dotyczących zdrowia) lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Zadania IOD – Inspektor Ochrony Danych jest odpowiedzialny za:
- Informowanie i doradzanie administratorowi oraz pracownikom w zakresie ich obowiązków związanych z ochroną danych osobowych.
- Monitorowanie przestrzegania przepisów RODO oraz polityk administratora lub podmiotu przetwarzającego.
- Udzielanie zaleceń w zakresie oceny skutków dla ochrony danych oraz monitorowanie jej wykonania.
- Współpraca z organem nadzorczym oraz pełnienie funkcji punktu kontaktowego dla organu nadzorczego.
Sankcje za naruszenie RODO
RODO wprowadza surowe sankcje za naruszenie przepisów dotyczących ochrony danych osobowych (Art. 83 RODO).
Rodzaje sankcji
Sankcje mogą obejmować:
- Upomnienia i nakazy od organu nadzorczego.
- Administracyjne kary pieniężne.
- Wysokość kar pieniężnych
Wysokość kar pieniężnych zależy od rodzaju naruszenia i może sięgać do 20 milionów euro lub 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa.
Praktyczne wskazówki dla przedsiębiorców
- Przeprowadzenie audytu danych
Przeprowadzenie audytu danych pomoże zidentyfikować, jakie dane osobowe są przetwarzane, w jakich celach i na jakiej podstawie prawnej. Audyt pozwoli również ocenić, czy przetwarzanie jest zgodne z zasadami RODO.
- Aktualizacja polityk i procedur
Przedsiębiorcy powinni zaktualizować swoje polityki i procedury dotyczące ochrony danych osobowych, aby były zgodne z przepisami RODO. Polityki te powinny obejmować m.in. zasady dotyczące uzyskiwania zgód, realizacji praw osób, których dane dotyczą, oraz postępowania w przypadku naruszeń ochrony danych.
- Szkolenia dla pracowników
Przeprowadzenie szkoleń dla pracowników na temat zasad ochrony danych osobowych oraz obowiązków wynikających z RODO jest kluczowe dla zapewnienia zgodności z przepisami i minimalizacji ryzyka naruszeń.
- Wdrożenie środków technicznych i organizacyjnych
Wdrożenie odpowiednich środków technicznych i organizacyjnych, takich jak szyfrowanie danych, regularne audyty bezpieczeństwa oraz ograniczenie dostępu do danych, pomoże w zapewnieniu odpowiedniego poziomu ochrony danych osobowych.
- Nawiązanie współpracy z IOD
Nawiązanie współpracy z Inspektorem Ochrony Danych, jeżeli jego powołanie jest wymagane, pomoże w monitorowaniu zgodności z przepisami RODO oraz w bieżącym rozwiązywaniu problemów związanych z ochroną danych osobowych.
Podsumowanie
RODO wprowadza kompleksowe regulacje dotyczące ochrony danych osobowych, które mają na celu zapewnienie wysokiego poziomu ochrony prywatności osób fizycznych. Administratorzy danych muszą przestrzegać zasad przetwarzania danych, realizować prawa osób, których dane dotyczą, oraz wypełniać szereg obowiązków związanych z przetwarzaniem danych osobowych. Surowe sankcje za naruszenie przepisów RODO podkreślają wagę przestrzegania tych regulacji. Przedsiębiorcy powinni podejść do ochrony danych osobowych z należytą starannością, wdrażając odpowiednie środki techniczne i organizacyjne oraz zapewniając regularne szkolenia dla swoich pracowników.