Czym jest i co zmienia RODO?
RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane również ogólnym rozporządzeniem o ochronie danych bądź GDPR). Weszło w życie w maju 2016 r., jednak od dnia 25 maja 2018 r. zaczęło obowiązywać bezpośrednio we wszystkich krajowych porządkach prawnych. Jest efektem kilkuletnich prac nad reformą unijnych przepisów dotyczących ochrony danych, związanych z potrzebą dostosowania regulacji prawnych do ciągle zmieniającego się świata nowych technologii. Tym samym w ogólnym rozporządzeniu o ochronie danych zostały ustanowione przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych. Rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, a w szczególności ich prawo do ochrony danych osobowych. A zatem czego dotyczą i co zakładają najważniejsze zmiany wprowadzone niniejszym aktem prawnym?
- Rozszerzenie praw osoby, której dane dotyczą – na mocy RODO, każda osoba fizyczna ma prawo:
– do sprostowania danych osobowych: zgodnie z art. 16 RODO mają Państwo prawo żądać od administratora sprostowania danych osobowych, które są nieprawidłowe oraz żądać uzupełnienia niekompletnych danych osobowych;
– do usunięcia danych („prawo do bycia zapomnianym”): mają Państwo prawo żądać usunięcia danych przez administratora;
– do ograniczenia przetwarzania: mają Państwo prawo żądać ograniczenia przetwarzania w przypadkach określonych w RODO;
– do przenoszenia danych: mają Państwo prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe Państwa dotyczące, które zostały dostarczone administratorowi oraz prawo przesłać te dane osobowe innemu administratorowi;
– do sprzeciwu: mają Państwo prawo w dowolnym momencie wnieść sprzeciw;
– do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu: mają Państwo prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa;
– dostępu do danych: mają Państwo prawo pozyskać od administratora potwierdzenie, czy przetwarzane są dane osobowe jej dotyczące (a jeśli tak, są Państwo uprawnieni do uzyskania dostępu do nich oraz informacji określonych w art. 15 RODO).
- Rozbudowanie obowiązku informacyjnego – na mocy ogólnego rozporządzenia o ochronie danych rozszerzono ilość informacji, które należy przekazać osobie, której dane dotyczą.
- Ochrona danych osobowych w fazie projektowania (privacy by design) oraz domyślna ochrona danych (privacy by default) – ochronę danych należy mieć na uwadze już od etapu projektowania. Oznacza to, że ochrona prywatności jest istotna od samego początku tworzenia projektu. Należy zatem wziąć pod uwagę cele, zakres i charakter przetwarzania, a także związane z nim ryzyko naruszenia praw lub wolności osób fizycznych. Jeśli chodzi o domyślną ochronę danych, to zakłada ona, że ochrona obywatela ma być zapewniona w maksymalnym stopniu.
- Zgłaszanie naruszeń ochrony danych osobowych – administrator jest obowiązany zgłosić naruszenie ochrony danych osobowych do właściwego organu nadzoru, w ciągu maksymalnie 72 h od stwierdzenia naruszenia.
- Kary pieniężne – w przypadku naruszenia przepisów RODO może zostać nałożona kara w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
- Konieczność stosowania zaktualizowanych klauzul informacyjnych oraz stosowanie pełnych klauzul (zakaz skrótowości).
- Wdrożenie i stosowanie odpowiedniego systemu udostępniania danych, zrealizowanie żądania przekazania danych oraz rozpoznawania składanych sprzeciwów wobec przetwarzania danych (a także narzędzi, które pozwalają usunąć dane w razie jego uwzględnienia).
- Dostosowanie wszelkich działań w obszarze danych osobowych do konkretnej sytuacji.
- Organem właściwym do zgłaszania naruszeń w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych – zgłoszenia naruszenia dokonuje się elektronicznie za pomocą odpowiedniego formularza, który należy wypełnić oraz załączyć do pisma ogólnego dostępnego na platformie biznes.gov.pl (więcej informacji znajduje się na stronie www.uodo.gov.pl).