Wpisy

RODO – zmiany od 25 maja 2018r. dotyczące ochrony danych osobowych

25 maja 2018 roku wchodzi w życie RODO, czyli nowe unijne rozporządzenie dotyczące ochrony danych osobowych. Zmiany, jakie do tego czasu muszą wprowadzić firmy w krajach członkowskich są znaczące, a niedostosowanie się do nich grozi wielomilionowymi karami. Warto zapoznać się z najważniejszymi zmianami zachodzącymi w rozporządzeniu i rozpocząć przygotowania już teraz. 

RODO, zwane także GDPR lub Ogólnym Rozporządzeniem o Ochronie Danych to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Rozporządzenie weszło w życie 17 maja 2016 r. Zacznie ono obowiązywać bezpośrednio w krajowych porządkach prawnych od 25 maja 2018 r. Rozporządzenie wiązać będzie wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą.

Reforma ma pozwolić obywatelom UE i przedsiębiorcom na czerpanie maksymalnych korzyści z tzw. Jednolitego Rynku Cyfrowego, przy jednoczesnym zachowaniu bezpieczeństwa danych osobowych i poszanowaniu prawa do prywatności.

Czym więc są dane osobowe?  Zgodnie z artykułem 4 ust.1 RODO dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy etc.

W związku z tym RODO będzie dotyczyło wszystkich firm, które gromadzą i wykorzystują dane dotyczące osób fizycznych. Obejmie to zarówno duże korporacje jak i niewielkie rodzinne przedsiębiorstwa. Informacje o tym, jakie dane i w jakim celu są zbierane, kto jest ich administratorem, jakim podmiotom mogą zostać udostępnione oraz o prawach przysługujących osobom, których dane dotyczą będą przekazywane w „czytelnej” i łatwo dostępnej formie tak by osoba, która udostępnia swoje dane wiedziała na co wyraża zgodę.

Dotychczas w każdym z państw członkowskich UE obowiązywały różne zasady w zakresie ochrony danych osobowych. Każde państwo każdorazowo musiało dostosowywać swoje polityki do reguł obowiązujących w danym kraju. Natomiast nowe prawo dotyczące ochrony danych osobowych, które ma wejść w życie 25 maja 2018r. ma na celu ujednolicić zasady w całej Europie tak, aby było aktualne niezależnie od rozwoju technologii.

Nowe rozporządzenie reguluje kwestię „prawa do bycia zapomnianym”( prawo do usunięcia danych). Osoba, której dane dotyczą, będzie mogła żądać od administratora danych ich usunięcia (bez zbędnej zwłoki), jeżeli dane te nie są już niezbędne do celów, w których były zbierane lub w inny sposób przetwarzane. Administrator musi usunąc dane jeżeli zachodzi jedna z następujących okoliczności:

  • osoba, której dane dotyczą cofnęła zgodę;
  • osoba, której dane dotyczą wniosła sprzeciw wobec przetwarzania danych osobowych jej dotyczących;
  • dane osobowe były przetwarzane niezgodnie z prawem;
  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administratora.

Artykuł 17 Rozporządzenia gwarantuje usunięcie danych osobowych w określonych przez dokument okolicznościach. Dane muszą być usunięte też u wszystkich administratorów przetwarzających te dane w ramach umów pomiędzy sobą, wszystkich łącz do nich oraz ich replikacji (również ze wszystkich kopii tych danych, jakie firma posiada). Samo zaś wycofanie zgody na przetwarzanie danych ma być o wiele prostsze niż do tej pory.

Osoba powierzająca dane ma również prawo do ograniczenia przetwarzania danych (zgodnie z artykułem 18 rozporządzenia) jeżeli:

  • osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
  • przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
  • administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
  • osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Jeżeli przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą.

Surowe kary.

Chcąc wymusić przestrzeganie przepisów, rzecznicy ochrony danych osobowych (w Polsce – Generalny Inspektor Ochrony Danych Osobowych) będą mogli nakładać surowe kary na podmioty, które dopuszczają się naruszeń. Kary administracyjne mogą wynieść:

  • 10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa
  • do 20 000 000 euro lub – w przypadku przedsiębiorców – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
  • 100 tysięcy złotych kary administracyjnej, za naruszenia spowodowane przez administrację publiczną (według projektu z dnia 13.09.2017 roku ustawy o ochronie danych osobowych)

W RODO podany jest jedynie maksymalny wymiar kary. Należy mieć na uwadze, że kary te będą nakładane proporcjonalnie, w zależności od skali naruszenia przepisów.

Rozporządzenie o ochronie danych osobowych (RODO) daje 72 godziny przedsiębiorcy na zgłoszenie, że doszło do naruszenia danych z jego bazy.” Zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki”. Nie chodzi jednak tylko o zgłoszenie tego do organu nadzorczego jakim jest Generalny Inspektor Danych Osobowych (GIODO), ale również do wszystkich osób, których dane wyciekły. W przypadku braku możliwości poinformowania każdej osoby indywidualnie, konieczne będzie umieszczenie publicznie dostępnej informacji o naruszeniu, która będzie mogła trafić do wszystkich zainteresowanych. Będzie trzeba też poinformować, jakie to ryzyko za sobą niesie oraz wydać zalecenia, jak zminimalizować skutki wycieku.

Są jednak wyjątki. W RODO znalazł się także zapis, że administrator danych nie będzie musiał zgłaszać naruszenia, jeśli „jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych”.

 

Firmy mają bardzo mało czasu na dostosowanie się do Rozporządzenia RODO i jeżeli nie są jeszcze gotowe – warto zacząć już dziś, bo jak wiadomo: bezpieczeństwo jest w tym wszystkim najważniejsze. To właśnie do przedsiębiorstw należy decyzja jakie narzędzia wybiorą. Państwa unijne będą ich tylko rozliczać z efektów, a nie z rozwiązań.

 

Podstawa prawna:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) ((Dz. Urz. UE L 119 z 4.05.2016, z późn. zm.).

 

Zapraszamy do kontaktu z Nami.