Czym jest RODO i jakie zmiany wprowadza nowa ustawa Parlamentu Europejskiego?

Parlament Europejski oraz Rada Unii Europejskiej przyjęły 24 maja 2016 roku nowe rozporządzenie dotyczące przetwarzania danych osobowych — RODO. Firmy działające na terenie UE, które gromadzą dane na temat osób fizycznych mają czas na wdrożenie zmian do dnia 25 maja 2018 roku.

Czym jest RODO i jakie zmiany wprowadza nowa ustawa Parlamentu Europejskiego?

Rafał Stępniewski

3 lipca 2017

Parlament Europejski oraz Rada Unii Europejskiej przyjęły 24 maja 2016 roku nowe rozporządzenie dotyczące przetwarzania danych osobowych — RODO. Firmy działające na terenie UE, które gromadzą dane na temat osób fizycznych mają czas na wdrożenie zmian do dnia 25 maja 2018 roku. Wtedy to też rozporządzenie będzie obowiązywać we wszystkich krajach członkowskich Unii Europejskiej bezpośrednio, co oznacza, że np. w Polsce nie będzie konieczne wydanie dodatkowego aktu prawnego je wdrażającego. Jakie zmiany czekają polskich przedsiębiorców? Co należy wiedzieć o nowych zasadach przetwarzania danych osobowych?

Kto podlega pod RODO?

Rozporządzenie, nazywane GDPR (od angielskiej nazwy General Data Protection Regulation), a w Polsce znane pod nazwą RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych) stosowane będzie od 25 maja 2018 roku w całej Unii Europejskiej.

Nowe przepisy będą stosowane bezpośrednio (zatem będą wiążące dla każdego przedsiębiorcy) i dotyczyć będą każdej firmy, która świadczy swoje produkty lub usługi osobom prywatnym (fizycznym) w całej Unii Europejskiej.

Uwaga — rozporządzenie RODO dotyczyć będzie też firm, które nie mają swojej siedziby w którymś z krajów UE, ale oferują swoje usługi osobom tam mieszkającym. Mowa tutaj nie tylko o dużych korporacjach, działających globalnie, ale także niewielkich przedsiębiorstwach działających lokalnie — np. niewielkich sklepach internetowych, gromadzących dane swoich klientów w celu realizacji zamówienia.

Najważniejsze zmiany wprowadzone przez RODO

Nowe definicje wprowadzone przez RODO:

  • profilowanie — czyli przewidywanie tego, co klient sklepu internetowego kupi następnym razem, bazując na zebranych danych na temat jego preferencji zakupowych, ale także sytuacji zdrowotnej, finansowej, bieżącej lokalizacji i innych;
  • pseudonimizacja — proces (spseudonimizowane), po którym można przypisać konkretne dane do określonej osoby; forma zabezpieczenia danych osobowych;
  • wyodrębnienie osobnych definicji dotyczących danych na temat zdrowia i danych genetycznych;
  • wprowadzenie nowej definicji danych biometrycznych — wraz z generalnym zakazem przetwarzania takich danych;
  • nowa definicja jednostki organizacyjnej;
  • definicja zgody na przetwarzanie danych osobowych — rozporządzenie określa, że wyrażenie zgody musi mieć formę okazania woli w formie oświadczenia lub wyraźnego działania potwierdzającego.

Procedura oceny skutków (DPIA)

Ocena powinna być przeprowadzana za każdym razem, gdy istnieje ryzyko, że podczas przetwarzania danych osobowych naruszone zostanie prawo lub wolność osób fizycznych. RODO dokładnie określa, w jakich sytuacjach konieczne jest przeprowadzenie takiej procedury, a kiedy Administrator Danych Osobowych może ją pominąć.

Zgłaszanie incydentów bezpieczeństwa

Administratorzy Danych Osobowych, wraz z nadejściem nowego rozporządzenia, będą musieli także zgłaszać wszelkie incydenty związane z naruszeniem bezpieczeństwa danych osobowych, określanych przez RODO jako takie, które “prowadzą do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych”.

Administrator ma 72 godziny na zgłoszenie GIODO faktu zaistnienia takiego incydentu.

Dodatkowo RODO wprowadza obowiązek prowadzenia tak zwanego rejestru naruszeń, w którym powinny się znajdować  wszystkie informacje na temat naruszeń.

Nowe prawa obywateli

Rozporządzenie GDPR wprowadzi też kilka nowych praw dla obywateli, a wśród nich:

  • Możliwość żądania przeniesienia danych;
  • Obywatel zyska wzmocnione prawo do wglądu i dostępu do swoich danych;
  • Możliwość usunięcia danych osobowych obywatela („Prawo do bycia zapomnianym”).

Inspektor Ochrony Danych

Wraz z wejściem w życie RODO w przedsiębiorstwach, które zarówno przetwarzają, jak i kontrolują dane osobowe wymagane będzie wyznaczenie osoby na stanowisko Inspektora Ochrony Danych (IOD) – zastąpi ona Administratora Bezpieczeństwa Informacji.

Współadministrator danych osobowych

Inną nowością, jaką wprowadzi RODO są współadministratorzy danych osobowych. Dzięki temu spółki, które należą do tej samej grupy kapitałowej będą mogły wspólnie zarządzać danymi osobowymi.

Nowe procedury

RODO wprowadza także nowe procedury, wśród których są między innymi privacy by design i privacy by default. Zmiany te wymuszają na Administratorach konieczność wdrożenia zasad prywatności na etapie projektowania oraz to, że zasady prywatności powinny stanowić „domyślny” element składowy każdego projektu zakładającego przetwarzanie danych osobowych.

Rejestr czynności przetwarzania

Administratorzy mają także – określony przez RODO – obowiązek prowadzenia rejestru czynności przetwarzania. Zawierać on powinien informacje na temat administratorów i innych osób zajmujących się przetwarzaniem danych osobowych, cel ich przetwarzania, listę osób, którym dane te zostały udostępnione i sposoby ich zabezpieczenia.

Jak RODO wpłynie na działy w firmach oraz mniejsze przedsiębiorstwa?

Rozporządzenie unijne dotyczące ochrony danych osobowych wprowadzi znaczne zmiany w pracy poszczególnych działów w dużych firmach – w szczególności tych zajmujących się rekrutacją pracowników. Działy HR, w świetle nowych obowiązków, muszą informować kandydatów o tym, w jakim celu oraz jak długo będą przetwarzane podane przez nich dane, oraz kto będzie miał do nich dostęp.

Mniejsze firmy – te, które zatrudniają mniej niż 250 pracowników – mają też pewne przywileje, których nie mają firmy duże. Jest to między innymi brak obowiązku prowadzenia rejestru czynności przetwarzania (o ile przetwarzane nie są dane wrażliwe). Mniejsze przedsiębiorstwa mają też więcej czasu na wdrożenie wszelkich wymagań i jest on dostosowany do ich możliwości.

Podsumowując, RODO wprowadza szereg obowiązków, które mogą być kłopotliwe do wdrożenia dla przedsiębiorców. Jednakże rozporządzenie nakłada też na organy nadzorcze obowiązek edukacyjny, stąd osoby, których dane są przetwarzane będą bardziej świadome tego faktu i będą znać dokładne procedury.

RODO a handel w Internecie

Unijne rozporządzenie dotyczące ochrony i przetwarzania danych osobowych wymuszą także wprowadzenie zmian w firmach, które swoją działalność opierają na handlu w sieci.

Zbiór danych

Jest to baza zawierająca wszystkie informacje na temat klientów sklepu internetowego i w myśl ustawy o ochronie danych osobowych stanowi ona zbiór danych. Dotychczas GIODO wymagało od właścicieli sklepów internetowych rejestrowania takich zbiorów – co nie zawsze było czynnością łatwą. Wraz z wejściem w życie RODO przedsiębiorcy nie będą musieli rejestrować w GIODO zbioru danych.

Deklaracje zgód

Sklepy internetowe muszą także wprowadzić zmiany w zgodach na przetwarzanie danych osobowych klienta. Od 25 maja 2018 roku, kiedy RODO będzie działało w całej UE, zgody na przetwarzanie danych muszą być wyrażane przez klientów w sposób świadomy, zatem nie spotkamy się już z zaznaczaniem jednego punktu i wyrażaniem kilku zgód jednocześnie. Wyrażenie zgody musi być wyraźnym działaniem w postaci potwierdzenia lub oświadczenia. Dodatkowo zgody muszą być jednoznaczne i napisane w czytelny, zrozumiały dla klienta sposób.

Zmiany w regulaminach

Wprowadzenie RODO zakłada, że dzięki niemu konsumenci będą bardziej świadomi tego, jak przetwarzane są ich dane osobowe i jakie mają w tym zakresie prawa. Dlatego też sklepy internetowe mają obowiązek wprowadzenia do swoich regulaminów nowych zapisów, informujących  klientów o tym, w jakim celu i w jaki sposób ich dane są przetwarzane. Oprócz tego, sklep internetowy musi zapewnić w swoim regulaminie, że nie udostępni danych osobowych konsumenta innym firmom, a klient ma prawo zgłosić administratorowi chęć zaprzestania ich przetwarzania. Dodatkowo konsumenci muszą mieć świadomość tego, że w razie zauważenia wszelkich nieprawidłowości mogą złożyć skargę do GIODO.

Kary – narzędzie w ręku GIODO

Oprócz korzyści dla osób fizycznych, RODO ułatwia także polskiemu organowi ochrony danych osobowych egzekwowanie przestrzegania przepisów. GIODO wraz z wejściem w życie RODO będzie mógł nakładać bardzo wysokie finansowe kary na przedsiębiorców, którzy nie zastosują się do rozporządzenia.

Główny Inspektorat Ochrony Danych Osobowych będzie dysponował możliwością nałożenia kar administracyjnych w postaci 4% rocznego obrotu przedsiębiorstwa lub nawet 20 milionów euro — w zależności od tego, która kwota będzie wyższa.

Pełen tekst RODO w wersji polskiej

Z pełnym tekstem Rozporządzenia Ogólnego o Ochronie Danych Osobowych można zapoznać się na stronach EUR-Lex, która gromadzi wszystkie akty prawne Unii Europejskiej. Polska wersja dokumentu znajduje się pod tym adresem.

 

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!