Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO / GDPR) – co należy wiedzieć?
10-01-2018

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony danych osobowych i swobodnego przepływu tych danych, nazywane również „RODO” lub „GDPR”, „ogólnym rozporządzeniem o ochronie danych osobowych” jest kompleksową regulacją, która wprowadza rewolucję w zakresie ochrony danych osobowych, poprzez m.in. nałożenie nowych obowiązków na podmioty przetwarzające dane osobowe, wzmacnianie ochrony praw osób fizycznych (ochrona danych poufnych), wprowadzenie nowego schematu kontroli i systemu kar.

 

Rozporządzenie znacząco rozszerza pojęcie danych osobowych podlegających ochronie – są to już nie tylko informacje o zidentyfikowanej lub o możliwej do identyfikowania osobie fizycznej takie jak imię, nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy, ale również „jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość”.

 

Ochroną objęte zostały również dane poufne tj. dane genetyczne, biometryczne, dotyczące zdrowia a zwłaszcza dotyczące:

  • odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub o zdrowiu a wynikają z analizy, badania próbki biologicznej;
  • cech fizycznych, fizjologicznych, behawioralnych osoby fizycznej, które umożliwiają identyfikację osoby;
  • wizerunek twarzy, dane daktyloskopijne;
  • dane osobowe o zdrowiu fizycznym, psychicznym, historia opieki zdrowotnej.

Rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób zarówno zautomatyzowany jak niezautomatyzowany, w zakresie operacji takich jak „zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”.

rodo gdpr artykul szkolenia
Zasady przetwarzania danych osobowych

Rozporządzenie wprowadza katalog zasad przetwarzania danych osobowych. Wprowadzenie takiego katalogu w treści rozporządzenia pozwala na wyznaczenie nowych standardów w zakresie ochrony danych osobowych, jednocześnie wyznacza nowe obowiązki, którym muszą sprostać przedsiębiorcy przetwarzający dane osobowe.

 

Artykuł 6 rozporządzenia wskazuje na zamknięty katalog warunków, które muszą zostać spełnione by uznać, że przetwarzanie danych osobowych odbywa się zgodnie z prawem (musi zostać spełniony przynajmniej jeden ze wskazanych warunków):

  1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Rozporządzenie wskazuje, iż przetwarzanie danych osobowych powinno odbywać się na zasadach zgodności z prawem, rzetelności i przejrzystości. Zadaniem administratora danych osobowych jest zatem zapewnienie, aby przechowywane dane, były danymi aktualnymi, a ich przetwarzanie przebiegało w myśl litery prawa, bez zakłóceń. Chcąc zrealizować nałożone na niego obowiązki, administrator danych musi podjąć szereg czynności polegających na wdrożeniu środków pozwalających wyeliminować błędy, chroniących przetwarzane dane osobowe, umożliwiających usunięcie ewentualnych nieprawidłowości. Rozporządzenie wskazuje również wytyczne w zakresie ilości przechowywanych i przetwarzanych danych osobowych, stanowiąc, iż dane powinny być ograniczone do niezbędnego minimum pozwalającego jednocześnie zrealizować cel, dla którego są pozyskane. Kolejno rozporządzenie nakłada obowiązek przetwarzania danych w sposób zapewniający bezpieczeństwo tychże danych. Zadaniem administratora jest dbałość o to, by dane nie zostały zmodyfikowane czy usunięte przez podmiot nieuprawniony. Administrator musi podjąć odpowiednie działania, by ocenić ryzyka, a kolejno dostosować odpowiednie środki techniczne mające zapobiegać nadużyciom, pozwalające jednocześnie na zachowanie spójności i poufności danych. Rozporządzeniu przyświeca zasada: „privacy by design, privacy by default”, którą należy rozumieć jako nakaz analizy ryzyka utraty danych osobowych i ochrony tychże danych już od etapu planowania, poprzez wdrożenie, funkcjonowanie, aż do samego zakończenia działania konkretnej aplikacji oraz jako nakaz stosowania takich środków techniczno-organizacyjnych, które spowodują przetwarzanie tylko danych niezbędnych, pozyskanych w celu przetwarzania dla konkretnego celu. Analizując zasady wypływające z rozporządzenie, daje się zauważyć spójność, zasada minimalizacji danych na pewno idealnie współgra z zasadą „privacy by design, privacy by default”.

Jak i do kiedy trzeba wprowadzić nowe zasady RODO/GDPR w swoim przedsiębiorstwie?

Rozporządzenie weszło w życie 17 maja 2016 roku. Zacznie ono obowiązywać od 25 maja 2018 roku. Do tego czasu przetwarzający dane osobowej mają czas na sporządzenie harmonogramu wdrożenia zmian w swoich praktykach i ich przeprowadzenie.

Kto jest zobowiązany stosować unijne zasady ochrony danych osobowych?

Rozporządzenie ma zastosowanie do tych, którzy w ramach swojej działalności przetwarzają dane osobowe. RODO wprowadza pojęcie „administratora” oraz „podmiotu przetwarzającego”.

 

Administratorem może być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (cele i sposoby przetwarzania mogą określać przepisy prawa krajowego lub prawa Unii, mogą one też wyznaczać samego administratora). To możliwość ustalenia celu i sposobu przetwarzania danych przez daną jednostkę decyduje o tym, czy jest ona administratorem.

 

Poprzez podmiot przetwarzający należy rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Jest to odrębna jednostka, która wykonuje czynności związane z przetwarzaniem w imieniu administratora.

 

Zatem administratorem lub podmiotem przetwarzającym może być podmiot przetwarzający dane osobowe niezależnie od formy prawnej prowadzonej działalności np. spółka z ograniczoną odpowiedzialnością, przedsiębiorca prowadzący jednoosobową działalność gospodarczą wówczas gdy zbiera dane swoich klientów, kontrahentów oraz pracowników. Dla odróżnienia administratora od przetwarzającego należy odpowiedzieć na pytanie, czy dany podmiot decyduje o celu, o tym po co, dlaczego oraz jakie dane osobowe są przetwarzane.

Czy podmioty spoza Unii będą zobowiązane do stosowania Unijnych zasad ochrony danych osobowych?

Mając na celu zapewnienie konkurencyjności pomiotów z Unii Europejskiej i tych spoza niej te ostatnie będą zobowiązane do stosowania RODO w zakresie przetwarzania danych osobowych osób przebywających na terenie Unii wówczas gdy czynność przetwarzania będą związane z oferowaniem towarów lub usług osobom będącym w UE, lub monitorowaniem ich zachowania wówczas gdy do zachowania dochodzi w UE.

 

Przetwarzający  dane osobowe spoza Unii Europejskiej będzie zobowiązany do przestrzegania zapisów Rozporządzenia oraz do wyznaczenia swojego przedstawiciela na terytorium Unii Europejskiej. Takim przedstawicielem może być zarówno osoba fizyczna, jak i prawna mająca miejsce zamieszkania lub siedzibę na terenie Unii. Ponadto przedstawiciel musi mieć siedzibę na terenie tego państwa członkowskiego, w którym są osoby, których to dane osobowe są przetwarzane.

Zgoda na przetwarzanie danych osobowych

Zarówno dla podmiotów przetwarzających dane osobowe, jak również dla odbiorców – osób fizycznych szczególnie istotna będzie (a na pewno powinna być) procedura pozyskiwania zgód na przetwarzanie danych osobowych. Prawodawca unijny starannie doprecyzowuje, jakie warunki musi spełniać zgoda na przetwarzanie danych osobowych. Zgoda ma być dobrowolnym, świadomym, konkretnym oraz jednoznacznym okazaniem woli odbiorcy. Zgoda taka – jako wyraźne działanie – może przybrać postać oświadczenia lub potwierdzenia. O czym należy pamiętać, powinna zostać uzyskana, na każdy z celów przetwarzania danych osobowych. Ponadto, co ważne, zgodę taką osoba jej udzielająca może wycofać.

 

Poza wspomnianymi już zasadami, rozporządzenie nakłada również obowiązek kierowania do osób fizycznych jasnych, klarownych komunikatów, tak by odbiorca tegoż komunikatu zrozumiał jego treść, przekaz. Dodatkowo administrator musi pamiętać, że nie tylko jest zobowiązany działać zgodnie z zasadami, jakie nakłada na niego rozporządzenie, ale musi również potrafić wykazać, że właśnie takie działania podjął, że są to działania, którym przyświecają wszystkie wyżej wymienione zasady.

Sankcje

Rozporządzenie nakładając szereg obowiązków na przetwarzających dane osobowe, przewiduje również sankcje za ich naruszenie. Sankcje, jakie przewiduje rozporządzenie to maksymalnie 20 000 000 euro lub do 4% całkowitego światowego obrotu za poprzedni rok obrotowy za uchybienia w obrocie danych osobowych. Na pierwszy rzut oka zatem daje się zauważyć, iż są to sankcje znacznie wyższe od tych, które obecnie stosuje GIODO.

Tematyka Cię zainteresowała? Zapraszamy na szkolenie!

Fundacja Międzynarodowe Centrum Innowacji we współpracy z Capital Business Links zapraszają na warsztaty „Nowe GIODO, jak przygotować przedsiębiorstwo na RODO? Ochrona danych osobowych po wejściu w życie Rozporządzenia ogólnego o ochronie danych osobowych.”

 

Termin szkolenia: 31.01.2018, godz. 10:30

Miejsce szkolenia: Fundacja Międzynarodowe Centrum Innowacji, Rakowicka 1/Ip, Kraków

Ilość miejsc: grupa warsztatowa do 12 osób

 

Szkolenie obejmie tematykę ochrony danych osobowych w świetle wejścia w życie nowego rozporządzenia o ochronie danych osobowych (RODO) oraz zbliżającej się daty 25 maja 2018 r., kiedy to zacznie ono obowiązywać. Na szkoleniu przybliżymy m.in. tematykę pojęcia danych osobowych podlegających ochronie, tematykę zgód na przetwarzanie danych osobowych, będziemy mówić o zasadach przetwarzania danych osobowych. Odpowiemy również na pytania jak i do kiedy przedsiębiorcy są zobowiązani wprowadzić nowe zasady RODO do swojej firmy, kto jest zobowiązany stosować unijne zasady ochrony danych osobowych, jak również czy podmioty spoza Unii Europejskiej są zobowiązane stosować RODO. Na koniec poinformujemy również o sankcjach za naruszenie zasad przetwarzania danych osobowych, jakie przewiduje rozporządzenie.

 

szkolenie RODO

 

Autorki artykułu:
  • Marta Kwiatkowska

    Radca prawny, ukończyła Wydział Prawa i Administracji Uniwersytetu Jagiellońskiego, aplikację radcowską odbyła przy Okręgowej Izbie Radców Prawnych w Krakowie. Specjalizuje się w prawie cywilnym, administracyjnym, własności przemysłowej, e-commerce. Specjalistka w zakresie sukcesji przedsiębiorstw oraz ochrony danych osobowych, posiada kilkuletnie doświadczenie w obsłudze prawnej przedsiębiorstw.
  • Magdalena Banach

    Ukończyła studia prawnicze na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie. Rozwijając swoją wiedzę i umiejętności ukończyła studia podyplomowe Akademia Spółek, orgaznizowane przez Szkołę Główną Handlową w Warszawie. Aktualnie realizuje program studiów doktoranckich na Uniwersytecie Warszawskim, przygotowując się do obrony rozprawy z zakresu prawa holdingowego. Specjalizuje się w prawie spółek handlowych, prawie administracyjnym a także w prawie podatkowym.
formularz kontaktowy
Imię i nazwisko:
Telefon kontaktowy:
Adres e-mail:
Lokalizacja:
Wiadomość:
Skontaktuj się