Przystanek RODO: nowe zasady ochrony danych osobowych

Zapraszamy Państwa na cykl artykułów poświęconych tematyce nadchodzących zmian dotyczących ochrony danych osobowych. W niniejszej publikacji, tytułem wstępu, prezentujemy Państwu najważniejsze informacje, odpowiemy na pytania czym jest RODO, kogo będzie dotyczyć oraz dlaczego jest ważne z punktu widzenia przedsiębiorców.

Czym jest RODO?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w skrócie RODO lub GDPR, to akt prawny Unii Europejskiej, którego celem jest ujednolicenie przepisów dotyczących ochrony danych osobowych we wszystkich państwach członkowskich UE.

Rozporządzenie zostało przyjęte 27 kwietnia 2016 r. i zacznie być stosowane w całej Unii Europejskiej od 25 maja 2018 r. bez potrzeby wydawania aktów prawnych wdrażających je do krajowego porządku prawnego. Oznacza to, że Rozporządzenie zastąpi obecnie obowiązujące przepisy dotyczące danych osobowych, w tym ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Rozporządzenie przewiduje jedynie kilka obszarów, w których państwa członkowskie mogą samodzielnie zdecydować o kształcie przepisów dotyczących określonego zagadnienia. Obszary te to między innymi zagadnienia związane z ochroną danych wrażliwych, certyfikacji w dziedzinie ochrony danych osobowych, czy granicy wiekowej, do której wymagana będzie zgoda rodzica lub opiekuna na korzystanie przez dziecko z usług społeczeństwa informacyjnego (np. usługi poczty elektronicznej czy portali społecznościowych).

Kogo i czego dotyczy?

RODO wprowadzi wiele zmian, które będą dotyczyć wszystkich podmiotów (zarówno organów państwowych jak i podmiotów gospodarczych), które przetwarzają dane osobowe. Dane osobowe to informacje o osobie fizycznej, za pomocą których jest możliwa identyfikacja tej osoby (bezpośrednio lub pośrednio). W szczególności będzie to imię i nazwisko, numer identyfikacyjny (np. PESEL), dane o lokalizacji, identyfikator internetowy lub czynniki określające fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Danymi osobowymi nie będą pojedyncze, ogólne informacje, np. samo imię, czy samo nazwisko, które nosi wiele osób. Informacja ta będzie jednak daną osobową, gdy zostanie zestawiona z innymi informacjami, np. numerem PESEL, dokładnym adresem osoby, które w ostatecznie można przypisać do konkretnej osoby.

Co do zasady każdy podmiot prowadzący działalność gospodarczą przetwarza lub będzie przetwarzał dane osobowe, dlatego nadchodzące zmiany dotyczą praktycznie każdego przedsiębiorcy.

Co się zmieni?

Nowe regulacje mają na celu zwiększenie ochrony danych osobowych i wprowadzą między innymi:

  • obowiązek stosowania zasad privacy by design (ochrony danych w fazie projektowania) oraz privacy by default (domyślnej ochrony danych) – oznacza to, że już w fazie projektowania systemów powinno uwzględniać się ochronę danych osobowych oraz stosować takie mechanizmy, które pozwolą na przetwarzanie wyłącznie takich danych, które są niezbędne dla realizacji celów, w których są zbierane; RODO kładzie duży nacisk na obowiązek minimalizacji przetwarzania danych;
  • rozszerzenie katalogu praw osób, których dane dotyczą (prawo do przenoszenia danych, prawo do bycia zapomnianym, prawo do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu);
  • ułatwienie dostępu do danych – administratorzy danych będą mieli obowiązek rozszerzenia zakresu informacji o przetwarzaniu danych, a informacje te powinny być dostępne w jasnej i zrozumiałej formie;
  • obowiązek zgłaszania naruszeń ochrony danych osobowych – administratorzy danych będą mieli obowiązek poinformowania organu nadzoru (a także – w przypadku wysokiego ryzyka – osoby, której dane dotyczą) o naruszeniu ochrony danych osobowych w ciągu 72 godzin od wykrycia naruszenia;
  • wysokie kary administracyjne – kary za naruszenie ochrony danych osobowych będą wynosić do 20 milionów EUR lub 4% całkowitego zeszłorocznego światowego obrotu lub w przypadkach mniejszej wagi do 10 milionów EUR lub 2% całkowitego zeszłorocznego światowego obrotu.

Nowością dla wielu administratorów danych będzie również obowiązek prowadzenia rejestru czynności przetwarzania. Rejestr czynności przetwarzania danych osobowych powinien obejmować co do zasady: cele przetwarzania, opis kategorii osób i danych, kategorie odbiorców, informację o transferze danych do państwa trzeciego, ogólny opis środków technicznych i zabezpieczających oraz planowane terminy usunięcia danych. Każdy z podmiotów będzie miał również obowiązek przeprowadzenia analizy ryzyka przetwarzania danych osobowych oraz zastosowania odpowiednich środków zabezpieczających.

Należy zauważyć, że RODO całkowicie zmienia zasady obowiązujące przy przetwarzaniu danych osobowych.