Czym jest RODO/ GDPR?

Transkrypt

1 Czym jest RODO/ GDPR? RODO To dokładnie Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Zostało ono przyjęte 27 kwietnia 2016 roku i będzie stosowane w Polsce od 25 maja W Polsce używana jest również nazwa GDPR od General Data Protection Regulation. Nowa regulacja ma przyczynić się do tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz unii gospodarczej, do postępu społeczno-gospodarczego, do wzmacniania i konwergencji gospodarek na rynku wewnętrznym. 1

2 Słowniczek pojęć: DANE OSOBOWE: Informacje o osobie, której tożsamość można ustalić poprzez powołanie się na min. jeden ze szczególnych czynników, które ją określają. Jest to np. imię i nazwisko, numer identyfikacyjny, dane o lokalizacji czy identyfikator internetowy. ADMINISTRATOR: Podmiot (może to być m.in. osoba fizyczna, prawna, organ publiczny), który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. PODMIOT PRZETWARZAJĄCY: Podmiot (może to być m.in. osoba fizyczna, prawna, organ publiczny), który przetwarza dane osobowe w imieniu administratora. PRZETWARZANIE: Operacja lub zestaw operacji wykonywane na danych osobowych, np.: zbieranie, utrwalanie, modyfikowanie, rozpowszechnianie czy niszczenie. PROFILOWANIE: Dowolna forma zautomatyzowanego przetwarzania danych osobowych, polegająca na ich wykorzystaniu w celu oceny niektórych czynników osobowych osoby fizycznej np. oceny jej sytuacji materialnej. PSEUDONIMIZACJA: Przetworzenie danych osobowych tak, by nie dało się ich potem przypisać konkretnej osobie bez użycia dodatkowych informacji. ODBIORCA: Osoba fizyczna lub prawna, bądź inny podmiot, któremu ujawnia się dane osobowe, bez względu na to, czy jest stroną trzecią. STRONA TRZECIA: To osoba/podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które z upoważnienia administratora lub podmiotu przetwarzającego mogą przetwarzać dane osobowe. OGRANICZENIE PRZETWARZANIA: Polega na oznaczeniu przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania. RODO/GDPR 2

3 Słowniczek pojęć: ZGODA: Dobrowolne, konkretne, świadome i jednoznaczne okazanie woli. Dzięki temu osoba, do której dane należą, w formie oświadczenia lub innego wyraźnego potwierdzenia, pozwala na ich przetwarzanie. NARUSZENIE OCHRONY DANYCH OSOBOWYCH: Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych danych osobowych. DANE GENETYCZNE: Dane osobowe dotyczące cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby. DANE BIOMETRYCZNE: Dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, są to na przykład: wizerunek twarzy lub dane daktyloskopijne. DANE DOTYCZĄCE ZDROWIA: Dane osobowe o zdrowiu fizycznym lub psychicznym osoby. USŁUGA SPOŁECZEŃSTWA INFORMACYJNEGO: Jest to każda usługa normalnie świadczona za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług. ORGANIZACJA MIĘDZYNARODOWA: Organizacja i organy jej podlegające, działające na podstawie prawa międzynarodowego publicznego lub na podstawie umowy zawartej między min. dwoma państwami. TRANSGRANICZNE PRZETWARZANIE: Przetwarzanie danych osobowych odbywające się w Unii w ramach działalności jednostek posiadających siedziby w więcej niż w jednym państwie członkowskim lub przetwarzanie danych osobowych odbywające się w Unii w ramach działalności pojedynczej jednostki która posiada siedzibę w jednym państwie członkowskim, ale która ma możliwość wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim. ORGAN NADZORCZY/NADZORU: Niezależny organ publiczny ustanowiony przez państwo członkowskie, którego dotyczy przetwarzanie danych. 3

4 Przepisy ogólne: Przepisy ujęte w poruszanym rozporządzeniu dotyczą kwestii prawa ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych oraz swobodnego przepływu danych osobowych. Jako dane osobowe, w kontekście tego rozporządzenia należy rozumieć informacje o zidentyfikowanej bądź możliwej do zidentyfikowania osobie fizycznej. Jako osobę możliwą do zidentyfikowania należy z kolei rozumieć osobę, której tożsamość można ustalić poprzez powołanie się na min. jeden ze szczególnych czynników, które określają jej tożsamość. Są to w szczególności: imię i nazwisko, numer identyfikacyjny (np. PESEL) oraz dane o lokalizacji (np. adres zameldowania). Nowe przepisy będą miały zastosowanie w przypadku przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany, a poprzez ich przetwarzanie należy rozumieć m.in. zbieranie, utrwalanie, przechowywanie, modyfikowanie, pobieranie, rozpowszechnianie, udostępnianie, usuwanie czy niszczenie. Nowych przepisów nie będzie się stosować w przypadku przetwarzania danych osobowych w ramach działalności, która nie jest objęta zakresem prawa UE (np. działalność dotycząca bezpieczeństwa narodowego), przez właściwe organy do celów zapobiegania przestępczości oraz postępowań związanych ze ściganiem czynów zabronionych. Ponadto przepisy nie będą miały zastosowania w przypadku wykonywania czynności przez obywatela, mających charakter czysto osobisty lub domowy. Przepisy tego rozporządzenia mają zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną w UE przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego niezależnie jednak od tego, czy przetwarzanie odbywa się na terytorium Unii czy też nie. 4

5 Niezależne organy nadzorcze: W Polsce organem nadzorczym jest Generalny Inspektor Ochrony Danych Osobowych (GIODO). Ma on działać w sposób niezależny na terenie państwa, z wolnymi od wpływów i instrukcji wykwalifikowanymi członkami, zajmować się naruszeniami rozporządzenia i rozpatrywaniem skarg związanych z naruszeniami danych osobowych związanymi z państwem członkowskim UE, na terenie którego działa. Organy nadzoru mają za zadanie m.in. monitorować i egzekwować to rozporządzenie, udzielać właścicielom danych na żądanie informacji dot. przysługujących im praw. Mają też prawo do wglądu w pracę administratorów i podmiotów przetwarzających dane osobowe i w razie stwierdzenia naruszeń przepisów rozporządzenia mogą wszcząć odpowiednie postępowanie. ZASADY: Z rozporządzenia jasno wynika, że dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie, w sposób przejrzysty oraz muszą być zbierane w konkretnych celach. Przetwarzanie ich powinno odbywać się w sposób zapewniający ich bezpieczeństwo. Dane mają być przechowywane zwykle przez okres niezbędny do celów przetwarzania, w formie umożliwiającej identyfikację ich właściciela. Aby przetwarzanie danych było zgodne z prawem musi być ono realizowane za zgodą osoby, której dane dotyczą. Administrator musi być w stanie wykazać, że zgoda na przetwarzanie danych została wyrażona dobrowolnie, dlatego dobrze zachować taką formę wyrażenia, by mógł tego dokonać bez problemu. Zapytanie o zgodę na przetwarzanie musi być zrozumiałe i odróżniające się od innych kwestii. Zgodę można również wycofać w dowolnym momencie przetwarzania, a wycofanie musi być tak samo proste, jak jej wyrażenie. Aby przetwarzanie danych osobowych dziecka było zgodne z prawem, może ono mieć skończone 16 lat, by móc samodzielnie wyrazić zgodę na usługi społeczeństwa formacyjnego. Jeśli nie ukończyło ono 16 lat, zgodę na przetwarzanie jego danych musi wyrazić tylko i wyłącznie osoba, która sprawuje prawnie opiekę nad dzieckiem. Nie wolno przetwarzać danych osobowych, które ujawniają m.in. pochodzenie rasowe/etniczne, poglądy polityczne, przekonania religijne/światopoglądowe, przynależność do związków zawodowych. Są to też dane genetyczne, biometryczne, dotyczące zdrowia i kwestii związanych z seksualnością. Odstępstwa są możliwe pod warunkiem, że m.in.: została wyrażona wyraźna zgoda, przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora, są wdrożone odpowiednie zabezpieczenia, dane zostały upublicznione przez osobę, której dotyczą, istnieje ważny interes publiczny (w tym dot. zdrowia publicznego). 5

6 Prawa osoby, której dane dotyczą: PRAWO DOSTĘPU: Osoba, której dane dotyczą, ma prawo uzyskać potwierdzenie od administratora, czy jej dane są przetwarzane, ma prawo dostępu do swoich danych, może też uzyskać takie informacje jak: cele przetwarzania, kategorie przetwarzanych danych, informacje o odbiorcach, okres przechowywania danych, informacje o swoich prawach, informacje o zabezpieczeniach w przypadku przekazywania danych do kraju spoza UE lub organizacji międzynarodowej. PRAWO DO SPROSTOWANIA DANYCH: Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej nieprawidłowych danych osobowych oraz uzupełnienia niekompletnych danych osobowych. PRAWO DO USUNIĘCIA DANYCH: Osoba, której dane dotyczą, może zażądać od administratora natychmiastowego usunięcia jej danych osobowych. Administrator musi jak najszybciej spełnić to żądanie jeśli: dane osobowe nie są już niezbędne, została cofnięta zgoda na przetwarzanie danych, został wniesiony sprzeciw wobec przetwarzania, przetwarzanie było niezgodne z prawem. PRAWO DO OGRANICZENIA PRZETWARZANIA: Osoba, której dane dotyczą, ma prawo zażądać od administratora ograniczenia przetwarzania jeśli: kwestionuje prawidłowość danych osobowych lub przetwarzanie nie jest zgodne z prawem, ale właściciel danych nie zgadza się na usunięcie danych, a w zamian żąda ograniczenia ich wykorzystywania lub administrator nie potrzebuje już danych do celów przetwarzania, ale są one potrzebne osobie, by ustalić, dochodzić bądź bronić roszczeń. PRAWO DO PRZENOSZENIA DANYCH: Właściciel danych ma prawo je otrzymać w formacie pozwalającym na swobodny odczyt przez komputer. Może on przesłać dane bez przeszkód innemu administratorowi, jeśli przetwarzanie odbywa się na podstawie zgody, umowy lub w sposób zautomatyzowany. PRAWO DO SPRZECIWU: Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania jej danych osobowych. ZAUTOMATYZOWANE PODE- JMOWANIE DECYZJI: Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu. OGRANICZENIA: Za pomocą przepisów prawa UE lub państw członkowskich można ograniczyć zakres praw i obowiązków związanych z prawami właściciela danych. Nie można przy tym naruszać podstawowych praw i wolności człowieka i ograniczenie to ma służyć m.in.: bezpieczeństwu narodowemu, publicznemu i obronie, ważnym celom związanym z interesem publicznym, ochronie niezależności sądów czy zapobieganiu przestępczości i zagrożeniom związanych z czynami zabronionymi. 6

7 Administrator i podmiot przetwarzający: OBOWIĄZKI ADMINISTRATORA: Podstawowym obowiązkiem jest wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych osobowych odbywało się zgodnie z przepisami prawa. Administrator wdraża również środki techniczne i organizacyjne zaprojektowane w celu skutecznej ochrony danych i sprawiające, by przetwarzane były tylko i wyłącznie dane osobowe niezbędne do osiągnięcia każdego konkretnego celu przetwarzania i nie były udostępniane osobom postronnym. Jeśli administrator nieposiadający siedziby w UE przetwarza dane osób przebywających w Unii, musi na piśmie wyznaczyć swojego przedstawiciela, który posiada siedzibę w państwie osób, których dane są przetwarzane. Każdy administrator (i jego przedstawiciel) prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiada i gdzie zamieszcza swoje dane, cele przetwarzania, opisy kategorii osób i danych oraz odbiorców, planowane terminy usunięcia poszczególnych kategorii danych czy opisy środków bezpieczeństwa. Do obowiązków administratora i podmiotu przetwarzającego należy wdrożenie środków zapewniających bezpieczeństwo odpowiadające ryzyku naruszenia praw i wolności właścicieli danych. Do środków takich należą m.in.: pseudonimizacja, szyfrowanie danych, zapewnienie poufności, integralności, dostępności oraz odporności systemów i usług przetwarzania czy zdolność do szybkiego przywrócenia dostępności i dostępu do danych w razie incydentu. Oceniając stopień bezpieczeństwa, trzeba wziąć pod uwagę każde ryzyko związane z przetwarzaniem danych. Jeśli dojdzie do naruszenia ochrony danych osobowych, wówczas administrator w terminie do 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzoru. Jeśli do zgłoszenia dojdzie później, musi on dołączyć wyjaśnienie przyczyn opóźnienia. Jeśli dojdzie do naruszenia ochrony danych osobowych i może to powodować wysokie ryzyko naruszenia praw i wolności, wówczas administrator musi bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie to w sposób prosty i jasny opisuje charakter naruszenia i zawiera m.in. dane kontaktowe do osoby, od której można uzyskać więcej informacji, opis możliwych konsekwencji i zastosowanych środków zaradczych. Zawiadomienia nie trzeba jednak dokonywać jeśli: 1) administrator wdrożył odpowiednie środki ochrony, które zostały zastosowane do naruszonych danych; 2) administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności; 3) zawiadomienie wymagałoby nadmiernego wysiłku w takim wypadku zostaje publiczny komunikat, za pomocą którego osoby, których dane dotyczą, zostaną poinformowane w równie skuteczny sposób. 7

8 Administrator i podmiot przetwarzający: Inspektor ochrony danych i jego zadania: Inspektor ochrony danych jest wyznaczany przez administratora (i podmiot przetwarzający) zawsze wtedy, gdy przetwarzania dokonują podmioty publiczne lub gdy główna działalność polega na przetwarzaniu szczególnych danych oraz danych dotyczących wyroków i naruszeń prawa lub polega na przetwarzaniu wymagającym regularnego monitorowania właścicieli danych. Do zadań inspektora należy: informowanie administratora oraz pracowników przetwarzających dane osobowe o obowiązkach spoczywających na nich na mocy prawa i doradzanie im w tej sprawie, monitorowanie przestrzegania przepisów prawa o ochronie danych oraz polityk administratora w dziedzinie ochrony danych osobowych, współpraca z organem nadzoru i pełnienie funkcji punktu kontaktowego z nim, udzielanie na żądanie zaleceń co do oceny skutków przetwarzania i monitorowanie ich wykonania. 8

9 Środki ochrony prawnej, odpowiedzialność i sankcje: Każdy właściciel przetwarzanych danych ma prawo wnieść skargę do organu nadzorczego, jeśli podejrzewa przetwarzanie niezgodne z prawem. Organ nadzorczy ma obowiązek informować skarżącego o wszelkich postępach i efektach związanych z rozpatrywaną skargą. Na rozpatrzenie lub poinformowanie ma 3 miesiące od złożenia skargi. Po przekroczeniu tego okresu czekania, właściciel danych może dochodzić swoich praw przed sądem. Każdy ma prawo odwołać się od dotyczącej go decyzji wydanej przez organ nadzoru i wystąpić przeciwko niemu do sądu. Jeśli właściciel danych uzna, że prawa, jakie mu przysługują, zostały naruszone w wyniku przetwarzania jego danych osobowych, może również wnieść sprawę przeciwko administratorowi lub podmiotowi przetwarzającemu do sądu państwa UE, w którym administrator/podmiot przetwarzający posiada jednostkę organizacyjną, ew. do sądu państwa UE, w którym przebywa właściciel. Każdy administrator uczestniczący w procesie przetwarzania odpowiada za szkody spowodowane przetwarzaniem niezgodnym z prawem. Podmiot przetwarzający ponosi odpowiedzialność za szkody tylko i wyłącznie wtedy, jeśli nie dopełnił obowiązków nałożonych na niego przez przepisy lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. Administrator i podmiot przetwarzający mogą zostać zwolnieni z odpowiedzialności, jeśli udowodnią, że nie ponoszą winy za szkodę. Organ nadzoru może nałożyć na administratora/organ przetwarzający odpowiednią, proporcjonalną do naruszenia administracyjną karę pieniężną. Jeśli przepisy prawa nie przewidują takich kar, wówczas organ nadzoru wnosi do sądu o nałożenie kary pieniężnej. W rozporządzeniu wskazano, że sankcje mogą wynieść do euro lub do 4 proc. całkowitego światowego przychodu firmy za rok poprzedni. W przypadku poniesienia szkody w wyniku naruszenia przepisów rozporządzenia o przetwarzaniu danych osobowych, poszkodowany ma prawo uzyskać od administratora/podmiotu przetwarzającego odszkodowanie w związku z jej poniesieniem. Potrzebujesz więcej infomacji? Skontaktuj się z nami 9