RODO GDPR
RODO to dokładnie Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego ich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Zostało ono przyjęte 27 kwietnia 2016 roku i będzie stosowane w Polsce od 25 maja 2018 roku. W Polsce używana jest również nazwa GDPR od General Data Protection Regulation. Nowa regulacja ma przyczynić się do tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz unii gospodarczej, do postępu społeczno-gospodarczego, do wzmacniania i konwergencji gospodarek na rynku wewnętrznym, a także do pomyślności ludzi. Słowniczek pojęć DANE OSOBOWE: Informacje o osobie, której tożsamość można ustalić poprzez powołanie się na min. jeden ze szczególnych czynników, które ją określają. Jest to np. imię i nazwisko, numer identyfikacyjny, dane o lokalizacji czy identyfikator internetowy. ADMINISTRATOR: Podmiot (może to być m.in. osoba fizyczna, prawna, organ publiczny), który samodzielnie lub wspólnie z innymi podmiotami ustala cele i sposoby przetwarzania danych osobowych. PODMIOT PRZETWARZAJĄCY: Podmiot (może to być m.in. osoba fizyczna, prawna, organ publiczny), który przetwarza dane osobowe w imieniu administratora. PRZETWARZANIE: Operacja lub zestaw operacji wykonywanych na danych osobowych, np.: zbieranie, utrwalanie, modyfikowanie, rozpowszechnianie czy niszczenie.
OGRANICZENIE PRZETWARZANIA: Polega na oznaczeniu przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania. PROFILOWANIE: Dowolna forma zautomatyzowanego przetwarzania danych osobowych, polegająca na ich wykorzystaniu w celu oceny niektórych czynników osobowych osoby fizycznej na przykład oceny jej sytuacji materialnej. lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby. DANE BIOMETRYCZNE: Dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, i które dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, są to na przykład: wizerunek twarzy lub dane daktyloskopijne. PSEUDONIMIZACJA: Przetworzenie danych osobowych tak, by nie dało się ich potem przypisać konkretnej osobie bez użycia dodatkowych informacji. ODBIORCA: Osoba fizyczna lub prawna bądź inny podmiot, któremu ujawnia się dane osobowe, bez względu na to, czy jest stroną trzecią. STRONA TRZECIA: To osoba / podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoba, które z upoważnienia administratora lub podmiotu przetwarzającego może przetwarzać dane osobowe. ZGODA: Dobrowolne, konkretne, świadome i jednoznaczne okazanie woli podmiotom przetwarzającym, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, pozwala na przetwarzanie dotyczących jej danych osobowych. NARUSZENIE OCHRONY DANYCH OSOBOWYCH: Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych danych osobowych. DANE DOTYCZĄCE ZDROWIA: Dane osobowe o zdrowiu fizycznym lub psychicznym osoby, ujawniające informacje o stanie jej zdrowia. USŁUGA SPOŁECZEŃSTWA INFORMACYJNEGO: Jest to każda usługa normalnie świadczona za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług. ORGANIZACJA MIĘDZYNARODOWA: Organizacja i organy jej podlegające, działające na podstawie prawa międzynarodowego publicznego lub na podstawie umowy zawartej między min. dwoma państwami. TRANSGRANICZNE PRZETWARZANIE: Przetwarzanie danych osobowych odbywające się w Unii w ramach działalności jednostek posiadających siedziby w więcej niż w jednym państwie członkowskim lub przetwarzanie danych osobowych odbywające się w Unii w ramach działalności pojedynczej jednostki mającą siedzibę w jednym państwie członkowskim, ale która ma możliwość wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim. ORGAN NADZORCZY / NADZORU: Niezależny organ publiczny ustanowiony przez państwo członkowskie, którego dotyczy przetwarzanie danych. DANE GENETYCZNE: Dane osobowe dotyczące cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii
Przepisy ogólne Przepisy ujęte w poruszanym rozporządzeniu dotyczą kwestii prawa ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych oraz swobodnego przepływu danych osobowych. Jako dane osobowe, w kontekście tego rozporządzenia należy rozumieć informacje o zidentyfikowanej bądź możliwej do zidentyfikowania osobie fizycznej. Jako osobę możliwą do zidentyfikowania należy z kolei rozumieć osobę, której tożsamość można ustalić poprzez powołanie się na min. jeden ze szczególnych czynników, które określają jej tożsamość. Są to w szczególności: imię i nazwisko, numer identyfikacyjny (np. PESEL) oraz dane o lokalizacji (np. adres zameldowania). Nowe przepisy będą miały zastosowanie w przypadku przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany, a poprzez ich przetwarzanie należy rozumieć m.in.: zbieranie, utrwalanie, przechowywanie, modyfikowanie, pobieranie, rozpowszechnianie, udostępnianie, usuwanie czy niszczenie. Nowych przepisów nie będzie się stosować w przypadku przetwarzania danych osobowych w ramach działalności, która nie jest objęta zakresem prawa UE (np. działalność dotycząca bezpieczeństwa narodowego), przez właściwe organy do celów zapobiegania przestępczości oraz postępowań związanych ze ściganiem czynów zabronionych. Ponadto przepisy nie będą miały zastosowania w przypadku wykonywania czynności przez obywatela, mających charakter czysto osobisty lub domowy. Przepisy tego rozporządzenia mają zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną w UE przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego, niezależnie jednak od tego, czy przetwarzanie odbywa się na terytorium Unii czy też nie.
Niezależne organy nadzorcze Organy nadzoru mają za zadanie m.in. monitorowane i egzekwowanie nowego rozporządzenia, udzielanie właścicielom danych na żądanie informacji dot. przysługujących im praw, mają też prawo do wglądu w pracę administratorów i podmiotów przetwarzających dane osobowe i w razie stwierdzenia naruszeń przepisów rozporządzenia mogą wszcząć odpowiednie postępowanie. W Polsce organem nadzorczym jest Generalny Inspektor Ochrony Danych Osobowych (GIODO). Ma on działać w sposób niezależny na terenie państwa, z wolnymi od wpływów i instrukcji wykwalifikowanymi członkami, zajmować się naruszeniami rozporządzenia i rozpatrywaniem skarg związanych z naruszeniami danych osobowych związanymi z państwem członkowskim UE, na którego terenie działa. ZASADY Z rozporządzenia jasno wynika, że dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie, w sposób przejrzysty oraz muszą być zbierane w konkretnych celach. Przetwarzanie danych powinno odbywać się w sposób zapewniający ich bezpieczeństwo. Dane mają być przechowywane zwykle przez okres niezbędny do celów przetwarzania, w formie umożliwiającej identyfikację ich właściciela.
Aby przetwarzanie danych było zgodne z prawem, musi być ono realizowane za zgodą osoby, której dane dotyczą. Administrator musi być w stanie wykazać, że zgoda na przetwarzanie danych została wyrażona dobrowolnie, dlatego dobrze zachować taką formę wyrażenia, by administrator mógł tego dokonać bez problemu. Zapytanie o zgodę na przetwarzanie musi być zrozumiałe i odróżniające się od innych kwestii. Zgodę można również wycofać w dowolnym momencie przetwarzania, a wycofanie musi być tak samo proste, jak jej wyrażenie. Aby przetwarzanie danych osobowych dziecka było zgodne z prawem, musi ono mieć skończone 16 lat, by móc samodzielnie wyrazić zgodę na usługi społeczeństwa formacyjnego. Jeśli nie ukończyło ono 16 lat, zgodę na przetwarzanie jego danych musi wyrazić tylko i wyłącznie osoba, która sprawuje prawnie opiekę nad dzieckiem. Nie wolno przetwarzać danych osobowych, które ujawniają m.in. pochodzenie rasowe / etniczne, poglądy polityczne, przekonania religijne / światopoglądowe, przynależność do związków zawodowych. Są to też dane genetyczne, biometryczne, dotyczące zdrowia i kwestii związanych z seksualnością. Odstępstwa są możliwe pod warunkiem, że m.in.: została wyrażona wyraźna zgoda, przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora, są wdrożone odpowiednie zabezpieczenia, dane zostały upublicznione przez osobę, której dotyczą, istnieje ważny interes publiczny (w tym dot. zdrowia publicznego). Prawa osoby, której dane dotyczą PRAWO DOSTĘPU: Osoba, której dane dotyczą, ma prawo uzyskać potwierdzenie od administratora, czy jej dane są przetwarzane, ma prawo dostępu do swoich danych, może też uzyskać takie informacje jak: cele przetwarzania, kategorie przetwarzanych danych, informacje o odbiorcach, okres przechowywania danych, informacje o swoich prawach, informacje o zabezpieczeniach w przypadku przekazywania danych do kraju spoza UE lub organizacji międzynarodowej. PRAWO DO SPROSTOWANIA DANYCH: Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej nieprawidłowych danych osobowych oraz uzupełnienia niekompletnych danych osobowych. PRAWO DO USUNIĘCIA DANYCH: Osoba, której dane dotyczą, może zażądać od administratora natychmiastowego usunięcia jej danych osobowych. Administrator musi jak najszybciej spełnić to żądanie, jeśli dane osobowe nie są już niezbędne, została cofnięta zgoda na przetwarzanie danych, został wniesiony sprzeciw wobec przetwarzania, przetwarzanie było niezgodne z prawem.
PRAWO DO OGRANICZENIA PRZETWARZANIA: Osoba, której dane dotyczą, ma prawo zażądać od administratora ograniczenia przetwarzania, jeśli kwestionuje prawidłowość danych osobowych lub przetwarzanie nie jest zgodne z prawem, ale właściciel danych nie zgadza się na usunięcie danych, a w zamian żąda ograniczenia ich wykorzystywania lub administrator nie potrzebuje już danych do celów przetwarzania, ale są one potrzebne osobie, by ustalić, dochodzić bądź bronić roszczeń. PRAWO DO PRZENOSZENIA DANYCH: Właściciel danych ma prawo je otrzymać w formacie pozwalającym na swobodny odczyt przez komputer, może przesłać je bez przeszkód innemu administratorowi, jeśli przetwarzanie odbywa się na podstawie zgody, umowy lub w sposób zautomatyzowany. PRAWO DO SPRZECIWU: Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania jej danych osobowych. ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI: Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu. OGRANICZENIA: Za pomocą przepisów prawa UE lub państw członkowskich można ograniczyć zakres praw i obowiązków związanych z prawami właściciela danych. Nie można przy tym naruszać podstawowych praw i wolności człowieka i ograniczenie to ma służyć m.in.: bezpieczeństwu narodowemu, publicznemu i obronie, ważnym celom związanym z interesem publicznym, ochronie niezależności sądów czy zapobieganiu przestępczości i zagrożeniom związanych z czynami zabronionymi.
Administrator i podmiot przetwarzający OBOWIĄZKI ADMINISTRATORA: Podstawowym obowiązkiem jest wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych osobowych odbywało się zgodnie z przepisami prawa. Administrator wdraża również środki techniczne i organizacyjne zaprojektowane w celu skutecznej ochrony danych i sprawiające, by przetwarzane były tylko i wyłącznie dane osobowe niezbędne do osiągnięcia każdego konkretnego celu przetwarzania i nie były udostępniane osobom postronnym. wyznaczyć swojego przedstawiciela, który posiada siedzibę w państwie osób, których dane są przetwarzane. Każdy administrator (i jego przedstawiciel) prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiadają, gdzie zamieszczają swoje dane, cele przetwarzania, opisy kategorii osób i danych oraz odbiorców, planowane terminy usunięcia poszczególnych kategorii danych czy opisy środków bezpieczeństwa. Jeśli administrator nieposiadający siedziby w UE przetwarza dane osób przebywających w Unii, musi na piśmie Do obowiązków administratora i podmiotu przetwarzającego należy wdrożenie środków zapewniających
bezpieczeństwo odpowiadające ryzyku naruszenia praw i wolności właścicieli danych. Do środków takich należą m.in.: pseudonimizacja, szyfrowanie danych, zapewnienie poufności, integralności, dostępności oraz odporności systemów i usług przetwarzania czy zdolność do szybkiego przywrócenia dostępności i dostępu do danych w razie incydentu. Oceniając stopień bezpieczeństwa, trzeba wziąć pod uwagę każde ryzyko związane z przetwarzaniem danych. Jeśli dojdzie do naruszenia ochrony danych osobowych, wówczas administrator w terminie do 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzoru. Jeśli do zgłoszenia dojdzie później, musi on dołączyć wyjaśnienie przyczyn opóźnienia. Jeśli doszło do naruszenia ochrony danych osobowych i może to powodować wysokie ryzyko naruszenia praw i wolności, wówczas administrator musi bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie to w sposób prosty i jasny opisuje charakter naruszenia i zawiera m.in. dane kontaktowe do osoby, od której można uzyskać więcej informacji, opis możliwych konsekwencji i zastosowanych środków zaradczych.
Zawiadomienia nie trzeba jednak dokonywać, jeśli: administrator wdrożył odpowiednie środki ochrony, które zostały zastosowane do naruszonych danych; administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności; zawiadomienie wymagałoby nadmiernego wysiłku w takim wypadku zostaje publiczny komunikat, za pomocą którego osoby, których dane dotyczą, zostaną poinformowane w równie skuteczny sposób. Do obowiązków administratora i podmiotu przetwarzającego należy wdrożenie środków zapewniających bezpieczeństwo odpowiadające ryzyku naruszenia praw i wolności właścicieli danych. INSPEKTOR OCHRONY DANYCH I JEGO ZADANIA: Inspektor ochrony danych jest wyznaczany przez administratora (i podmiot przetwarzający) zawsze, jeśli przetwarzania dokonują podmioty publiczne lub główna działalność polega na przetwarzaniu szczególnych danych oraz danych dotyczących wyroków i naruszeń prawa lub polega na przetwarzaniu wymagającym regularnego monitorowania właścicieli danych. W innym przypadku administrator ma dowolność wyznaczenia inspektora. Do zadań inspektora należy: informowanie administratora oraz pracowników przetwarzających dane osobowe o obowiązkach spoczywających na nich na mocy prawa i doradzanie im w tej sprawie, monitorowanie przestrzegania przepisów prawa o ochronie danych oraz polityk administratora w dziedzinie ochrony danych osobowych, współpraca z organem nadzoru i pełnienie funkcji punktu kontaktowego z nim, udzielanie na żądanie zaleceń co do oceny skutków przetwarzania i monitorowanie ich wykonania.
Środki ochrony prawnej, odpowiedzialność i sankcje Każdy właściciel przetwarzanych danych ma prawo wnieść skargę do organu nadzorczego, jeśli podejrzewa przetwarzanie niezgodne z prawem. Organ nadzorczy ma obowiązek informować skarżącego o wszelkich postępach i efektach związanych z rozpatrywaną skargą. Na rozpatrzenie lub poinformowanie ma 3 miesiące od złożenia skargi. Po przekroczeniu tego okresu, właściciel danych może dochodzić swoich praw przed sądem. Każda osoba ma prawo wystąpić do sądu przeciwko dotyczącej jej decyzji organu nadzoru. Właściciel danych może również wnieść sprawę do sądu państwa UE, w którym administrator / podmiot przetwarzający posiada jednostkę organizacyjną, ew. do sądu państwa UE, w którym przebywa właściciel, przeciwko administratorowi lub podmiotowi przetwarzającemu, jeśli uzna, że prawa, jakie mu przysługują, zostały naruszone w wyniku przetwarzania jego danych osobowych. W przypadku poniesienia szkody w wyniku naruszenia przepisów rozporządzenia o przetwarzaniu danych osobowych poszkodowany ma prawo uzyskać od administratora / podmiotu przetwarzającego odszkodowanie w związku z jej poniesieniem. Każdy administrator uczestniczący w procesie przetwarzania odpowiada za szkody spowodowane przetwarzaniem niezgodnym z prawem. Podmiot przetwarzający ponosi odpowiedzialność za szkody tylko i wyłącznie wtedy, jeśli nie dopełnił obowiązków nałożonych na niego przez przepisy lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. Administrator i podmiot przetwarzający mogą zostać zwolnieni z odpowiedzialności, jeśli udowodnią, że nie ponoszą winy za szkodę. Organ nadzoru może nałożyć na administratora / organ przetwarzający odpowiednią, proporcjonalną do naruszenia administracyjną karę pieniężną. Jeśli przepisy prawa nie przewidują takich kar, wówczas organ nadzoru wnosi do sądu o nałożenie kary pieniężnej. W rozporządzeniu wskazano, że sankcje mogą wynieść do 20 000 000 euro lub do 4 proc. całkowitego światowego przychodu firmy za rok poprzedni.
POTRZEBUJESZ WIĘCEJ INFORMACJI? Skontaktuj się z nami www.onwelo.pl contact@onwelo.com ONWELO S.A, ul Karolkowa 30, 01-207 Warszawa. Oznaczenie sądu rejestrowego: Sąd Rejonowy dla m. st. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego, NIP: 5272739561. Wysokość Kapitału zakładowego:1 322 806,00 zł