RODO - o co chodzi i kogo dotyczy

RODO - o co chodzi i kogo dotyczy

10.05.2018

25 maja RODO zacznie obowiązywać wszystkich przedsiębiorców przetwarzających dane osobowe. To największa zmiana przepisów o ochronie danych osobowych od 20 lat i zupełnie inne niż dotychczas spojrzenie na tę kwestię. Oto najważniejsze zmiany.

 

Co grozi za naruszenie prywatności


Kary pieniężne będą sięgały kwot nawet 20 mln euro lub 4 proc. wartości rocznego światowego obrotu przedsiębiorstwa, a ich wysokość będzie ustalana indywidualnie stosownie do okoliczności danego przypadku. Nakładając karę, organ (w Polsce będzie to tzw. PIODO - Polski Inspektor Ochrony Danych Osobowych) do tego uprawniony będzie zwracał m.in. uwagę na:

  • charakter, wagę i czas trwania naruszenia,
  • umyślność lub nieumyślność charakteru naruszenia, działania, jakie zostały podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, której dane dotyczą,
  • rodzaj danych osobowych, które zostały naruszone.

 

Jak RODO rozszerza prawa osób, których dane dotyczą


RODO wprowadza:

  • „prawo do bycia zapomnianym” – czyli prawo do trwałego usunięcia danych osobowych przetwarzanych przez dany podmiot,
  • prawo do żądania przeniesienia danych – czyli możliwość przeniesienia danych osobowych do innego podmiotu przy zmianie umowy,
  • rozszerzone prawo do informacji o tym, jakie dane, w jakim celu i przez kogo są przetwarzane,
  • prawo do wglądu w dane osobowe osoby, której dane dotyczą,
  • rozszerzone prawo do sprzeciwu wobec przetwarzania danych.

 

RODO a dane osobowe dzieci


RODO kładzie szczególny nacisk na ochronę prywatności dzieci. Wszelkie informacje i komunikaty dotyczące danych osobowych dzieci powinny być sformułowane jasnym i prostym językiem, aby dziecko mogło je bez trudu zrozumieć.

Jeśli dziecko nie ukończyło 16 lat, przetwarzanie danych osobowych będzie zgodne z prawem tylko wtedy, gdy zgodę wyraziła lub zaakceptowała osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem.

 

Jakie zmiany wprowadza RODO


Rejestr czynności przetwarzania

Od maja br. niemal wszyscy administratorzy będą zobowiązani prowadzić rejestry czynności przetwarzania danych osobowych. Co istotne, obowiązek prowadzenia rejestru czynności nie będzie dotyczył przedsiębiorców zatrudniających mniej niż 250 osób, chyba że przetwarzanie danych:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego,
  • obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Inspektor Ochrony Danych

RODO przewiduje obowiązek powołania Inspektora Ochrony Danych w sytuacji, gdy:

  • przetwarzania danych dokonuje organ lub podmiot publiczny,
  • główna działalność administratora lub procesora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę,
  • główna działalność administratora lub procesora polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii oraz danych o wyrokach skazujących za przestępstwa.

Przykładowo: Inspektora Ochrony Danych będzie musiała powołać zarówno firma hostingowa czy też świadcząca usługi call center, jak i apteka oraz szpital.

Pseudonimizacja

To całkowicie nowe pojęcie na gruncie ochrony danych osobowych. Pseudonimizacja jest środkiem podwyższającym bezpieczeństwo danych osobowych, który będzie mógł być wykorzystywany przez administratorów danych w celu wywiązania się z obowiązku ochrony danych. Proces pseudonimizacji polega na przetworzeniu danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji.

Profilowanie


Po raz pierwszy jakikolwiek akt prawa unijnego wprowadza definicję profilowania. Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących tej osoby (np. upodobań, preferencji). Tego rodzaju operacje na danych są powszechnie wykorzystywane w sektorach bankowych czy finansowych.

Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu

W przypadku naruszenia danych osobowych administrator bez zbędnej zwłoki – nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – będzie zobowiązany zgłosić je organowi nadzorczemu. Dodatkowo, w sytuacji wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, administrator bez zbędnej zwłoki będzie zobowiązany poinformować ją o takim naruszeniu.

 


*Katarzyna Blachowicz radca prawny, młodszy partner w Kancelarii Prawnej GWW.

 

Artykuł ukazał się w Gazecie Wyborczej.

Używamy cookies w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Dalsze korzystanie z tego serwisu oznacza, że będą one zapisane w pamięci urządzenia. Więcej informacji na temat cookies, a także pełną informację związaną z prawami i obowiązkami przyznanymi po wejściu w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), znajdziesz w naszej Polityce Prywatności

cookie consent