pl

RODO – o co chodzi i kogo dotyczy

25 maja RODO zacznie obowiązywać wszystkich przedsiębiorców przetwarzających dane osobowe. To największa zmiana przepisów o ochronie danych osobowych od 20 lat i zupełnie inne niż dotychczas spojrzenie na tę kwestię. Oto najważniejsze zmiany.

 

Co grozi za naruszenie prywatności

Kary pieniężne będą sięgały kwot nawet 20 mln euro lub 4 proc. wartości rocznego światowego obrotu przedsiębiorstwa, a ich wysokość będzie ustalana indywidualnie stosownie do okoliczności danego przypadku. Nakładając karę, organ (w Polsce będzie to tzw. PIODO – Polski Inspektor Ochrony Danych Osobowych) do tego uprawniony będzie zwracał m.in. uwagę na:

  • charakter, wagę i czas trwania naruszenia,
  • umyślność lub nieumyślność charakteru naruszenia, działania, jakie zostały podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, której dane dotyczą,
  • rodzaj danych osobowych, które zostały naruszone.

 

Jak RODO rozszerza prawa osób, których dane dotyczą

RODO wprowadza:

  • „prawo do bycia zapomnianym” – czyli prawo do trwałego usunięcia danych osobowych przetwarzanych przez dany podmiot,
  • prawo do żądania przeniesienia danych – czyli możliwość przeniesienia danych osobowych do innego podmiotu przy zmianie umowy,
  • rozszerzone prawo do informacji o tym, jakie dane, w jakim celu i przez kogo są przetwarzane,
  • prawo do wglądu w dane osobowe osoby, której dane dotyczą,
  • rozszerzone prawo do sprzeciwu wobec przetwarzania danych.

 

RODO a dane osobowe dzieci

RODO kładzie szczególny nacisk na ochronę prywatności dzieci. Wszelkie informacje i komunikaty dotyczące danych osobowych dzieci powinny być sformułowane jasnym i prostym językiem, aby dziecko mogło je bez trudu zrozumieć.

Jeśli dziecko nie ukończyło 16 lat, przetwarzanie danych osobowych będzie zgodne z prawem tylko wtedy, gdy zgodę wyraziła lub zaakceptowała osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem.

 

Jakie zmiany wprowadza RODO

Rejestr czynności przetwarzania

Od maja br. niemal wszyscy administratorzy będą zobowiązani prowadzić rejestry czynności przetwarzania danych osobowych. Co istotne, obowiązek prowadzenia rejestru czynności nie będzie dotyczył przedsiębiorców zatrudniających mniej niż 250 osób, chyba że przetwarzanie danych:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego,
  • obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Inspektor Ochrony Danych

RODO przewiduje obowiązek powołania Inspektora Ochrony Danych w sytuacji, gdy:

  • przetwarzania danych dokonuje organ lub podmiot publiczny,
  • główna działalność administratora lub procesora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę,
  • główna działalność administratora lub procesora polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii oraz danych o wyrokach skazujących za przestępstwa.

Przykładowo: Inspektora Ochrony Danych będzie musiała powołać zarówno firma hostingowa czy też świadcząca usługi call center, jak i apteka oraz szpital.

Pseudonimizacja

To całkowicie nowe pojęcie na gruncie ochrony danych osobowych. Pseudonimizacja jest środkiem podwyższającym bezpieczeństwo danych osobowych, który będzie mógł być wykorzystywany przez administratorów danych w celu wywiązania się z obowiązku ochrony danych. Proces pseudonimizacji polega na przetworzeniu danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji.

Profilowanie

Po raz pierwszy jakikolwiek akt prawa unijnego wprowadza definicję profilowania. Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących tej osoby (np. upodobań, preferencji). Tego rodzaju operacje na danych są powszechnie wykorzystywane w sektorach bankowych czy finansowych.

Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu

W przypadku naruszenia danych osobowych administrator bez zbędnej zwłoki – nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – będzie zobowiązany zgłosić je organowi nadzorczemu. Dodatkowo, w sytuacji wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, administrator bez zbędnej zwłoki będzie zobowiązany poinformować ją o takim naruszeniu.

 

*Katarzyna Blachowicz radca prawny, młodszy partner w Kancelarii Prawnej GWW.

 

Artykuł ukazał się w Gazecie Wyborczej.

Podziel się

Powiązane wpisy

Dni Otwarte w GWW Rzeszów za nami aktualności

Dni Otwarte w GWW Rzeszów za nami

Dni Otwarte w GWW Rzeszów za nami
CIT: zbliżający się termin na złożenie informacji o wspólnikach spółki jawnej aktualności

CIT: zbliżający się termin na złożenie informacji o wspólnikach spółki jawnej

CIT: zbliżający się termin na złożenie informacji o wspólnikach spółki jawnej
Awanse w zespole doradztwa prawnego aktualności

Awanse w zespole doradztwa prawnego

Awanse w zespole doradztwa prawnego
Awanse w zespole doradztwa prawnego aktualności

Awanse w zespole doradztwa prawnego

Awanse w zespole doradztwa prawnego

Obawiasz się,
że ominą Cię
najważniejsze zmiany
W prawie?

Zapisz się do newslettera