RODO – o co chodzi i kogo dotyczy
25 maja RODO zacznie obowiązywać wszystkich przedsiębiorców przetwarzających dane osobowe. To największa zmiana przepisów o ochronie danych osobowych od 20 lat i zupełnie inne niż dotychczas spojrzenie na tę kwestię. Oto najważniejsze zmiany.
Co grozi za naruszenie prywatności
Kary pieniężne będą sięgały kwot nawet 20 mln euro lub 4 proc. wartości rocznego światowego obrotu przedsiębiorstwa, a ich wysokość będzie ustalana indywidualnie stosownie do okoliczności danego przypadku. Nakładając karę, organ (w Polsce będzie to tzw. PIODO – Polski Inspektor Ochrony Danych Osobowych) do tego uprawniony będzie zwracał m.in. uwagę na:
- charakter, wagę i czas trwania naruszenia,
- umyślność lub nieumyślność charakteru naruszenia, działania, jakie zostały podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, której dane dotyczą,
- rodzaj danych osobowych, które zostały naruszone.
Jak RODO rozszerza prawa osób, których dane dotyczą
RODO wprowadza:
- „prawo do bycia zapomnianym” – czyli prawo do trwałego usunięcia danych osobowych przetwarzanych przez dany podmiot,
- prawo do żądania przeniesienia danych – czyli możliwość przeniesienia danych osobowych do innego podmiotu przy zmianie umowy,
- rozszerzone prawo do informacji o tym, jakie dane, w jakim celu i przez kogo są przetwarzane,
- prawo do wglądu w dane osobowe osoby, której dane dotyczą,
- rozszerzone prawo do sprzeciwu wobec przetwarzania danych.
RODO a dane osobowe dzieci
RODO kładzie szczególny nacisk na ochronę prywatności dzieci. Wszelkie informacje i komunikaty dotyczące danych osobowych dzieci powinny być sformułowane jasnym i prostym językiem, aby dziecko mogło je bez trudu zrozumieć.
Jeśli dziecko nie ukończyło 16 lat, przetwarzanie danych osobowych będzie zgodne z prawem tylko wtedy, gdy zgodę wyraziła lub zaakceptowała osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem.
Jakie zmiany wprowadza RODO
Rejestr czynności przetwarzania
Od maja br. niemal wszyscy administratorzy będą zobowiązani prowadzić rejestry czynności przetwarzania danych osobowych. Co istotne, obowiązek prowadzenia rejestru czynności nie będzie dotyczył przedsiębiorców zatrudniających mniej niż 250 osób, chyba że przetwarzanie danych:
- może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
- nie ma charakteru sporadycznego,
- obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.
Inspektor Ochrony Danych
RODO przewiduje obowiązek powołania Inspektora Ochrony Danych w sytuacji, gdy:
- przetwarzania danych dokonuje organ lub podmiot publiczny,
- główna działalność administratora lub procesora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę,
- główna działalność administratora lub procesora polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii oraz danych o wyrokach skazujących za przestępstwa.
Przykładowo: Inspektora Ochrony Danych będzie musiała powołać zarówno firma hostingowa czy też świadcząca usługi call center, jak i apteka oraz szpital.
Pseudonimizacja
To całkowicie nowe pojęcie na gruncie ochrony danych osobowych. Pseudonimizacja jest środkiem podwyższającym bezpieczeństwo danych osobowych, który będzie mógł być wykorzystywany przez administratorów danych w celu wywiązania się z obowiązku ochrony danych. Proces pseudonimizacji polega na przetworzeniu danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji.
Profilowanie
Po raz pierwszy jakikolwiek akt prawa unijnego wprowadza definicję profilowania. Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących tej osoby (np. upodobań, preferencji). Tego rodzaju operacje na danych są powszechnie wykorzystywane w sektorach bankowych czy finansowych.
Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu
W przypadku naruszenia danych osobowych administrator bez zbędnej zwłoki – nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – będzie zobowiązany zgłosić je organowi nadzorczemu. Dodatkowo, w sytuacji wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, administrator bez zbędnej zwłoki będzie zobowiązany poinformować ją o takim naruszeniu.
*Katarzyna Blachowicz radca prawny, młodszy partner w Kancelarii Prawnej GWW.
Artykuł ukazał się w Gazecie Wyborczej.
Powiązane wpisy
Awanse na stanowiska senior associate, associate oraz junior associate
Awanse na stanowiska senior associate, associate oraz junior associateAwanse na stanowisko counsel w zespole doradztwa podatkowego
Awanse na stanowisko counsel w zespole doradztwa podatkowegoAwanse na stanowisko counsel w zespole doradztwa prawnego
Awanse na stanowisko counsel w zespole doradztwa prawnegoDni Otwarte w GWW Rzeszów za nami
Dni Otwarte w GWW Rzeszów za namiObawiasz się,
że ominą Cię
najważniejsze zmiany
W prawie?