Co to jest RODO?

Od 25 maja 2018 r. zaczną w Polsce obowiązywać przepisy Rozporządzenia Parlamentu Europejskiego i RADY (EU) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. RODO lub GDPR).

Powyższe rozporządzenie na nowo definiuje standardy dotyczące przetwarzania danych osobowych, przez przedsiębiorców, wprowadzając szereg nowych wymogów dla podmiotów przetwarzających dane osobowe oraz uprawnienia osób, których te dane dotyczą.

Obecnie kwestie związane z przetwarzaniem danych osobowych reguluje przede wszystkim ustawa z 29.08.1997 r. o ochronie danych osobowych wraz ze stosownymi aktami wykonawczymi do tej ustawy, jednakże już od maja 2018 r., gdy w Polsce zaczną bezpośrednio obowiązywać przepisy RODO, to właśnie RODO będzie najważniejszym aktem prawnym dot. ochrony danych osobowych.

Co nowego wprowadza RODO?

RODO kompleksowo reguluje zakres obowiązków administratorów oraz podmiotów przetwarzających dane osobowe z jednej strony, a z drugiej uprawnienia osób, których dane są przetwarzane.

Do najważniejszych zmian z punktu widzenia obowiązków administratorów oraz podmiotów przetwarzających należą z pewnością:

• wprowadzenie obowiązku autokontroli poprawności przetwarzania danych osobowych oraz zgłaszania ewentualnych uchybień w tym zakresie do stosownego organu nadzorczego, a w określonych przypadkach również informowania osób, których dane osobowe są przetwarzane;
• poszerzenie oraz doprecyzowanie obowiązku informacyjnego administratora;
• wprowadzenie zasady rozliczalności, zgodnie z którą administrator będzie zobowiązany do zapewnienia odpowiednich środków organizacyjnych oraz technicznych zapewniających, że przetwarzanie jest wykonywane zgodnie z obowiązującymi przepisami, a także umożliwiających wykazanie powyższego faktu;
• wprowadzenie zasad privacy by design oraz privacy by default, zgodnie z którymi administrator będzie zobowiązany do uwzględnienia ochrony danych osobowych oraz ewentualnego ryzyka już na etapie projektowania nowych produktów lub usług. Ponadto administrator będzie musiał ograniczyć ilość oraz jakość zbieranych danych osobowych do absolutnego minimum, niezbędnego do wykonania danej usługi/osiągnięcia zamierzonego celu;
• poszerzenie wymogów dotyczących uzyskiwania zgody na przetwarzanie danych osobowych. Zgoda będzie musiała być zbierana w sposób jasny, zrozumiały, prostym językiem i w łatwo dostępnej formie. Ponadto prośba o udzieleni zgody musi być wyraźna i łatwa do odróżnienia od innych elementów;
• wprowadzenie obowiązku przeprowadzenia oceny skutków przetwarzania danych dla prywatności tzw. privacy impact assesment, w sytuacjach, gdy przetwarzanie będzie rodziło wysokie ryzyko naruszenia praw osób, których dane dotyczą;
• wprowadzenie instytucji Inspektora Ochrony Danych Osobowych, który zastąpi obecnych Administratorów Bezpieczeństwa Informacji (tzw. ABI), których powołanie będzie obowiązkowe w określonych sytuacjach.

Z punktu widzenia osób fizycznych, których dane są przetwarzane, RODO wprowadza szereg nowych uprawnień, w szczególności:

• prawo do przenoszenia danych, zgodnie z którym osoba, której dane dotyczą będzie mogła żądać wydania przez administratora danych jej dotyczących, w formie ustrukturyzowanej, w formacie nadającym się do odczytu maszynowego oraz przesłania tych danych przez administratora do wybranego podmiotu;
• prawo do bycia zapomnianym, zgodnie z którym osoba, której dane dotyczą ma prawo żądać usunięcia jej danych osobowych;
• poszerzony zakres informacji dotyczących przetwarzania, których osoba, której dane są przetwarzane może żądać od administratora;
• możliwość uzyskania od administratora lub procesora odszkodowania za ewentualne szkody wynikające z naruszenia przepisów o ochronie danych osobowych.

Poszerzony katalog kar

Obok nowych obowiązków oraz uprawnień RODO wprowadza również nowy katalog kar za stwierdzone naruszenia rozporządzenia.

Administracyjne kary pieniężne mają być nakładane zależnie od okoliczności każdego indywidualnego przypadku i mogą sięgać nawet do 20.000.000 euro a w przypadku przedsiębiorstwa –do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie będzie miała kwota wyższa.

Ewentualne ukaranie administratora lub procesora ww. karą pieniężną nie wyklucza przy tym jego odpowiedzialności cywilnej za ewentualne szkody, wobec osób, których dane osobowe są przetwarzane.

Może zatem dojść do sytuacji, w której administrator będzie ukarany karą pieniężną oraz będzie dodatkowo zmuszony do wypłaty odszkodowania na rzecz osób, których dane osobowe przetwarzał.