Co reguluje RODO?

Pokrótce o RODO...

Prywatność każdego czÅ‚owieka musi być chroniona. 25 maja 2018 r. we wszystkich krajach należących do Unii Europejskiej zacznie być stosowane Ogólne RozporzÄ…dzenie o Ochronie Danych Osobowych 2016/679 (RODO).

W omawianym rozporzÄ…dzeniu ustanowione zostaÅ‚y przepisy o ochronie osób fizycznych w zwiÄ…zku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepÅ‚ywie danych osobowych. RODO chroni podstawowe prawa i wolnoÅ›ci osób fizycznych, w szczególnoÅ›ci ich prawo do ochrony danych osobowych. Nie ogranicza ono ani nie zakazuje swobodnego przepÅ‚ywu danych osobowych w Unii z powodów odnoszÄ…cych siÄ™ do ochrony osób fizycznych w zwiÄ…zku z przetwarzaniem danych osobowych.

RODO obejmje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych. Regulacje unijnego rozporządzenia pomogą także osobom przebywającym na terytorium Polski egzekwować ich prawo do ochrony danych osobowych.

Europejczycy bÄ™dÄ… teraz korzystać z nowych praw. Prawo do jasnych i zrozumiaÅ‚ych informacji sprawi, że przedsiÄ™biorstwa nie bÄ™dÄ… mogÅ‚y „chować siÄ™” za skomplikowanym jÄ™zykiem prawniczym, aby uzyskać naszÄ… zgodÄ™ na przetwarzanie danych. Prawo do przenoszenia danych od jednego dostawcy usÅ‚ug do innego jest kolejnym nowym prawem, które uÅ‚atwi zmianÄ™ dostawcy usÅ‚ug. Oprócz tego zostaÅ‚y doprecyzowane już istniejÄ…ce prawa, takie jak prawo do bycia zapomnianym.

Lepsze przepisy o ochronie danych osobowych to także większe bezpieczeństwo w internecie. Połowa europejskich użytkowników internetu martwi się, że ich dane osobowe mogą zostać wykorzystane w sposób nieuprawniony. Jeżeli nasze dane osobowe są w posiadaniu przedsiębiorstwa, które jest narażone na zagrożenie w wyniku cyberataku, przedsiębiorstwo to będzie zobowiązane powiadomić o tym władze oraz użytkowników swoich produktów lub usług w ciągu 72 godzin.

Kolejna ważna nowość w przepisach polega na tym, że każde przekazanie danych za granicę wiąże się z koniecznością zapewnienia ich ochrony. Jeśli jakieś przedsiębiorstwo gromadzi dane w Europie, będzie musiało przestrzegać europejskich norm, nawet jeżeli analizuje je poza jej terytorium. Jest to zasadnicza kwestia w zglobalizowanym i połączonym cyfrowo świecie.

Dzięki ogólnemu rozporządzeniu o ochronie danych możliwy będzie swobodny przepływ danych na całym jednolitym rynku cyfrowym. Ma ono lepiej chronić prywatność Europejczyków i przyczynić się do zwiększenia zaufania i bezpieczeństwa konsumentów, a jednocześnie stworzyć nowe możliwości dla przedsiębiorstw, zwłaszcza tych mniejszych.

Główne elementy nowych przepisów o ochronie danych to:

  • jednolity zbiór przepisów obowiÄ…zujÄ…cy w caÅ‚ej Europie, gwarantujÄ…cy przedsiÄ™biorstwom pewność prawa, a obywatelom jednakowy poziom ochrony danych w caÅ‚ej UE;
  • jednakowe zasady stosowane do wszystkich przedsiÄ™biorstw Å›wiadczÄ…cych usÅ‚ugi na terenie UE, nawet jeżeli majÄ… one siedzibÄ™ poza UE;
  • wzmocnienie istniejÄ…cych praw obywateli i przyznanie im nowych: wzmocniono prawo do informacji, prawo dostÄ™pu oraz prawo do bycia zapomnianym. Nowe prawo do przenoszenia danych umożliwia obywatelom przenoszenie danych z jednego przedsiÄ™biorstwa do innego. Zapewni to przedsiÄ™biorstwom nowe możliwoÅ›ci biznesowe;
  • wzmocniona ochrona przed naruszeniami w dziedzinie danych: przedsiÄ™biorstwo, którego chronione dane zostaÅ‚y naruszone, co naraziÅ‚o osoby fizyczne na ryzyko, musi powiadomić o tym organ ochrony danych w ciÄ…gu 72 godzin;
  • skuteczne przepisy i odstraszajÄ…ce grzywny: wszystkie organy ochrony danych bÄ™dÄ… miaÅ‚y uprawnienia do nakÅ‚adania grzywien w wysokoÅ›ci do 20 mln euro lub, w przypadku przedsiÄ™biorstw, w wysokoÅ›ci 4% caÅ‚kowitego rocznego Å›wiatowego obrotu. 

O jakie dane osobowe chodzi?

Według RODO, "dane osobowe" oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Dane osobowe sÄ… to zatem wszelkie informacje odnoszÄ…ce siÄ™ do zidentyfikowanej bÄ…dź możliwej do zidentyfikowania osobie fizycznej. OsobÄ… zidentyfikowanÄ… jest zaÅ› taka osoba, której tożsamość znamy, którÄ… możemy wskazać spoÅ›ród innych osób (np. pracownik, którego dane osobowe przetwarza pracodawca, klient sklepu internetowego, który podaÅ‚ swoje dane osobowe do przesÅ‚ania zamówienia, bÄ…dź osoba, która w formularzu kontaktowym wpisaÅ‚a swoje imiÄ™, nazwisko i adres e-mail).

Osobą możliwą do zidentyfikowania jest z kolei taka osoba, której tożsamości nie znamy, lecz możemy poznać, korzystając z posiadanych środków (np. potencjalny kontrahent, którego znamy jedynie numer ewidencyjny w CEIDG, czy też nadawca listu poleconego - możliwy do ustalenia wg numeru przesyłki).

Zgodnie z nowymi przepisami, dane osobowe to wiÄ™c takie dane, które pozwalajÄ… - choćby potencjalnie - zidentyfikować osobÄ™ fizycznÄ…. MogÄ… to być informacje takie jak: imiÄ™, nazwisko, numer PESEL, pÅ‚eć, adres e-mail, ale też mniej oczywiste, jak numer IP, dane o lokalizacji, kod genetyczny, poglÄ…dy polityczne bÄ…dź historia zakupów. Wszelkie informacje zbierane na temat osoby, które pozwalajÄ… na ustalenie jej tożsamoÅ›ci, sÄ… danymi osobowymi, niezależnie od tego, czy sÄ… przetwarzane w formie papierowej czy cyfrowej. Możliwość uznania informacji za dane osobowe nie zależy ani od wieku danej osoby, ani od jej narodowoÅ›ci.

Co ważne, dane osobowe to informacje o osobach fizycznych. Osoby prawne nie majÄ… danych osobowych. Jednak pracownicy osób prawnych mogÄ… mieć dane osobowe, jak każda inna osoba fizyczna, przy czym informacja „ABC Sp. z o.o.” nie stanowi danych osobowych tego podmiotu, zaÅ› informacja „Janina Nowak, pracownik ABC Sp. z o.o.” może stanowić dane osobowe Janiny Nowak.

Można wskazać 2 grupy danych osobowych:

  1. dane osobowe należące do szczególnych kategorii danych osobowych (tzw. dane wrażliwe) - są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne pozwalające jednoznacznie zidentyfikować osobę fizyczną, czy też dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby;
  2. zwykÅ‚e dane osobowe - tzn. dane osobowe, które nie należą do żadnej z ww. kategorii. Zgodnie z RODO, do kategorii danych osobowych zwykÅ‚ych należą również dane osobowe dotyczÄ…ce wyroków skazujÄ…cych. 

Jakie czynności normuje RODO?

Omawiane rozporzÄ…dzenie ma zastosowanie do przetwarzania danych osobowych w sposób caÅ‚kowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiÄ…cych część zbioru danych lub majÄ…cych stanowić część zbioru danych. "Zbiór danych" oznacza uporzÄ…dkowany zestaw danych osobowych dostÄ™pnych wedÅ‚ug okreÅ›lonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany, czy rozproszony funkcjonalnie lub geograficznie.

RODO stosuje siÄ™ wiÄ™c generalnie do przetwarzania danych osobowych, a to bardzo ogólne sformuÅ‚owanie. Na użytek tego rozporzÄ…dzenia "przetwarzanie" oznacza operacjÄ™ lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takÄ… jak zbieranie, utrwalanie, organizowanie, porzÄ…dkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglÄ…danie, wykorzystywanie, ujawnianie poprzez przesÅ‚anie, rozpowszechnianie lub innego rodzaju udostÄ™pnianie, dopasowywanie lub Å‚Ä…czenie, ograniczanie, usuwanie lub niszczenie. 

Przetwarzaniem danych osobowych są zatem wszelkie operacje wykonywane na danych osobowych, takie jak: zbieranie danych, przechowywanie danych, usuwanie danych, opracowywanie danych czy udostępnianie danych.

RODO normuje wszelkie czynnoÅ›ci, które majÄ… za przedmiot dane osobowe, ale też różnego rodzaju usÅ‚ugi, w ramach Å›wiadczenia których dochodzi do zbierania danych osobowych. Do przepisów tego rozporzÄ…dzenia winni wiÄ™c stosować siÄ™ przedsiÄ™biorcy zajmujÄ…cy siÄ™ przetwarzaniem danych (tj. np. archiwizowaniem danych czy dokumentów, niszczeniem dokumentów, usÅ‚ugami kurierskimi itd.), jak też przedsiÄ™biorcy, którzy przetwarzajÄ… dane osobowe tylko przy okazji Å›wiadczenia innych usÅ‚ug (jak doradcy podatkowi, biura rachunkowe, sklepy internetowe, zarzÄ…dcy nieruchomoÅ›ci, poÅ›rednicy ubezpieczeniowi, agenci biur podróży itd.).

RODO nie ma jednak zastosowania do przetwarzania danych osobowych:  a) w ramach dziaÅ‚alnoÅ›ci nieobjÄ™tej zakresem prawa Unii;  b) przez paÅ„stwa czÅ‚onkowskie w ramach wykonywania dziaÅ‚aÅ„ wchodzÄ…cych w zakres tytuÅ‚u V rozdziaÅ‚ 2 TUE (postanowienia szczególne dotyczÄ…ce wspólnej polityki zagranicznej i bezpieczeÅ„stwa);  c) przez osobÄ™ fizycznÄ… w ramach czynnoÅ›ci o czysto osobistym lub domowym charakterze;  d) przez wÅ‚aÅ›ciwe organy do celów zapobiegania przestÄ™pczoÅ›ci, prowadzenia postÄ™powaÅ„ przygotowawczych, wykrywania i Å›cigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeÅ„stwa publicznego i zapobiegania takim zagrożeniom. Do przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii zastosowanie ma rozporzÄ…dzenie (WE) nr 45/2001. RozporzÄ…dzenie (WE) nr 45/2001 oraz inne unijne akty prawne majÄ…ce zastosowanie do takiego przetwarzania danych osobowych zostajÄ… dostosowane do zasad i przepisów RODO zgodnie z art. 98. RODO pozostaje bez uszczerbku dla stosowania dyrektywy 2000/31/WE o handlu elektronicznym.

Kto musi wdrożyć RODO?

JeÅ›li chodzi o terytorialny zakres stosowania, to RODO ma zastosowanie do przetwarzania danych osobowych w zwiÄ…zku z dziaÅ‚alnoÅ›ciÄ… prowadzonÄ… przez jednostkÄ™ organizacyjnÄ… administratora lub podmiotu przetwarzajÄ…cego w Unii, niezależnie od tego, czy przetwarzanie odbywa siÄ™ w Unii. 

RODO podlega więc każda instytucja oraz każdy przedsiębiorca, który prowadzi działalność w Unii Europejskiej.

Może to być dziaÅ‚alność w dowolnej formie prawnej, jak np.: jednoosobowa dziaÅ‚alność gospodarcza, spółka bÄ…dź oddziaÅ‚ w UE przedsiÄ™biorstwa posiadajÄ…cego siedzibÄ™ poza UniÄ… (np. oddziaÅ‚ w Polsce firmy z Chin podlega przepisom RODO).

Nie jest istotna narodowość czy obywatelstwo osób, których dane osobowe sÄ… przetwarzane (np. polski podmiot oferujÄ…cy swoje usÅ‚ugi obywatelom BiaÅ‚orusi podlega przepisom RODO). Nie ma też znaczenia to, gdzie sÄ… przetwarzane dane osobowe (gdzie sÄ… siÄ™ serwery), np. polska spółka korzystajÄ…ca z usÅ‚ug przetwarzania danych w chmurze także musi stosować RODO).

RODO ma zastosowanie nawet w przypadku, kiedy podmioty spoza UE tylko oferują swoje towary i usług osobom przebywającym na terenie Unii. Mianowicie, unijne rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:

 a) oferowaniem towarów lub usÅ‚ug takim osobom, których dane dotyczÄ…, w Unii - niezależnie od tego, czy wymaga siÄ™ od tych osób zapÅ‚aty; lub

 b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

Omawiane rozporządzenie ma zastosowanie także do przetwarzania danych osobowych przez administratora niemającego jednostki organizacyjnej w Unii, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego UE.

RODO nie znajduje natomiast zastosowania do dziaÅ‚alnoÅ›ci osobistej bÄ…dź domowej. Osoba fizyczna prowadzÄ…ca dziaÅ‚alność gospodarczÄ… musi wiÄ™c stosować siÄ™ do RODO w zakresie przetwarzania danych osobowych swoich klientów czy pracowników, lecz nie ma  takiego obowiÄ…zku w odniesieniu do danych przetwarzanych w celach czysto prywatnych, np. do danych adresatów wysyÅ‚anych kartek Å›wiÄ…tecznych czy walentynkowych.

Jeśli jakiś przedsiębiorca bądź instytucja przetwarza dane osobowe, to może to robić jako:

  • administrator danych - tzn. osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania sÄ… okreÅ›lone w prawie Unii lub w prawie paÅ„stwa czÅ‚onkowskiego, to również w prawie Unii lub w prawie paÅ„stwa czÅ‚onkowskiego może zostać wyznaczony administrator lub mogÄ… zostać okreÅ›lone konkretne kryteria jego wyznaczania;

   albo

  • podmiot przetwarzajÄ…cy dane - tzn. osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Administrator danych jest to zatem ten podmiot, który decyduje o celach oraz sposobach przetwarzania danych, czyli decyduje o tym, po co i jak wykorzystuje się dane osobowe (np. pracodawca w stosunku do danych osobowych swoich pracowników, sprzedawca w sklepie internetowym w stosunku do danych osobowych swoich klientów, właściciel strony internetowej w stosunku do danych osobowych osób, które zaprenumerowały newsletter).

Administratorem danych jest zawsze okreÅ›lony podmiot prawny (przykÅ‚adowo spółka akcyjna albo Józef Nowak prowadzÄ…cy jednoosobowÄ… dziaÅ‚alność gospodarczÄ…), a nie jego pracownik czy organ (np. nie jest administratorem danych sekretarka, prezes ani dyrektor dziaÅ‚u spedycji).

Administrator danych może albo sam przetwarzać dane, albo skorzystać z usług zewnętrznego podmiotu, który te dane będzie przetwarzał dla niego.

Podmiot przetwarzający dane osobowe nie decyduje o celach ani o środkach przetwarzania danych. Działa on na podstawie umowy z administratorem danych (jak np. samodzielna księgowa przetwarza na zlecenie dane osobowe przekazane jej w tym celu przez obsługiwanych klientów, podmiot utrzymujący na zlecenie swoich klientów konta poczty elektronicznej przetwarza na zlecenie dane osobowe, podmiot zajmujący się profesjonalnie niszczeniem danych osobowych przetwarza w tym zakresie dane osobowe na zlecenie swoich usługobiorców). Podmiot przetwarzający dane na zlecenie powinien zawrzeć z administratorem danych odpowiednią umowę, tzw. umowę powierzenia, w której należy określić zasady przetwarzania danych.

W organizacji przetwarzaniem danych osobowych faktycznie zajmujÄ… siÄ™ konkretne osoby fizyczne – pracownicy bÄ…dź współpracownicy administratora czy podmiotu przetwarzajÄ…cego dane. Takie osoby powinny posiadać upoważnienie do przetwarzania danych osobowych. 

Przykład:

RODO ma zastosowanie, gdy prowadzisz małą firmę świadczącą usługi w zakresie szkolnictwa wyższego, działającą online, z siedzibą poza UE. Swoją ofertę kierujesz głównie do uniwersytetów na terenie UE, na których językami wykładowymi są hiszpański i portugalski. Świadczysz nieodpłatne usługi doradcze dotyczące wielu programów uczelni wyższych. Aby korzystać z Twoich materiałów umieszczonych w internecie, studenci muszą posiadać nazwę użytkownika oraz hasło. Twoja firma przyznaje im wspomnianą nazwę oraz hasło po tym, jak wypełnią formularz zgłoszeniowy.

JeÅ›li nawet firma należca do kategorii maÅ‚ych i Å›rednich przedsiÄ™biorstw przetwarza dane osobowe i musi przestrzegać RODO, to jednak, jeÅ›li przetwarzanie danych nie stanowi głównej dziaÅ‚alnoÅ›ci firmy, a podejmowane przez niÄ… dziaÅ‚ania nie stwarzajÄ… ryzyka dla osób fizycznych, wówczas niektóre obowiÄ…zki okreÅ›lone w RODO nie majÄ… doÅ„ zastosowania (np. obowiÄ…zek powoÅ‚ania inspektora ochrony danych). Należy wziąć pod uwagÄ™ fakt, że „główna dziaÅ‚alność” powinna obejmować takie dziaÅ‚ania administratora lub podmiotu przetwarzajÄ…cego dane, których nieodÅ‚Ä…cznym elementem jest przetwarzanie danych.

Przykład:

RODO nie ma zastosowania, gdy jesteś usługodawcą z siedzibą poza UE i świadczysz usługi klientom spoza Unii. Twoi klienci mogą korzystać z usług Twojej firmy podczas swoich podróży do innych krajów, w tym do krajów UE. O ile Twoja firma nie kieruje swojej oferty konkretnie do osób fizycznych w UE, nie podlega ona przepisom RODO.

Konieczne dostosowania przepisów krajowych

Jak wspomniano, w dniu 25 maja 2018 r. zacznÄ… obowiÄ…zywać ulepszone unijne przepisy w zakresie ochrony danych. Nowym rozporzÄ…dzeniem ustanawia siÄ™ zbiór jednolitych przepisów majÄ…cych bezpoÅ›rednie zastosowanie we wszystkich paÅ„stwach czÅ‚onkowskich UE, mimo to w pewnych kwestiach konieczne sÄ… znaczÄ…ce dostosowania, takie jak nowelizacje istniejÄ…cych aktów prawnych przez rzÄ…dy paÅ„stw UE, czy też utworzenie Europejskiej Rady Ochrony Danych przez organy ochrony danych. Przygotowania w poszczególnych paÅ„stwach czÅ‚onkowskich postÄ™pujÄ… w różnym tempie. 

W Polsce przygotowuje siÄ™ np. nowÄ… ustawÄ™ o ochronie danych osobowych. Zob.: Projekt ustawy o ochronie danych osobowychRewolucja w systemie ochrony danych osobowych. 

Organ nadzorczy

Według RODO, "organ nadzorczy" to niezależny organ publiczny ustanowiony przez państwo członkowskie. Unijne rozporządzenie wymaga bowiem, aby każde państwo członkowskie UE zapewniało, by za monitorowanie stosowania tego rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii.

W nowych przepisach w Polsce, zamiast GIODO, przewidziano powoÅ‚anie nowego organu nadzorczego, Prezesa UrzÄ™du Ochrony Danych Osobowych (PUODO). Organ ten przejmie zadania i kompetencje GIODO. BÄ™dzie też wykonywaÅ‚ nowe, przyznane mu przez RODO obowiÄ…zki. 

Pamiętaj, że:

  • RODO ma zastosowanie do:
    • przedsiÄ™biorstw i podmiotów, które przetwarzajÄ… dane osobowe w ramach dziaÅ‚alnoÅ›ci swojego oddziaÅ‚u majÄ…cego siedzibÄ™ na terenie UE, niezależnie od miejsca przetwarzania danych oraz
    • przedsiÄ™biorstw posiadajÄ…cych siedzibÄ™ poza UE, które oferujÄ… towary/usÅ‚ugi (odpÅ‚atnie bÄ…dź nieodpÅ‚atnie) lub zajmujÄ… siÄ™ monitorowaniem zachowania osób fizycznych w UE.

Podstawa prawna:

  • rozporzÄ…dzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w zwiÄ…zku z przetwarzaniem danych osobowych i w sprawie swobodnego przepÅ‚ywu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporzÄ…dzenie o ochronie danych; RODO; Dziennik UrzÄ™dowy Unii Europejskiej L z 2016 r. nr 119, str. 1).

A.J.
Zespół e-prawnik.pl

Skomentuj artykuł - Twoje zdanie jest ważne

Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?


Masz inne pytanie do prawnika?

 

Komentarze

    Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!

Potrzebujesz pomocy prawnej?

Zapytaj prawnika