Pokrótce o RODO...
Prywatność każdego czÅ‚owieka musi być chroniona. 25 maja 2018 r. we wszystkich krajach należących do Unii Europejskiej zacznie być stosowane Ogólne RozporzÄ…dzenie o Ochronie Danych Osobowych 2016/679 (RODO).
W omawianym rozporzÄ…dzeniu ustanowione zostaÅ‚y przepisy o ochronie osób fizycznych w zwiÄ…zku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepÅ‚ywie danych osobowych. RODO chroni podstawowe prawa i wolnoÅ›ci osób fizycznych, w szczególnoÅ›ci ich prawo do ochrony danych osobowych. Nie ogranicza ono ani nie zakazuje swobodnego przepÅ‚ywu danych osobowych w Unii z powodów odnoszÄ…cych siÄ™ do ochrony osób fizycznych w zwiÄ…zku z przetwarzaniem danych osobowych.
RODO obejmje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzajÄ… dane osobowe i w praktyce wiÄ™kszość procesów przetwarzania danych. Regulacje unijnego rozporzÄ…dzenia pomogÄ… także osobom przebywajÄ…cym na terytorium Polski egzekwować ich prawo do ochrony danych osobowych.
Europejczycy bÄ™dÄ… teraz korzystać z nowych praw. Prawo do jasnych i zrozumiaÅ‚ych informacji sprawi, że przedsiÄ™biorstwa nie bÄ™dÄ… mogÅ‚y „chować siÄ™” za skomplikowanym jÄ™zykiem prawniczym, aby uzyskać naszÄ… zgodÄ™ na przetwarzanie danych. Prawo do przenoszenia danych od jednego dostawcy usÅ‚ug do innego jest kolejnym nowym prawem, które uÅ‚atwi zmianÄ™ dostawcy usÅ‚ug. Oprócz tego zostaÅ‚y doprecyzowane już istniejÄ…ce prawa, takie jak prawo do bycia zapomnianym.
Lepsze przepisy o ochronie danych osobowych to także wiÄ™ksze bezpieczeÅ„stwo w internecie. PoÅ‚owa europejskich użytkowników internetu martwi siÄ™, że ich dane osobowe mogÄ… zostać wykorzystane w sposób nieuprawniony. Jeżeli nasze dane osobowe sÄ… w posiadaniu przedsiÄ™biorstwa, które jest narażone na zagrożenie w wyniku cyberataku, przedsiÄ™biorstwo to bÄ™dzie zobowiÄ…zane powiadomić o tym wÅ‚adze oraz użytkowników swoich produktów lub usÅ‚ug w ciÄ…gu 72 godzin.
Kolejna ważna nowość w przepisach polega na tym, że każde przekazanie danych za granicę wiąże się z koniecznością zapewnienia ich ochrony. Jeśli jakieś przedsiębiorstwo gromadzi dane w Europie, będzie musiało przestrzegać europejskich norm, nawet jeżeli analizuje je poza jej terytorium. Jest to zasadnicza kwestia w zglobalizowanym i połączonym cyfrowo świecie.
DziÄ™ki ogólnemu rozporzÄ…dzeniu o ochronie danych możliwy bÄ™dzie swobodny przepÅ‚yw danych na caÅ‚ym jednolitym rynku cyfrowym. Ma ono lepiej chronić prywatność Europejczyków i przyczynić siÄ™ do zwiÄ™kszenia zaufania i bezpieczeÅ„stwa konsumentów, a jednoczeÅ›nie stworzyć nowe możliwoÅ›ci dla przedsiÄ™biorstw, zwÅ‚aszcza tych mniejszych.
GÅ‚ówne elementy nowych przepisów o ochronie danych to:
- jednolity zbiór przepisów obowiÄ…zujÄ…cy w caÅ‚ej Europie, gwarantujÄ…cy przedsiÄ™biorstwom pewność prawa, a obywatelom jednakowy poziom ochrony danych w caÅ‚ej UE;
- jednakowe zasady stosowane do wszystkich przedsiębiorstw świadczących usługi na terenie UE, nawet jeżeli mają one siedzibę poza UE;
- wzmocnienie istniejących praw obywateli i przyznanie im nowych: wzmocniono prawo do informacji, prawo dostępu oraz prawo do bycia zapomnianym. Nowe prawo do przenoszenia danych umożliwia obywatelom przenoszenie danych z jednego przedsiębiorstwa do innego. Zapewni to przedsiębiorstwom nowe możliwości biznesowe;
- wzmocniona ochrona przed naruszeniami w dziedzinie danych: przedsiÄ™biorstwo, którego chronione dane zostaÅ‚y naruszone, co naraziÅ‚o osoby fizyczne na ryzyko, musi powiadomić o tym organ ochrony danych w ciÄ…gu 72 godzin;
- skuteczne przepisy i odstraszające grzywny: wszystkie organy ochrony danych będą miały uprawnienia do nakładania grzywien w wysokości do 20 mln euro lub, w przypadku przedsiębiorstw, w wysokości 4% całkowitego rocznego światowego obrotu.
O jakie dane osobowe chodzi?
WedÅ‚ug RODO, "dane osobowe" oznaczajÄ… informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczÄ…"); możliwa do zidentyfikowania osoba fizyczna to osoba, którÄ… można bezpoÅ›rednio lub poÅ›rednio zidentyfikować, w szczególnoÅ›ci na podstawie identyfikatora takiego jak imiÄ™ i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bÄ…dź kilka szczególnych czynników okreÅ›lajÄ…cych fizycznÄ…, fizjologicznÄ…, genetycznÄ…, psychicznÄ…, ekonomicznÄ…, kulturowÄ… lub spoÅ‚ecznÄ… tożsamość osoby fizycznej.
Dane osobowe sÄ… to zatem wszelkie informacje odnoszÄ…ce siÄ™ do zidentyfikowanej bÄ…dź możliwej do zidentyfikowania osobie fizycznej. OsobÄ… zidentyfikowanÄ… jest zaÅ› taka osoba, której tożsamość znamy, którÄ… możemy wskazać spoÅ›ród innych osób (np. pracownik, którego dane osobowe przetwarza pracodawca, klient sklepu internetowego, który podaÅ‚ swoje dane osobowe do przesÅ‚ania zamówienia, bÄ…dź osoba, która w formularzu kontaktowym wpisaÅ‚a swoje imiÄ™, nazwisko i adres e-mail).
OsobÄ… możliwÄ… do zidentyfikowania jest z kolei taka osoba, której tożsamoÅ›ci nie znamy, lecz możemy poznać, korzystajÄ…c z posiadanych Å›rodków (np. potencjalny kontrahent, którego znamy jedynie numer ewidencyjny w CEIDG, czy też nadawca listu poleconego - możliwy do ustalenia wg numeru przesyÅ‚ki).
Zgodnie z nowymi przepisami, dane osobowe to wiÄ™c takie dane, które pozwalajÄ… - choćby potencjalnie - zidentyfikować osobÄ™ fizycznÄ…. MogÄ… to być informacje takie jak: imiÄ™, nazwisko, numer PESEL, pÅ‚eć, adres e-mail, ale też mniej oczywiste, jak numer IP, dane o lokalizacji, kod genetyczny, poglÄ…dy polityczne bÄ…dź historia zakupów. Wszelkie informacje zbierane na temat osoby, które pozwalajÄ… na ustalenie jej tożsamoÅ›ci, sÄ… danymi osobowymi, niezależnie od tego, czy sÄ… przetwarzane w formie papierowej czy cyfrowej. Możliwość uznania informacji za dane osobowe nie zależy ani od wieku danej osoby, ani od jej narodowoÅ›ci.
Co ważne, dane osobowe to informacje o osobach fizycznych. Osoby prawne nie majÄ… danych osobowych. Jednak pracownicy osób prawnych mogÄ… mieć dane osobowe, jak każda inna osoba fizyczna, przy czym informacja „ABC Sp. z o.o.” nie stanowi danych osobowych tego podmiotu, zaÅ› informacja „Janina Nowak, pracownik ABC Sp. z o.o.” może stanowić dane osobowe Janiny Nowak.
Można wskazać 2 grupy danych osobowych:
- dane osobowe należące do szczególnych kategorii danych osobowych (tzw. dane wrażliwe) - sÄ… to dane ujawniajÄ…ce pochodzenie rasowe lub etniczne, poglÄ…dy polityczne, przekonania religijne lub Å›wiatopoglÄ…dowe, przynależność do zwiÄ…zków zawodowych oraz dane genetyczne, dane biometryczne pozwalajÄ…ce jednoznacznie zidentyfikować osobÄ™ fizycznÄ…, czy też dane dotyczÄ…ce zdrowia, seksualnoÅ›ci lub orientacji seksualnej tej osoby;
- zwykÅ‚e dane osobowe - tzn. dane osobowe, które nie należą do żadnej z ww. kategorii. Zgodnie z RODO, do kategorii danych osobowych zwykÅ‚ych należą również dane osobowe dotyczÄ…ce wyroków skazujÄ…cych.
Jakie czynności normuje RODO?
Omawiane rozporzÄ…dzenie ma zastosowanie do przetwarzania danych osobowych w sposób caÅ‚kowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiÄ…cych część zbioru danych lub majÄ…cych stanowić część zbioru danych. "Zbiór danych" oznacza uporzÄ…dkowany zestaw danych osobowych dostÄ™pnych wedÅ‚ug okreÅ›lonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany, czy rozproszony funkcjonalnie lub geograficznie.
RODO stosuje siÄ™ wiÄ™c generalnie do przetwarzania danych osobowych, a to bardzo ogólne sformuÅ‚owanie. Na użytek tego rozporzÄ…dzenia "przetwarzanie" oznacza operacjÄ™ lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takÄ… jak zbieranie, utrwalanie, organizowanie, porzÄ…dkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglÄ…danie, wykorzystywanie, ujawnianie poprzez przesÅ‚anie, rozpowszechnianie lub innego rodzaju udostÄ™pnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Przetwarzaniem danych osobowych są zatem wszelkie operacje wykonywane na danych osobowych, takie jak: zbieranie danych, przechowywanie danych, usuwanie danych, opracowywanie danych czy udostępnianie danych.
RODO normuje wszelkie czynnoÅ›ci, które majÄ… za przedmiot dane osobowe, ale też różnego rodzaju usÅ‚ugi, w ramach Å›wiadczenia których dochodzi do zbierania danych osobowych. Do przepisów tego rozporzÄ…dzenia winni wiÄ™c stosować siÄ™ przedsiÄ™biorcy zajmujÄ…cy siÄ™ przetwarzaniem danych (tj. np. archiwizowaniem danych czy dokumentów, niszczeniem dokumentów, usÅ‚ugami kurierskimi itd.), jak też przedsiÄ™biorcy, którzy przetwarzajÄ… dane osobowe tylko przy okazji Å›wiadczenia innych usÅ‚ug (jak doradcy podatkowi, biura rachunkowe, sklepy internetowe, zarzÄ…dcy nieruchomoÅ›ci, poÅ›rednicy ubezpieczeniowi, agenci biur podróży itd.).
Kto musi wdrożyć RODO?
Jeśli chodzi o terytorialny zakres stosowania, to RODO ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.
RODO podlega wiÄ™c każda instytucja oraz każdy przedsiÄ™biorca, który prowadzi dziaÅ‚alność w Unii Europejskiej.
Może to być dziaÅ‚alność w dowolnej formie prawnej, jak np.: jednoosobowa dziaÅ‚alność gospodarcza, spóÅ‚ka bÄ…dź oddziaÅ‚ w UE przedsiÄ™biorstwa posiadajÄ…cego siedzibÄ™ poza UniÄ… (np. oddziaÅ‚ w Polsce firmy z Chin podlega przepisom RODO).
Nie jest istotna narodowość czy obywatelstwo osób, których dane osobowe sÄ… przetwarzane (np. polski podmiot oferujÄ…cy swoje usÅ‚ugi obywatelom BiaÅ‚orusi podlega przepisom RODO). Nie ma też znaczenia to, gdzie sÄ… przetwarzane dane osobowe (gdzie sÄ… siÄ™ serwery), np. polska spóÅ‚ka korzystajÄ…ca z usÅ‚ug przetwarzania danych w chmurze także musi stosować RODO).
RODO ma zastosowanie nawet w przypadku, kiedy podmioty spoza UE tylko oferujÄ… swoje towary i usÅ‚ug osobom przebywajÄ…cym na terenie Unii. Mianowicie, unijne rozporzÄ…dzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczÄ…, przebywajÄ…cych w Unii przez administratora lub podmiot przetwarzajÄ…cy niemajÄ…cych jednostek organizacyjnych w Unii, jeżeli czynnoÅ›ci przetwarzania wiążą siÄ™ z:
Omawiane rozporzÄ…dzenie ma zastosowanie także do przetwarzania danych osobowych przez administratora niemajÄ…cego jednostki organizacyjnej w Unii, ale posiadajÄ…cego jednostkÄ™ organizacyjnÄ… w miejscu, w którym na mocy prawa miÄ™dzynarodowego publicznego ma zastosowanie prawo paÅ„stwa czÅ‚onkowskiego UE.
RODO nie znajduje natomiast zastosowania do dziaÅ‚alnoÅ›ci osobistej bÄ…dź domowej. Osoba fizyczna prowadzÄ…ca dziaÅ‚alność gospodarczÄ… musi wiÄ™c stosować siÄ™ do RODO w zakresie przetwarzania danych osobowych swoich klientów czy pracowników, lecz nie ma takiego obowiÄ…zku w odniesieniu do danych przetwarzanych w celach czysto prywatnych, np. do danych adresatów wysyÅ‚anych kartek Å›wiÄ…tecznych czy walentynkowych.
Jeśli jakiś przedsiębiorca bądź instytucja przetwarza dane osobowe, to może to robić jako:
- administrator danych - tzn. osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania sÄ… okreÅ›lone w prawie Unii lub w prawie paÅ„stwa czÅ‚onkowskiego, to również w prawie Unii lub w prawie paÅ„stwa czÅ‚onkowskiego może zostać wyznaczony administrator lub mogÄ… zostać okreÅ›lone konkretne kryteria jego wyznaczania;
albo
- podmiot przetwarzajÄ…cy dane - tzn. osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Administrator danych jest to zatem ten podmiot, który decyduje o celach oraz sposobach przetwarzania danych, czyli decyduje o tym, po co i jak wykorzystuje siÄ™ dane osobowe (np. pracodawca w stosunku do danych osobowych swoich pracowników, sprzedawca w sklepie internetowym w stosunku do danych osobowych swoich klientów, wÅ‚aÅ›ciciel strony internetowej w stosunku do danych osobowych osób, które zaprenumerowaÅ‚y newsletter).
Administratorem danych jest zawsze okreÅ›lony podmiot prawny (przykÅ‚adowo spóÅ‚ka akcyjna albo Józef Nowak prowadzÄ…cy jednoosobowÄ… dziaÅ‚alność gospodarczÄ…), a nie jego pracownik czy organ (np. nie jest administratorem danych sekretarka, prezes ani dyrektor dziaÅ‚u spedycji).
Administrator danych może albo sam przetwarzać dane, albo skorzystać z usÅ‚ug zewnÄ™trznego podmiotu, który te dane bÄ™dzie przetwarzaÅ‚ dla niego.
Podmiot przetwarzajÄ…cy dane osobowe nie decyduje o celach ani o Å›rodkach przetwarzania danych. DziaÅ‚a on na podstawie umowy z administratorem danych (jak np. samodzielna ksiÄ™gowa przetwarza na zlecenie dane osobowe przekazane jej w tym celu przez obsÅ‚ugiwanych klientów, podmiot utrzymujÄ…cy na zlecenie swoich klientów konta poczty elektronicznej przetwarza na zlecenie dane osobowe, podmiot zajmujÄ…cy siÄ™ profesjonalnie niszczeniem danych osobowych przetwarza w tym zakresie dane osobowe na zlecenie swoich usÅ‚ugobiorców). Podmiot przetwarzajÄ…cy dane na zlecenie powinien zawrzeć z administratorem danych odpowiedniÄ… umowÄ™, tzw. umowÄ™ powierzenia, w której należy okreÅ›lić zasady przetwarzania danych.
W organizacji przetwarzaniem danych osobowych faktycznie zajmujÄ… siÄ™ konkretne osoby fizyczne – pracownicy bÄ…dź wspóÅ‚pracownicy administratora czy podmiotu przetwarzajÄ…cego dane. Takie osoby powinny posiadać upoważnienie do przetwarzania danych osobowych.
Przykład:
RODO ma zastosowanie, gdy prowadzisz małą firmÄ™ Å›wiadczÄ…cÄ… usÅ‚ugi w zakresie szkolnictwa wyższego, dziaÅ‚ajÄ…cÄ… online, z siedzibÄ… poza UE. SwojÄ… ofertÄ™ kierujesz gÅ‚ównie do uniwersytetów na terenie UE, na których jÄ™zykami wykÅ‚adowymi sÄ… hiszpaÅ„ski i portugalski. Åšwiadczysz nieodpÅ‚atne usÅ‚ugi doradcze dotyczÄ…ce wielu programów uczelni wyższych. Aby korzystać z Twoich materiaÅ‚ów umieszczonych w internecie, studenci muszÄ… posiadać nazwÄ™ użytkownika oraz hasÅ‚o. Twoja firma przyznaje im wspomnianÄ… nazwÄ™ oraz hasÅ‚o po tym, jak wypeÅ‚niÄ… formularz zgÅ‚oszeniowy.
JeÅ›li nawet firma należca do kategorii maÅ‚ych i Å›rednich przedsiÄ™biorstw przetwarza dane osobowe i musi przestrzegać RODO, to jednak, jeÅ›li przetwarzanie danych nie stanowi gÅ‚ównej dziaÅ‚alnoÅ›ci firmy, a podejmowane przez niÄ… dziaÅ‚ania nie stwarzajÄ… ryzyka dla osób fizycznych, wówczas niektóre obowiÄ…zki okreÅ›lone w RODO nie majÄ… doÅ„ zastosowania (np. obowiÄ…zek powoÅ‚ania inspektora ochrony danych). Należy wziąć pod uwagÄ™ fakt, że „gÅ‚ówna dziaÅ‚alność” powinna obejmować takie dziaÅ‚ania administratora lub podmiotu przetwarzajÄ…cego dane, których nieodłącznym elementem jest przetwarzanie danych.
Przykład:
RODO nie ma zastosowania, gdy jesteÅ› usÅ‚ugodawcÄ… z siedzibÄ… poza UE i Å›wiadczysz usÅ‚ugi klientom spoza Unii. Twoi klienci mogÄ… korzystać z usÅ‚ug Twojej firmy podczas swoich podróży do innych krajów, w tym do krajów UE. O ile Twoja firma nie kieruje swojej oferty konkretnie do osób fizycznych w UE, nie podlega ona przepisom RODO.
Konieczne dostosowania przepisów krajowych
Jak wspomniano, w dniu 25 maja 2018 r. zacznÄ… obowiÄ…zywać ulepszone unijne przepisy w zakresie ochrony danych. Nowym rozporzÄ…dzeniem ustanawia siÄ™ zbiór jednolitych przepisów majÄ…cych bezpoÅ›rednie zastosowanie we wszystkich paÅ„stwach czÅ‚onkowskich UE, mimo to w pewnych kwestiach konieczne sÄ… znaczÄ…ce dostosowania, takie jak nowelizacje istniejÄ…cych aktów prawnych przez rzÄ…dy paÅ„stw UE, czy też utworzenie Europejskiej Rady Ochrony Danych przez organy ochrony danych. Przygotowania w poszczególnych paÅ„stwach czÅ‚onkowskich postÄ™pujÄ… w różnym tempie.
W Polsce przygotowuje siÄ™ np. nowÄ… ustawÄ™ o ochronie danych osobowych. Zob.: Projekt ustawy o ochronie danych osobowych, Rewolucja w systemie ochrony danych osobowych.
Organ nadzorczy
WedÅ‚ug RODO, "organ nadzorczy" to niezależny organ publiczny ustanowiony przez paÅ„stwo czÅ‚onkowskie. Unijne rozporzÄ…dzenie wymaga bowiem, aby każde paÅ„stwo czÅ‚onkowskie UE zapewniaÅ‚o, by za monitorowanie stosowania tego rozporzÄ…dzenia odpowiadaÅ‚ co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolnoÅ›ci osób fizycznych w zwiÄ…zku z przetwarzaniem oraz uÅ‚atwiania swobodnego przepÅ‚ywu danych osobowych w Unii.
W nowych przepisach w Polsce, zamiast GIODO, przewidziano powołanie nowego organu nadzorczego, Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Organ ten przejmie zadania i kompetencje GIODO. Będzie też wykonywał nowe, przyznane mu przez RODO obowiązki.
Pamiętaj, że:
- RODO ma zastosowanie do:
- przedsiÄ™biorstw i podmiotów, które przetwarzajÄ… dane osobowe w ramach dziaÅ‚alnoÅ›ci swojego oddziaÅ‚u majÄ…cego siedzibÄ™ na terenie UE, niezależnie od miejsca przetwarzania danych oraz
- przedsiÄ™biorstw posiadajÄ…cych siedzibÄ™ poza UE, które oferujÄ… towary/usÅ‚ugi (odpÅ‚atnie bÄ…dź nieodpÅ‚atnie) lub zajmujÄ… siÄ™ monitorowaniem zachowania osób fizycznych w UE.
Podstawa prawna:
- rozporzÄ…dzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w zwiÄ…zku z przetwarzaniem danych osobowych i w sprawie swobodnego przepÅ‚ywu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporzÄ…dzenie o ochronie danych; RODO; Dziennik UrzÄ™dowy Unii Europejskiej L z 2016 r. nr 119, str. 1).