RODO – sprawdź, co musisz wiedzieć

RODO – sprawdź, co musisz wiedzieć

Jesteś małym lub średnim przedsiębiorcą i chcesz dowiedzieć się więcej o RODO? Przeczytaj artykuł i poznaj najważniejsze informacje na ten temat. Dowiedz się, kiedy nowe przepisy wchodzą w życie i kogo dotyczą. Sprawdź, jakie czynności podlegają RODO. Przeczytaj, czym są dane osobowe, kto może je przetwarzać, jak je zabezpieczać i jak długo mogą być przechowywane. Dowiedz się, czym jest profilowanie, prawo do bycia zapomnianym i prawo do przenoszenia danych.

Strony www Strony www

Co to jest RODO?

RODO (GDPR), czyli Rozporządzenie o Ochronie Danych Osobowych, jest to rozporządzenie Parlamentu Europejskiego i Rady UE z 27 kwietnia 2016 roku regulujące zasady ochrony danych osobowych. RODO zastępuje obowiązującą obecnie w Polsce ustawę z 1997 roku o ochronie danych osobowych i obowiązuje od 25 maja 2018 roku. Zastosowanie się do przepisów RODO jest obowiązkowe, nie jest przewidziany żaden dodatkowy okres przejściowy.

Obecnie Ministerstwo Cyfryzacji prowadzi prace nad przepisami uzupełniającymi RODO, które będą porządkować m.in. powoływanie następcy GIODO, czyli Prezesa Urzędu Ochrony Danych Osobowych (PUODO) czy zasady przetwarzania danych kadrowych.

Co to są dane osobowe i kto może je przetwarzać?

Dane osobowe są to informacje o osobie zidentyfikowanej lub możliwej do identyfikacji. Osoba zidentyfikowana jest to osoba, której tożsamość jest nam znana. Osoba, którą możemy zidentyfikować, to osoba o nieznanej nam tożsamości, ale której tożsamość możemy poznać na podstawie dostępnych środków.

Istnieją dwie kategorie danych osobowych:

  • dane osobowe zwykłe (w tym zgodnie z RODO dane związane z wyrokami skazującymi)
  • dane osobowe zaliczane do szczególnych kategorii (kiedyś określane były jako dane wrażliwe, są to to m.in. dane dotyczące rasy, poglądów politycznych i religijnych, orientacji seksualnej itd.)

Przedsiębiorca może przetwarzać dane osobowe jako:

  • administrator danych – ma wpływ na cele i sposoby przetwarzania danych
  • podmiot przetwarzający dane – działa na podstawie umowy z administratorem danych

Kogo dotyczy RODO?

RODO dotyczy wszystkich przedsiębiorców prowadzących działalność na terenie Unii Europejskiej. Nie ma znaczenia, czy jest to jednoosobowa działalność gospodarcza, spółka czy oddział w Unii Europejskiej należący do przedsiębiorcy, którego siedziba znajduje się poza granicami Unii. Bez znaczenia jest także narodowość osób, których dane są przetwarzane.

Oznacza to, że zastosowanie RODO dotyczy zarówno spółek korzystających z przetwarzania danych w chmurze, jak i polskich podmiotów świadczących usługi obywatelom krajów spoza Unii, np. obywatelom Ukrainy.

Należy pamiętać, że RODO nie dotyczy działalności osobistej i domowej. Osoba fizyczna prowadząca działalność gospodarczą ma obowiązek zastosowanie przepisów RODO wyłącznie do danych osobowych klientów czy pracowników. Ten obowiązek nie obejmuje danych przetwarzanych w celach prywatnych.  

Jakie czynności podlegają RODO?

RODO dotyczy przetwarzania danych osobowych, w tym ich zbierania, przechowywania, usuwania, opracowywania i udostępniania. Oznacza to, że RODO obejmuje zarówno przedsiębiorców zajmujących się przetwarzaniem danych (archiwizowanie, niszczenie, przesyłanie), jak i przetwarzających te dane przy okazji oferowania swoich usług – są to m.in. biura rachunkowe, sklepy internetowe, pośrednicy ubezpieczeniowi itd.

Jak gromadzić i zabezpieczać dane osobowe?

Zgodnie z przepisami RODO nie będą już obowiązywać konkretne środki zabezpieczające dane osobowe, które muszą być wdrożone przez podmiot przetwarzający dane. W zamian zostanie wprowadzone tak zwane podejście oparte na ryzyku. Oznacza to, że każdy podmiot przetwarzający powinien sam wskazać środki, które trzeba zastosować na podstawie m.in. zakresu i celu przetwarzania danych, ryzyka czy kosztu wdrażania.

Kolejną zmianą wprowadzoną przez RODO jest zasada minimalizacji danych osobowych. Wprowadza to pewne ograniczenie co do ich ilości – według tej zasady można przetwarzać jedynie dane osobowe, które są konieczne do osiągniecia celu.

Zgoda na przetwarzanie danych musi być:

  • dobrowolna – nie ma mowy o zastosowaniu przymusu czy wprowadzeniu w błąd
  • konkretna – oznacza to, że każda zgoda musi mieć dokładny cel przetwarzania, nie może być ogólna
  • świadoma – zgoda musi dotyczyć określonych danych i sprecyzowanego sposobu i celu przetwarzania
  • jednoznaczna – musi być przedstawiona w jasny sposób

Forma udzielenia zgody jest dowolna, jednak w przypadku wątpliwości to po stronie administratora leży obowiązek potwierdzenia i wykazania, że zgoda została udzielona.

Według RODO osoba, która udziela zgody na przetwarzanie danych osobowych, musi zostać poinformowana w prosty i przejrzysty sposób o:

  • tożsamości i danych kontaktowych administratora danych osobowych (a także danych kontaktowych Inspektora Ochrony Danych, jeśli został on powołany przez administratora)
  • celach i podstawie przetwarzania danych
  • odbiorcach danych osobowych
  • okresie przechowywania danych lub warunkach określenia tego okresu
  • prawie do dostępu, zmiany, usunięcia, ograniczenia przetwarzania oraz przenoszenia swoich danych osobowych
  • prawie do cofnięcia zgody (jeśli była podstawą do przetwarzania danych)
  • prawie do złożenia skargi do organu nadzorczego
  • informacji, czy udzielenie danych osobowych jest wymogiem ustawowym, umownym lub warunkiem zawarcia umowy oraz informacji o konsekwencjach nieudzielenia danych
  • fakcie o zautomatyzowanym podejmowaniu decyzji lub profilowaniu (jeśli do nich dochodzi)

Najczęściej obowiązek informacyjny ma formę klauzuli i powinien być przedstawiony prostym i zrozumiałym językiem.

Jak długo można przechowywać dane osobowe?

Dane osobowe mogą być przechowywane przez określony czas. Jeśli podstawą jest zgoda, dane mogą być przetwarzane do momentu odwołania zgody. Podstawą może być również wykonanie umowy. W takim przypadku dane będą przetwarzane do czasu wykonania umowy. Czas przechowywania danych mogą określać także konkretne przepisy.  

Zawsze istnieje możliwość odwołania zgody na przetwarzanie danych osobowych. Co do zasady odwołanie powinno być równie łatwe jak jej udzielenie, np. jeśli zgoda została udzielona przez stronę internetową, powinna być możliwość odwołania jej w ten sam sposób.

Co to jest profilowanie?

Szczególnym rodzajem przetwarzania danych osobowych jest profilowanie, które przebiega w sposób automatyczny, a jego celem jest ocena osoby fizycznej lub przewidywanie jej zachowania. Przykładem profilowania jest dopasowywanie reklam na stronie internetowej na podstawie aktywności użytkownika. Zgodnie z RODO osoba profilowana musi zostać obowiązkowo poinformowana o tym fakcie. 

Warto pamiętać, że w przypadku gdy profilowanie wywołuje skutki prawne, może ono zostać zastosowane jedynie pod warunkiem:

  • udzielenia zgody przez osobę profilowaną
  • gdy jest konieczne do zawarcia lub wykonania umowy z tą osobą
  • gdy jest możliwe zgodnie ze szczególnymi przepisami prawa

Takim przypadkiem może być automatyczne odrzucenie wniosku kredytowego na podstawie automatycznego przetwarzania danych.

Co to jest prawo do bycia zapomnianym?

Nowością wprowadzoną przez RODO jest prawo do bycia zapomnianym. Oznacza to, że osoba, której dotyczy przetwarzanie jej danych osobowych może zażądać:

  • usunięcia tych danych przez administratora
  • poinformowania przez administratora innych administratorów o usunięciu wszystkich łączy do tych danych albo ich kopii  

Kiedy można skorzystać z takiego prawa? Najczęściej są to przypadki, gdy:

  • dane osobowe nie są już konieczne do wcześniej wymaganych celów lub są przetwarzane w inny sposób
  • osoba wycofuje zgodę na przetwarzanie danych lub zgłasza sprzeciw wobec przetwarzania danych dla celów marketingowych
  • dane były przetwarzane niezgodnie z prawem

Warto pamiętać, że w niektórych przypadkach nie ma możliwości skorzystania z prawa do bycia zapomnianym. Takim przykładem może być sytuacja, gdy klient otrzymuje produkt zamówiony w sklepie internetowym, nie płaci za niego i zgłasza prawo do bycia zapomnianym. W takim przypadku administrator ma prawo do dalszego przetwarzania danych – dane mogą być potrzebne do uzyskania należności za niezapłacony towar np. na drodze sądowej.

Co to jest prawo do przenoszenia danych?

Prawo do przenoszenia danych to prawo, które dotyczy wyłącznie danych osobowych przetwarzanych za pomocą systemów informatycznych, co oznacza, że nie obejmuje tradycyjnych zbiorów w formie papierowej. Przykładem takich danych są rejestry połączeń telefonicznych, historia konta bankowego, np. w formacie XML, JSON, CSV.

Skorzystanie z tego prawa przez osobę, której dane dotyczą, pozwala na:

  • otrzymanie danych dostarczonych administratorowi w formacie umożliwiającym odczyt maszynowy
  • przesłanie tych danych innemu administratorowi.

Prawo do przenoszenia danych może być jedynie zastosowane w przypadku przetwarzania danych w oparciu o zgodę lub cel wykonania umowy albo w sposób zautomatyzowany.

Źródło: mpit.gov.pl

Opracowanie:
Marta
Redaktor pkt.pl
Oceń artykuł (0)
0.0
Komentarze
Dodaj komentarz