Gwałtowny i błyskawiczny rozwój nowoczesnych technologii, a przede wszystkim marketingu i handlu internetowego, sprawił, że znacznie wzrosła skala zbierania i przetwarzania danych osobowych, wykorzystywanych przez przedsiębiorców w codziennych czynnościach. W ostatnich latach znacznie jednak wzrosła wiedza i świadomość poszczególnych grup społecznych w zakresie ochrony podstawowych i najważniejszych praw obywatelskich, w tym również w zakresie ochrony danych osobowych.
Co to jest RODO?
Od 25 maja 2018 roku w Polsce oraz innych państwach Unii Europejskiej obowiązuje Ogólne Rozporządzenie o Ochronie Danych Osobowych (skrót RODO), które zostało przyjęte przez Parlament Europejski i Radę Unii Europejskiej w kwietniu 2016 roku. Nowe regulacje prawne, kończące definitywnie dwuletni okres wdrożeniowy mający na celu przygotowanie do zbliżających się zmian, dotyczą przede wszystkim ochrony osób fizycznych w zakresie przetwarzania i przepływu danych osobowych pomiędzy różnymi podmiotami i instytucjami. Główną przyczyna ustanowienia i przyjęcia RODO jest ujednolicenie zasad w zakresie ochrony danych osobowych we wszystkich krajach członkowskich Unii Europejskiej oraz dostosowanie przestarzałych przepisów do aktualnych potrzeb bezustannie rozwijającej się cyfryzacji.
Definicja danych osobowych
Dane osobowe, według rozporządzenia RODO, oznaczają wszelkie informacje dotyczące osoby fizycznej, które pozwalają na określenie jej tożsamości na podstawie numeru identyfikacyjnego czy unikalne czynniki określające cechy fizyczne, fizjologiczne, umysłowe, kulturowe, ekonomiczne bądź społeczne. Danymi osobowymi mogą być również pojedyncze informacje, takie jak NIP lub PESEL, pozwalające odnieść się do konkretnej osoby. Dodatkowo RODO precyzuje pojęcie tzw. “danych wrażliwych”, dotyczących zdrowia, poglądów politycznych, a nawet orientacji seksualnej, które należy chronić w szczególny sposób. Przetwarzanie danych osobowych natomiast, zgodnie z nowymi regulacjami prawnymi, oznacza każdą czynność związaną z ich użyciem (tj. zapisywanie, kopiowanie i przechowywanie w formie cyfrowej).
Prawa osób fizycznych
Rozporządzenie RODO przede wszystkim znacznie rozszerza dotychczasowe prawa osób fizycznych w zakresie ochrony ich danych osobowych, wprowadzając przepisy, które ułatwiają obywatelom kontrolę przepływu i wykorzystania danych. Do najważniejszych regulacji prawnych należą między innymi:
- prawo do “bycia zapomnianym” (czyli prawo do całkowitego usunięcia danych);
- prawo do żądania przeniesienia danych (przekazania bezpośrednio innemu, wskazanemu przez osobę fizyczną administratorowi);
- prawo dostępu i wglądu obywatela w jego dane;
- prawo do sprostowania danych;
- prawo do natychmiastowego otrzymania informacji w przypadku ataku hakerskiego na dane firmy;
- pseudominimizacja;
- szyfrowanie.
Obowiązki administratorów
RODO ustawa, skoncentrowana przede wszystkim na celach, jakie mają zostać osiągnięte, pozostawia przedsiębiorcom i administratorom danych osobowych dosyć dużą swobodę w wyborze i dostosowaniu odpowiednich środków zabezpieczających. Do najważniejszych natomiast obowiązków administratorów danych osobowych należą:
- prowadzenie rejestru czynności przetwarzania danych osobowych;
- uzyskanie zgody na wykorzystanie danych;
- zapewnienie bezpieczeństwa przetwarzania danych osobowych;
- dokonanie oceny skutków planowanych operacji przetwarzania danych przed rozpoczęciem ich przetwarzania;
- udokumentowanie udzielenia zgody
- zgłaszanie naruszenia ochrony danych osobowych do właściwego organu nadzorczego oraz zawiadamiania o tym osoby, której dane te dotyczą;
- wyznaczenie Inspektora Ochrony Danych;
- minimalizacja danych.
Prezes Urzędu Ochrony Danych Osobowych
Na mocy RODO został ustanowiony nowy organ właściwy w sprawie ochrony danych osobowych, a mianowicie Prezes Urzędu Ochrony Danych Osobowych (zastąpił Generalnego Inspektora Ochrony Danych Osobowych), który jest powoływany przez Sejm, za zgodą Senatu, na wniosek premiera na okres czterech lat (maksymalnie jednak na dwie kadencje). Na mocy RODO Prezes Urzędu Ochrony Danych Osobowych posiada znacznie szerszy zakres kompetencji. Może między innymi:
- występować z wnioskami o podjęcie inicjatywy ustawodawczej lub zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych;
- nakładać kary finansowe bezpośrednio po stwierdzeniu naruszenia określonych przepisów;
- wydawać certyfikaty.
Sankcje prawne
RODO przewiduje rodzaje, dosyć wysokich kar dla Administratorów Danych:
- do 10 mln (w przypadku przedsiębiorcy do 2% całkowitego rocznego obrotu firmy z poprzedniego roku obrotowego);
- do 20 mln euro (w przypadku przedsiębiorcy do 4 % rocznego obrotu z poprzedniego roku obrotowego) za rażące naruszenia takie jak: złamanie przez administratora danych podstawowych zasad przetwarzania danych osobowych (np. niedopilnowanie warunków pozyskania zgody, łamanie praw osób, których dane dotyczą, nieprawidłowe przekazywanie danych osobowych odbiorcom w państwach trzecich lub organizacjach międzynarodowych).
Kara, zastosowana przez uprawniony organ nadzorczy, uwzględniający okoliczności każdego indywidualnego przypadku, musi być skuteczna, proporcjonalna oraz odstraszająca.
