Wróblewska-Stawowy

Kancelaria Prawna

Czas na RODO. Wstęp – czyli co to jest, kogo dotyczy i jakie standardy wprowadza

Avatar
ochrona danych osobowych kraków

RODO – Ogólne Rozporządzenie o Ochronie Danych (ang. GDPR- General Data Protection Regulation)

– czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (Dz. Urz. UE. L Nr 119) reguluje przetwarzanie przez osoby fizyczne, przedsiębiorstwa lub organizacje danych osobowych.
RODO zacznie obowiązywać od 25 maja 2018 r. i będzie wiążące i bezpośrednio stosowane we wszystkich państwach członkowskich UE.
RODO wprowadza nowe standardy i wskazywane jest jako przykład aktu inteligentnego, który został zaprojektowany w taki sposób, aby chronić podstawowe prawa i wolności osób fizycznych,
w szczególności ich prawo do ochrony danych osobowych. Uwzględnia różnorodne regulacje poszczególnych państw członkowskich UE, a także wielowymiarowość płaszczyzn, na których dochodzi do przetwarzania danych osobowych. Ma za zadanie objąć ochroną w szczególności dane osobowe przetwarzane, zarówno w sposób zautomatyzowany (całkowicie lub częściowo) lub w inny sposób niż zautomatyzowany, za pośrednictwem wszelkiego rodzaju systemów i gromadzonych w ramach zbiorów, prowadzonych zarówno w wersji papierowej jak i elektronicznej. RODO dotknie więc zarówno serwisy poczty elektronicznej (Gmail, Outlook), portale społecznościowe (Facebook, Instagram, Twitter), jak i przedsiębiorców, którzy przetwarzają dane swoich klientów i pracowników.
rodo kraków
 
 

CZYJE DANE CHRONI RODO I NA KOGO NAKŁADA OBOWIĄZKI W TYM ZAKRESIE

Jak wynika już z pkt 14 Preambuły do RODO, rozporządzenie ma mieć zastosowanie do osób fizycznych – co ważne niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych. Zakres ochrony wprowadzonej przez RODO nie obejmuje przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw, będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. Wyłączone spod ochrony RODO są też dane osobowe osób zmarłych.
RODO wprowadza również pojęcie danych osobowych stanowiąc w art. 4 pkt 1), że danymi osobowymi są informacje, na podstawie których można bezpośrednio lub pośrednio zidentyfikować osobę fizyczną. Są to między innymi: imię i nazwisko, numer identyfikacyjny (np. PESEL), ale nie tylko. Do danych osobowych zalicza się również dane o lokalizacji czy „jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, kulturową lub społeczną tożsamość osoby fizycznej”. RODO obejmuje również dane dotyczące stanu zdrowia osoby fizycznej, a także tzw. dane genetyczne czy biometryczne.
Ponadto, RODO określa pojęcia „administratora” (tj. osoby fizycznej lub prawnej, organu publicznego, jednostki lub innego podmiotu, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania) oraz „podmiot przetwarzający” (tj. osoby fizycznej lub prawnej, organu publicznego, jednostki lub innego podmiotu, który przetwarza dane osobowe w imieniu administratora).

Obowiązek stosowania RODO od 25 maja 2018 r. dotyczy przetwarzania danych osobowych,
w związku z działalnością prowadzoną przez:

• jednostkę organizacyjną administratora lub podmiotu przetwarzającego, w przypadku, gdy jednostka organizacyjna (przedsiębiorstwo lub inny podmiot) ma siedzibę w Unii Europejskiej lub siedziba jej oddziału znajduje się na terenie UE, niezależnie od miejsca przetwarzania danych;
• jednostkę organizacyjną administratora lub podmiotu przetwarzającego, w przypadku, gdy jednostka organizacyjna (przedsiębiorstwo lub inny podmiot) ma siedzibę poza terytorium UE, lecz oferuje wiążące się z przetwarzaniem, towary lub usługi osobom, których dane dotyczą w Unii (odpłatnie bądź nieodpłatnie) lub zajmuje się monitorowaniem zachowania osób fizycznych w Unii;
• jednostkę organizacyjną administratora lub podmiotu przetwarzającego, w przypadku, gdy jednostka organizacyjna (przedsiębiorstwo lub inny podmiot) ma siedzibę poza terytorium UE, lecz w miejscu tym na mocy prawa międzynarodowego, ma zastosowanie prawo państwa członkowskiego.
Warto zwrócić uwagę, że RODO przewiduje też pewne wyjątki, wyłączając z zakresu swojego zastosowania przetwarzanie danych w ramach działalności nieobjętej zakresem prawa Unii Europejskiej (tj. przykładowo działalności dotyczącej bezpieczeństwa narodowego), a także w ramach działań wykonywanych przez państwa członkowskie, wchodzących w zakres tytułu V rozdział 2 Traktatu o Unii Europejskiej – czyli wspólnej polityki zagranicznej i bezpieczeństwa. Rozporządzenie nie będzie miało zastosowania również do przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
Ponadto, wyłączone spod standardów RODO będzie przetwarzanie danych osobowych, w ramach czynności dokonywanych przez osoby fizyczne o charakterze czysto osobistym lub domowym.
Przykład: Osoba fizyczna korzysta z własnej bazy kontaktów, aby mailowo zaprosić przyjaciół na organizowane przez siebie przyjęcie (wyjątek dotyczący działalności domowej).
ochrona danych osobowych kraków

NOWE STANDARDY OCHRONY DANYCH OSOBOWYCH

Poza ujednoliceniem regulacji dotyczącej ochrony danych osobowych państw członkowskich, RODO wprowadza nowe i rozszerza dotychczas obowiązujące standardy w zakresie ochrony danych osobowych. Na uwagę, w tym zakresie zasługuje kilka najważniejszych standardów, do których odnosimy się poniżej.

ZASADA PRZEJRZYSTOŚCI

w świetle RODO administrator będzie musiał podjąć szereg środków
i obowiązków, aby w sposób przejrzysty – tj. w zwięzłej, zrozumiałej i łatwo dostępnej formie – poinformować osobę fizyczną, już podczas pozyskiwania jej danych między innymi: o swojej tożsamości adresie lub o tożsamości i danych kontaktowych swojego przedstawiciela, celu przetwarzania danych osobowych, o okresie, przez który dane osobowe będą przechowywane,
o prawie do żądania od administratora usunięcia lub ograniczenia przetwarzania czy o prawie wniesienia sprzeciwu.

PRAWO DO BYCIA ZAPOMNIANYM

innymi słowy każda osoba fizyczna, w określonych sytuacjach, będzie miała prawo zażądać od administratora niezwłocznego usunięcia, dotyczących jej danych osobowych, a administrator będzie w takim wypadku obowiązany do usunięcia takich danych osobowych bez zbędnej zwłoki. Obowiązek administratora dotyczyć będzie również kopii, skanów dokumentacji papierowej czy kopii e-maili, a jeżeli administrator upublicznił dane osobowe (np. trafiły one do Internetu) administrator będzie musiał upewnić się, że zostały one kompleksowo usunięte (włączając w to wszelkie łącza do danych, ich kopie czy replikacje).

PRAWO SPRZECIWU

RODO przyznaje prawo wniesienia sprzeciwu każdej osobie fizycznej,
w dowolnym momencie, z przyczyn związanych z jej szczególną sytuacją, jeśli dotyczące jej dane osobowe są przetwarzane na jednej z następujących podstaw:
• przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
• przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.
Ponadto, prawo wniesienia sprzeciwu, w dowolnym momencie, przysługuje osobie, której dane przetwarzane są na potrzeby marketingu bezpośredniego.

ANALIZA RYZYKA ORAZ ZGŁASZANIE I REJESTR NARUSZEŃ

istotny nacisk RODO kładzie na standardy bezpieczeństwa przetwarzania danych osobowych, np. poprzez wymóg pseudonomizacji i szyfrowania danych osobowych. Na gruncie nowych przepisów administratorzy danych będą obowiązani do przeprowadzenia konstruktywnej analizy, danego rodzaju przetwarzania i oceny skutków planowanych operacji, które z dużym prawdopodobieństwem, ze względu na swój charakter, zakres i kontekst mogą powodować wysokie prawdopodobieństwo naruszenia praw lub wolności osób fizycznych. Ponadto, w przypadku naruszenia ochrony danych osobowych (np. zgubienia firmowego pendrive’a, zawierającego dane osobowe) administrator obowiązany będzie zgłosić takie zdarzenie, stanowiące naruszenie ochrony danych osobowych, właściwemu organowi nadzorczemu, bez zbędnej zwłoki (tj. nie później niż w ciągu 72 godzin). W przypadku zaś gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadomi osobę, której dane te dotyczą. Dodatkowo, na administratorze spoczywać będzie obowiązek dokumentowania wszelkich naruszeń poprzez prowadzenie rejestru naruszeń.

CZAS NA RODO. ROZWINIĘCIE.

Niniejszy wpis stanowi wprowadzenie do cyklu „CZAS NA RODO” i porusza jedynie wybrane zagadnienia, regulowane przez Rozporządzenie. Cykl będzie w najbliższych tygodniach kontynuowany na stronie www.wskp.pl – zapraszamy do bieżącego śledzenia strony.
Ponadto, jeśli potrzebują Państwo porady prawnej lub pomocy we wdrożeniu RODO zapraszamy również do kontaktu z Kancelarią WSKP z siedzibą w Krakowie pod adresem mailowym [email protected], nr telefonu: +48 577 533 499 lub osobiście w naszym biurze: ul. prof. M.Życzkowskiego 14/53, 31-864 Kraków.