Informacje o RODO

Czym jest RODO?

Ogólne rozporządzenie o ochronie danych osobowych (RODO) stanowi ramy prawne opracowane z myślą o ochronie prywatności osób fizycznych w Unii Europejskiej (UE) i zapewnieniu im większej kontroli nad tym, jak ich dane osobowe są gromadzone, przetwarzane i wykorzystywane.

RODO ma zastosowanie do przetwarzania danych osobowych w dowolnym miejscu na świecie przez przedsiębiorstwa mające siedzibę w Unii. Ma również globalne zastosowanie do wszelkich przedsiębiorstw spoza Unii, które przetwarzają dane osobowe osób fizycznych w ramach oferowania towarów/usług w Unii lub monitorowania zachowań osób przebywających na terytorium Unii.

Rozporządzenie RODO zostało wdrożone do przepisów krajowych w całej UE i Wielkiej Brytanii.

Jakie są najważniejsze wymagania RODO?

RODO jest dobrym krokiem w kierunku budowania większego zaufania i przejrzystości w relacjach pomiędzy firmami i osobami fizycznymi. Wśród obszarów, których dotyczy rozporządzenie, można wymienić:

• Dane osobowe osób znajdujących się na terytorium UE: obejmują one wszelkie informacje związane z daną osobą fizyczną czy też „osobą, której dane dotyczą”, które mogą być wykorzystane do bezpośredniej lub pośredniej identyfikacji tej osoby. Obejmuje to nie tylko informacje takie jak imię i nazwisko, adres e-mail lub zdjęcie, ale także dane karty kredytowej, dane bankowe; informacje o stanie zdrowia, przynależności politycznej, religijnej lub innej, rejestry karne czy adres IP komputera. W rozporządzeniu RODO nie ma podziału na dane osobowe gromadzone w kontekście relacji między przedsiębiorstwem a konsumentem lub między dwoma przedsiębiorstwami. Istnieją jednak inne przepisy dotyczące metod wykorzystywania komunikacji elektronicznej, które są inne w przypadku bezpośredniego kontaktu z konsumentami.
• Sposób przetwarzania danych osobowych: dane osobowe mogą być gromadzone i przetwarzane tylko wtedy, gdy istnieje ku temu podstawa prawna. Jedną z podstaw, którą można wykorzystać do celów marketingu bezpośredniego, jest zgoda — nie jest to jednak jedyna podstawa prawna. Inne podstawy zgodnego z prawem przetwarzania danych osobowych zgodnie z art. 6 RODO obejmują realizację umowy, spełnienie obowiązku prawnego lub przypadek istnienia „prawnie uzasadnionego interesu” przedsiębiorstwa lub strony trzeciej, który z kolei nie narusza prawa do prywatności osoby fizycznej.
• Prawa osób fizycznych: osoby fizyczne mają prawo żądać: dostępu do swoich danych osobowych, poprawienia pojawiających się w nich błędów, usunięcia danych osobowych i/lub ich eksportu. Mogą one również wnieść sprzeciw wobec przetwarzania swoich danych osobowych lub zażądać ograniczenia czynności przetwarzania.
• Naruszenia danych: istnieje obowiązek zgłaszania niektórych rodzajów naruszeń danych odpowiedniemu organowi nadzorczemu i poszkodowanym osobom fizycznym (w przypadku Wielkiej Brytanii odpowiednim organem jest Biuro Komisarza ds. Informacji (ICO)).
• Bezpieczeństwo danych i systemu: dane osobowe muszą być chronione przy użyciu odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do zagrożeń dla prywatności związanych z każdym konkretnym elementem danych osobowych w całym cyklu jego przetwarzania.
• Przekazywanie danych osobowych do państw trzecich: dane osobowe mogą być przekazywane poza terytorium Europy tylko w określonych okolicznościach, w tym: (i) do krajów spoza Unii Europejskiej, które według ustaleń Komisji Europejskiej zapewniają odpowiedni poziom ochrony danych;
  (ii) gdy strony biorące udział w przekazaniu danych stosują standardowe klauzule ochrony danych, które zostały zatwierdzone przez Komisję Europejską; (iii) gdy obowiązują zatwierdzone kodeksy postępowania lub certyfikaty; lub (iv) gdy dana grupa korporacyjna przyjęła zatwierdzone przez Komisję Europejską „Wiążące reguły korporacyjne”.
• Przejrzystość: informacje o polityce prywatności i umowy z użytkownikami muszą być proste, przejrzyste i łatwe do zrozumienia. Podczas gromadzenia danych osobowych należy wyjaśnić między innymi, do czego dane będą wykorzystywane, w jaki sposób i jak długo będą przechowywane, w oparciu o jaką podstawę prawną są przetwarzane oraz jakie prawa przysługują osobie fizycznej. Po zebraniu zgodnie z prawem dane osobowe muszą być wykorzystywane wyłącznie do celów, dla których zostały zebrane, i wyłącznie zgodnie z informacjami przekazanymi danej osobie.

Co RODO oznacza dla przedsiębiorstw?

Celem rozporządzenia RODO jest zapewnienie jasności, uczciwości, przejrzystości i etyczności w odniesieniu do danych osobowych. Obowiązuje ono przedsiębiorstwa, które są administratorami danych (osoba/firma, która określa sposób przetwarzania danych osobowych) lub podmiotami przetwarzającymi dane (osoba/firma, która przetwarza dane osobowe na polecenie administratora danych). Jeśli Państwa firma jest taką organizacją, konieczne jest upewnienie się, że chronione są dane, z których Państwo korzystają, oraz prywatność osób, od których je Państwo zebrali, tak jak w przypadku wszelkich innych aktywów.

Oto pięć prostych kroków, które można podjąć, dążąc do osiągnięcia zgodności z RODO:

1. Zabezpieczenie systemów: należy zapewnić bezpieczeństwo systemów, które służą do gromadzenia, przetwarzania i przechowywania danych osobowych. Zaleca się wziąć pod uwagę takie kwestie jak bezpieczeństwo fizyczne (np. zamki), cyberbezpieczeństwo (np. program antywirusowy), bezpieczeństwo systemu (np. zapory sieciowe), bezpieczeństwo danych (np. szyfrowanie) oraz bezpieczeństwo urządzeń (np. uwierzytelnianie).
2. Dokumentowanie przepływów danych: aby ułatwić przeprowadzenie właściwej oceny ryzyka związanego z prywatnością, warto stworzyć mapę przepływów danych i informacji. Należy sprawdzić, które z Państwa produktów i usług gromadzą i przetwarzają dane osobowe. Należy ustalić, jakie dane osobowe są gromadzone, dlaczego są gromadzone, jak są wykorzystywane, udostępniane, przechowywane, chronione, zatrzymywane i usuwane. Należy określić, czy dane te są wrażliwymi danymi osobowymi i czy są Państwo administratorem lub podmiotem przetwarzającym te dane.
3. Posiadanie podstawy prawnej do przetwarzania: należy określić podstawę prawną przetwarzania danych osobowych i udokumentować ją. Wyróżnia się sześć podstaw prawnych, na których można się oprzeć:
   • Zgoda: gdy istnieje rzeczywisty wybór i kontrola. Zgoda musi być jednoznaczna, dobrowolna, świadoma i udzielona poprzez wyraźne działanie potwierdzające.
   • Prawnie uzasadniony interes: może mieć zastosowanie, gdy dane osobowe są wykorzystywane w sposób, którego osoba fizyczna może się racjonalnie spodziewać, wpływ jest minimalny i istnieje uzasadniony interes, który jest konieczny, aby nastąpiło przetwarzanie.
   • Umowa: wypełnienie zobowiązań umownych lub spełnienie zgłoszonej prośby o wykonanie określonej czynności, np. dostarczenie wyceny przed zawarciem umowy.
   • Obowiązek prawny: konieczność przestrzegania prawa lub obowiązku ustawowego.
   • Żywotny interes: w celu ochrony życia ludzkiego.
   • Zadanie realizowane w interesie publicznym:  w przypadku funkcji publicznych lub zadań koniecznych do wykonania w interesie publicznym.
   Biuro Komisarza ds. Informacji udostępnia interaktywne narzędzie informacyjne dotyczące podstaw prawnych, które może pomóc w określeniu najbardziej odpowiedniej podstawy prawnej przetwarzania danych osobowych.
4. Przegląd komunikatów i informacji: należy przejrzeć i zaktualizować dokument(y) z informacjami o polityce prywatności, aby upewnić się, że odzwierciedlają one prowadzone przez Państwa firmę działania związane z przetwarzaniem danych osobowych. Powinny określać, na jakiej podstawie prawnej Państwa firma opiera się przy przetwarzaniu danych osobowych i wyraźnie wymieniać strony trzecie, którym udostępniają Państwo dane osobowe. Jeśli opierają się Państwo na zgodzie, należy upewnić się, że prośby o wyrażenie zgody są jasne i nie zawierają wstępnie zaznaczonych pól wyboru. Należy przejrzeć i zaktualizować lub ustalić, czy wymagane są inne oświadczenia lub informacje dotyczące gromadzenia, wykorzystywania i przetwarzania danych osobowych.
5. Ustanowienie wewnętrznych zasad i procedur: należy ustanowić wytyczne i sformalizowane procesy, które pomogą w postępowaniu w takich przypadkach, jak skargi dotyczące prywatności, naruszenia danych czy żądanie dostępu do danych osobowych.

Zaleca się również konsultacje z doradcami prawnymi na temat działań, jakie należy podjąć, aby zapewnić zgodność firmy z przepisami RODO.

Inne zasoby dotyczące RODO

Więcej przydatnych informacji na temat RODO można uzyskać w brytyjskim Biurze Komisarza ds. Informacji (ICO) — Przewodnik po rozporządzeniu RODO.

Materiał ten został przygotowany z myślą o przekazaniu ogólnych informacji i nie ma na celu udzielenia porad prawnych. Aby w pełni zrozumieć wpływ rozporządzenia RODO na wszelkie prowadzone przez Państwa działania związane z przetwarzaniem danych, prosimy o skonsultowanie się z niezależnym specjalistą w dziedzinie prawa i/lub prywatności.