Rozporządzenie o Ochronie Danych Osobowych (RODO)

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Rozporządzenie o Ochronie Danych Osobowych (RODO) to akt prawny przyjęty 27 kwietnia 2016 przez Parlament Europejski oraz Radę (UE) w celu ochrony osób fizycznych w odniesieniu do przetwarzania danych osobowych oraz swobodnego przepływu informacji personalnych. Przepisy wchodzą w życie 25 maja 2018 roku. Dotyczą każdej jednostki, firmy, organizacji lub organu publicznego posiadających siedzibę w Unii Europejskiej i przetwarzających dane osobowe oraz każdej jednostki, firmy, organizacji lub organu publicznego spoza Unii Europejskiej, jeżeli ich działania ukierunkowane są na osoby zamieszkałe w UE.

Warto wiedzieć…

Rozporządzenie tow ramach Unii Europejskiej, akt prawny o najszerszym zasięgu, który po wprowadzeniu w życie staje się obowiązujący dla wszystkich państw członkowskich równocześnie.  W odróżnieniu od dyrektywy rozporządzenie nie wymaga uchwalenia dodatkowych przepisów krajowych, jest wiążące i ma zastosowanie w sposób bezpośredni.

Słownik najważniejszych pojęć związanych z RODO

Administrator danych osobowych oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jeśli osoba lub organizacja zainicjowała proces gromadzenia danych osobowych (bezpośrednio lub pośrednio), jest ich administratorem. Przykładem działalności administratora może być: prowadzenie strony internetowej, gromadzenie danych klientów do celów marketingowych, interakcja z klientami w sposób uporządkowany, czy dostarczanie plików do pobrania w zamian za rejestrację.

Dane osobowe oznaczają informacje o zidentyfikowanej osobie fizycznej lub osobie możliwej do zidentyfikowania.

Podmiot przetwarzający dane oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe. Jest nim osoba lub organizacja dostarczająca swoim klientom usługę, lub system, w którym gromadzone są dane osobowe. Przykładem podmiotu przetwarzającego są: agencja badania rynku, agencja marketingowa, czy zewnętrzna firma obsługująca klienta w imieniu zleceniodawcy.

Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych, lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Zgoda oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, w którym osoba fizyczna, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Kary za nieprzestrzeganie RODO

Kary za nieprzestrzeganie RODO to jeden z najchętniej komentowanych aspektów nowej rzeczywistości prawnej w UE. Liczne publikacje, które zalały rynek po uchwaleniu rozporządzenia, dotyczą przede wszystkim horrendalnych sankcji finansowych w wysokości 4% rocznego światowego obrotu firmy lub 20 milionów EUR. Jest to faktycznie najwyższy wymiar administracyjnej kary pieniężnej, który przewidziano w rozporządzeniu. Czytając dokument, znajdujemy jednak długą listę okoliczności łagodzących, jakie należy uwzględnić, nim jakakolwiek kara zostanie wymierzona (por. Artykuł 83 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016).

Jeżeli nałożenie kary administracyjnej okaże się zasadne, jej wysokość ustalana jest adekwatnie do argumentów obciążających podmiot przetwarzający dane. Dobra informacja jest taka, że pod uwagę brane są również wszelkie zaistniałe czynniki łagodzące. Sankcja jest zasadna, jeżeli przepisy łamane są długotrwale, bezsprzecznie, a podmiot przetwarzający dane działa z premedytacją i na szkodę osoby, której dane dotyczą. Przewidziane przez RODO kary muszą być bez wyjątku proporcjonalne, skuteczne i odstraszające, nigdy zaś wymierzone bezpośrednio, bez wcześniejszej analizy konkretnego przypadku.

Jak bardzo RODO zrewolucjonizuje ochronę danych osobowych w Unii Europejskiej?

W wielu miejscach, zwłaszcza w Internecie można przeczytać, że RODO wprowadza prawdziwą rewolucję w ochronie danych osobowych i, że przedsiębiorcy powinni zapomnieć o wszystkim, co do tej pory obowiązywało w tym zakresie. Rozporządzenie istotnie nakłada obowiązki na administratorów danych oraz zwiększa ich odpowiedzialność za ochronę informacji. Zmiany dotyczą jednak przede wszystkim dokumentacji, wewnętrznych procedur, sposobu zabezpieczenia danych (adekwatnie do ryzyka) oraz zakresu odpowiedzialności administratora i podmiotu przetwarzającego. Ogólne zasady przetwarzania danych osobowych, takie jak zgodność z prawem, adekwatność, integralność, poufność, czy ograniczenie zakresu zbieranych danych celem przetwarzania, były znane i wykorzystywane dużo wcześniej.

Co zrozumiałe przez lata sporo zmieniło się na gruncie przetwarzania informacji. Przepisy należało więc uaktualnić. Postęp technologiczny, który obserwujemy, sprawił, że obrót danymi osobowymi to już nie tylko domena organów publicznych, banków, czy wielkich korporacji. Wiedzę na temat osób fizycznych posiadają i przetwarzają także średnie i małe przedsiębiorstwa, a nawet bardzo „młode” start-upy. Dzięki dobrodziejstwu Internetu można prowadzić biznes, zatrudniając specjalistów z różnych dziedzin i zakątków świata. Jak wówczas zapanować nad bezpieczeństwem cyrkulujących danych? RODO przynosi na to odpowiedź. Pozwala zapobiegać cyberterroryzmowi, ale przede wszystkim daje obywatelom Unii realną kontrolę nad informacją na ich temat.

Decydenci UE uchwalając przepisy RODO jednogłośnie, dali wyraz idei rozszerzenia praw obywatelskich w wirtualnym świecie. Punktem wyjścia w pracach nad rozporządzeniem był przy tym inny unijny akt prawny – Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Zadbano zatem o ciągłość ustawodawczą i płynne wprowadzenie udoskonalonych zapisów. Z tego względu była to raczej ewolucja niż rewolucja.