Od 25 maja 2018 r. obowiązuje ogólne rozporządzenie o ochronie danych (RODO), które zastąpiło dotychczas obowiązującą dyrektywę 95/46/WE i krajowe ustawy o ochronie danych osobowych. Celem nowych przepisów jest zwiększenie ochrony praw osób fizycznych przy jednoczesnym poszerzeniu możliwości biznesowych, w szczególności poprzez ułatwienie przepływu danych osobowych na jednolitym rynku cyfrowym.

Kiedy przetwarzanie danych jest zgodne z prawem?

Podkreślić należy, że podobnie jak w dotychczasowym stanie prawnym, RODO zawiera dwie grupy przypadków, których wystąpienie pozwala na zgodne z prawem przetwarzanie danych osobowych. Pierwsza z nich, odnosi się do danych osobowych zwykłych – art. 6, a druga do danych osobowych szczególnych kategorii – art. 9.

Zachowana została dotychczasowa zasada ogólnego dopuszczenia przetwarzania danych zwykłych, gdy spełniona jest co najmniej jedna z przesłanek z art. 6 ust. 1 oraz zasada ogólnego zakazu przetwarzania danych wrażliwych, chyba że zachodzi którykolwiek z wyjątków, pozwalających na takie przetwarzanie z art. 9 ust. 2.

Co do zasady przetwarzać można dane osobowe zwykłe jeśli spełniona jest jeden z poniższych przypadków:

  • zgoda podmiotu danych;
  • przetwarzanie jest niezbędne do wykonania umowy;
  • przetwarzanie jest niezbędne do realizacji obowiązków prawnych administratora;
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów podmiotów danych;
  • przetwarzanie jest niezbędne do realizacji zadania w interesie publicznym;
  • przetwarzanie jest niezbędne do celów wynikających z uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

Jakie uprawnienia dla konsumenta niesie za sobą RODO?

Wśród nowych istotnych uregulowań są m.in. rozszerzone prawa osób, których dane dotyczą, a w szczególności:

  • prawo do bycia zapomnianym, tj. prawo osoby, której dane dotyczą, do żądania od administratora niezwłocznego usunięcia jej danych, w przypadkach określonych w rozporządzeniu, np. po cofnięciu przez nią zgody na dalsze przetwarzanie jej danych czy w sytuacji przetwarzania danych niezgodnie z prawem;
  • prawo do przenoszenia danych, tj. prawo żądania od administratora przekazania wszystkich danych osobowych danej osoby nowemu administratorowi, np. między jednym a drugim portalem społecznościowym czy firmą;
  • prawo do ograniczenia przetwarzania, tj. prawo do żądania od administratora zawężenia przetwarzania jedynie do przechowywania danych;
  • czy wreszcie, może najważniejsze prawa informacyjne i dostępowe istotnie rozbudowane w stosunku do dotychczasowych przepisów, co ma zapewnić większą przejrzystość i wiedzę na temat przetwarzania danych przez osoby, których dane dotyczą.

Jakie uprawnienia dla administratorów danych niesie za sobą RODO?

Z perspektywy podmiotów zobowiązanych, tj. administratorów, wprowadzono jednak również szereg ułatwień w stosunku do dotychczasowej regulacji. Polegają one m.in. na:

  • uelastycznieniu sztywnych obowiązków dokumentacyjnych czy wręcz, w pewnych okolicznościach, braku obowiązku sporządzania rejestru czynności przetwarzania lub rejestru kategorii czynności przetwarzania dla przedsiębiorców zatrudniających mniej niż 250 osób,
  • nabyciu uprawnień do przekazywania danych w ramach grup przedsiębiorstw w UE w ramach tzw. prawnie uzasadnionego interesu, a zatem bez konieczności uzyskiwania zgody,
  • dopuszczeniu sytuacji współadministrowania danymi przez więcej niż jednego administratora, którzy wspólnie ustalają cele i sposoby przetwarzania. 

Odformalizowano także sposób odbierania zgód na przetwarzanie danych osobowych, a regulację obowiązków oparto na zasadzie neutralności technologicznej i podejściu opartym na ryzyku.

Jakie obowiązki ciążą na administratorach danych osobowych?

Ponadto zasadą jest obowiązek administratorów do uwzględnienia ochrony danych już w fazie projektowania (privacy by design), a zatem takiego projektowania rozwiązań technicznych, np. aplikacji czy też organizowania działalności, np. marketingowej, by ochrona danych była zagwarantowana już na etapie tworzenia rozwiązania, choćby poprzez minimalizację liczby danych, ich pseudonimizację czy implementację odpowiednich zabezpieczeń. Nowe przepisy wprowadzają także zasadę tzw. domyślnej ochrony danych (privacy by default), co ma spowodować – poprzez ustawienia np. aplikacji lub strony internetowej – by domyślnie dane osobowe nie były udostępniane bez ingerencji użytkownika. 

Nowym obowiązkiem administratora, np. przedsiębiorcy, zastępującym rejestrację zbiorów danych, będzie konieczność zawiadamiania organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych, o incydentach związanych z naruszeniem ochrony danych osobowych, np. o utracie danych czy ich wycieku na skutek działań hakerskich. Zgłoszenia takiego będzie trzeba dokonać, o ile to możliwe, niezwłocznie, ale nie później niż w terminie 72 godz. od stwierdzenia naruszenia. W pewnych okolicznościach administrator będzie musiał także zawiadomić o naruszeniu osobę, której dane dotyczą. 

Jakie konsekwencje wynikają z nieprzestrzegania przepisów RODO?

Na przedsiębiorców, również tych działających lokalnie, a łamiących przepisy, mogą być nakładane kary finansowe do 4 proc. ich całkowitego rocznego obrotu z poprzedniego roku obrotowego. A zatem ci, którzy pomimo 2-letniego okresu przygotowawczego nie zdążyli przygotować swoich organizacji do stosowania RODO, powinni uczynić to jak najszybciej.

Autor:

Dominik Lubasz

Lubasz i Wspólnicy – Kancelaria Radców Prawnych.
Specjalizuje się w prawie nowych technologii, e-commerce, własności intelektualnej, ochronie danych osobowych oraz w prawie gospodarczym, w tym europejskim prawie gospodarczym. Autor licznych publikacji z zakresu ochrony danych osobowych oraz handlu elektronicznego, w tym komentarzy do ustaw, a także cyklicznych artykułów na portalach tematycznych www.PortalPrawaIT.com i www.PortalODO.com prowadzonych przez ekspertów Kancelarii Lubasz i Wspólnicy. Absolwent studiów prawniczych na WPiA UŁ o specjalizacji europejskie prawo gospodarcze, a także studiów podyplomowych z prawa ochrony konkurencji i konsumenta na Uniwersytecie Jagiellońskim, Studium Menedżerskiego organizowanego przez Wydział Zarządzania UŁ we współpracy z Robert H. Smith School of Business – University of Maryland oraz Szkoły Prawa Niemieckiego i Europejskiego organizowanej przez UŁ we współpracy z Uniwersytetem Wilhelma w Münster (Niemcy). Ekspert Stowarzyszenia Konsumentów Polskich ds. handlu elektronicznego. Ekspert legislacyjny Izby Gospodarki Elektronicznej w zakresie m.in. ochrony danych osobowych.

Nasi Partnerzy

logo
logo
logo
logo
logo
logo
logo
logo
logo
logo

Ta strona używa ciasteczek (cookies), dzięki którym nasz serwis może działać lepiej. Więcej informacji znajdziesz w naszej Polityce cookies

Ok, rozumiem.