Prawo

ROZPORZĄDZENIE UE O OCHRONIE DANYCH OSOBOWYCH WPROWADZA WIELKIE ZMIANY

24 maja 2016 r. weszło w życie unijne Ogólne rozporządzenie o ochronie danych osobowych (RODO). Zastąpi ono przepisy dotychczasowej polskiej ustawy o ochronie danych osobowych i będzie bezwzględnie obowiązywało od 25 maja 2018 r.
Barbara Tomżyńska

Nowe przepisy przyjęte zostały w formie rozporządzenia – to oznacza, że RODO będzie bezpośrednio stosowane przez wszystkich przedsiębiorców, niezależnie od skali działania, jak również przez fundacje, stowarzyszenia, partie polityczne czy jednostki administracji samorządowej przetwarzające dane osobowe na terytorium Unii Europejskiej. Sejm (ani inne parlamenty) nie przyjmie w tej sprawie własnej ustawy. Takie rozwiązanie przyjęto w celu ujednolicenia zasad ochrony danych osobowych w UE.

Rozporządzenie przynosi największą zmianę w podejściu do ochrony danych osobowych od dwudziestu lat. Wprowadza nowe, kosztowne z punktu widzenia przetwarzającego, obowiązki.

Organizacje przetwarzające dane osobowe pochodzące z innych firm, w trakcie świadczenia usług na ich rzecz (na przykład firmy dostarczające rozwiązania w chmurze czy firmy hostingowe), będą ponosić bezpośrednią odpowiedzialność za złamanie zapisów RODO, włączając w to ryzyko otrzymania kary finansowej. Co więcej, będą obowiązywały bardziej restrykcyjne niż dotychczas zasady w zakresie tworzenia umów o powierzeniu przetwarzania danych osobowych.

Obowiązkiem administratorów danych będzie zgłaszanie – w ciągu 72 godzin od wykrycia do właściwego organu nadzoru (GIODO – Generalny Inspektor Ochrony Danych Osobowych) – przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób. Może także wystąpić konieczność zawiadomienia tej konkretnej osoby o wystąpieniu ryzyka naruszenia jej praw lub swobód.

Obowiązkiem niektórych firm, zarówno kontrolujących, jak i przetwarzających dane, będzie wyznaczenie Inspektora Ochrony Danych Osobowych. Osoba ta musi dysponować wiedzą ekspercką w tym zakresie.

Kontrolujący i przetwarzający dane będą zobowiązani od przygotowania i utrzymywania szczegółowych rejestrów dotyczących przetwarzanych danych, uwzględniających m.in. powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, adresatów danych, rejestry międzynarodowych transferów danych, rejestry naruszeń i incydentów, rozwój i utrzymanie zasad ochrony prywatności dla każdego procesu, przechowywanie potwierdzonych zgód na przetwarzanie danych itd.

Przepisy RODO wprowadzają nowe lub uzupełnione zasady uzyskiwania ważnych i weryfikowalnych zgód na przetwarzanie danych osobowych od osób, których dane dotyczą oraz rozbudowany obowiązek informacyjny.

Przed podjęciem działań „wysokiego ryzyka”, takich jak na przykład profilowanie na dużą skalę czy wykorzystanie danych szczególnych (sensytywnych) kategorii, obowiązkowe będzie wykonanie analizy ryzyka.

Transfer danych osobowych poza Unię Europejską będzie wymagał odpowiedniego poziomu zabezpieczeń. Za brak odpowiedniej ochrony, w trakcie tzw. transgranicznego przetwarzania danych osobowych, będą groziły bardzo wysokie kary finansowe.

Wobec skali zmian, które przynosi RODO, przygotowanie się do ich stosowania będzie dużym wyzwaniem dla każdej organizacji przetwarzającej dane osobowe.

Zostało już niewiele czasu. Warto sprawdzić, czy osoby podejmujące kluczowe decyzje w organizacji, są świadome zmian, które nastąpią od 25 maja 2018 r.


Każda osoba powinna mieć kontrolę nad dotyczącymi jej danymi osobowymi, niezależnie od tego, kto i w jakim celu te dane przetwarza. Ogólne rozporządzenie o ochronie danych przyznaje więc wiele uprawnień podmiotom danych, między innymi:

– prawo do bycia poinformowanym o operacjach przetwarzania,
– prawo dostępu,
– prawo do sprostowania/uzupełnienia danych,
– prawo do usunięcia danych (prawo do bycia zapomnianym),
– prawo do ograniczenia przetwarzania,
– prawo do przenoszenia danych,
– prawo do sprzeciwu,
– prawo do tego, by nie podlegać profilowaniu.


„Nasze Czasopismo” nr 10/2017