RODO

Z Encyklopedia Zarządzania

RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, General Data Protection Regulation, GDPR). (Dz. Urz. UE L 119, s. 1)

TL;DR

RODO (Rozporządzenie o Ochronie Danych Osobowych) jest unijnym prawem regulującym przetwarzanie danych osobowych. Powstało w wyniku globalizacji i postępu technologicznego, które stanowią zagrożenie dla prywatności. Obowiązuje od 25 maja 2018 r. Główne zmiany wprowadzone przez RODO dotyczą jednolitej ochrony danych, swobodnej wymiany danych osobowych, sposobu zabezpieczania danych oraz praw podmiotów danych. Wprowadza też organ nadzorczy - Prezesa Urzędu Ochrony Danych Osobowych. Zgoda na przetwarzanie danych musi być dobrowolna, konkretne i świadoma. Kary za naruszenie przepisów RODO mogą wynosić do 20 mln EUR lub 4% rocznego obrotu przedsiębiorstwa.

Przyczyny powstania rozporządzenia uchylającego dyrektywę 95/46/WE

W Unii Europejskiej za jedno z zasadniczych praw osób fizycznych uznaje się ochronę ich danych osobowych. (M. Gawroński i in. 2018, s. 29) Jako główne czynniki, które wpłynęły na podjęcie decyzji o wprowadzeniu zmian w prawie wspólnotowym, Komisja Europejska wskazuje między innymi globalizację i postęp technologiczny. Dzięki temu rozwojowi technologicznemu informacje dotyczące osób fizycznych, ich danych osobowych, preferencji czy zachowania mogą być gromadzone i udostępniane publicznie na szeroką skalę, co staje się coraz większym zagrożeniem dla zachowania prywatności (A. Krasuski 2018, s. 17)

Od kiedy obowiązuje?

"Artykuł 99

Wejście w życie i stosowanie
1. Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej.
2. Niniejsze rozporządzenie ma zastosowanie od dnia 25 maja 2018 r.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich".

(Dz. Urz. UE L 119/87)

Formalnie rozporządzenie to weszło w życie w dniu 24.05.2016 r., ale zaczęło być ono stosowane i egzekwowane w każdym państwie członkowskim UE dopiero od 25.05.2018r (Dz. Urz. UE L 119 art. 99)

Okres przygotowawczy trwający dwa lata to czas przeznaczony podmiotom zobowiązanym, aby przygotowały do stosowania nowo wprowadzonych regulacji swoje jednostki działalności. Obejmuje to zarówno sektor prywatny, jak i publiczny, bez względu na rozmiar oraz przedmiot działalności. Za podmioty zobowiązane do przystosowania organizacji do nowych zmian w zakresie Ochrony Danych Osobowych uznaje się ich administratorów, podmioty, które przetwarzają dane oraz ich przedstawicieli (D. Lubasz i in. 2018, s. 17)

Co wprowadza nowe rozporządzenie?

Główne zmiany dotyczą:

  • Likwidacji rozbieżności w poziomie i jakości ochrony danych oraz zagwarantowanie jednolitości zastosowania, poprzez wprowadzenie aktu prawa europejskiego, jakim jest rozporządzenie obowiązujące w każdym państwie członkowskim UE (D. Lubasz i in. 2018, s. 8)
  • Wprowadzenia ułatwień na jednorodnym rynku cyfrowym dotyczących swobodnej wymiany danych osobowych i informacji (D. Lubasz i in. 2018, s. 8)
  • Sposobu zabezpieczania danych przez podmioty, które są za to odpowiedzialne, a co za tym idzie wyboru odpowiednich technik zabezpieczania oceniając ryzyko przetwarzania tych danych (D. Lubasz i in. 2018, s. 10)
  • Zmian praw odnoszących się do podmiotów danych m.in. takie jak: prawo do pozyskania tych danych od administratora, prawo do sprostowania, usuwania, usunięcia danych, ograniczenia przetwarzania, przenoszenia danych, prawo do sprzeciwu (Dz. Urz. UE L 119, art. 12-21)
  • Rozszerzenia zasad przetwarzania danych, które zostały zapisane w artykule 5 rozporządzenia:
  1. zgodności z prawem, rzetelności, przejrzystości
  2. ograniczania celu
  3. minimalizacji danych
  4. prawidłowości
  5. ograniczenia przechowywania
  6. integralności i poufności
  7. rozliczalności

(Dz. Urz. UE L 119, art. 5)

  • Wprowadzenia organu Prezesa Urzędu Ochrony Danych Osobowych, który jest organem właściwym w zakresie ochrony danych osobowych (A. Krasuski 2018, s. 24)

Forma wyrażania zgody na przetwarzanie danych osobowych

Aby administrator mógł przetwarzać dane osobowe, musi zostać spełniona chociaż jedna z przesłanek, które podaje prawodawca unijny w rozporządzeniu. Jest to m.in. wyrażenie zgody przez osobę, której bezpośrednio dotyczą przetwarzane dane (D. Lubasz i in. 2018, s. 37)

Definicja zgody na podstawie artykułu 4: "Artykuł 4

11) "zgoda" osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych"

(Dz. Urz. UE L 119 art. 4 pkt. 11)

Za sposób wyrażenia pozwolenia na przetwarzanie danych osobowych uznaje się formę oświadczenia na piśmie lub ustnie. Osoba, do której odnoszą się dane, musi wykonać konkretne działanie wyrażające potwierdzenie woli na użycie i przetwarzanie jej danych w wiadomym celu (D. Lubasz i in. 2018, s. 40)

Gdy mamy od czynienia ze szczególną kategorią danych jaką są tzw. dane wrażliwe, do których zaliczamy m.in. informacje o stanie zdrowia, pochodzeniu etnicznym oraz rasowym, dane genetyczne itp., to niewystarczające jest zachowanie potwierdzające wyrażenie zgody, lecz konieczne jest wyraźne i bardzo sprecyzowane określenie celu, w jakim będą przetwarzane dane tejże osoby. Jednak przepisy RODO nie precyzują w jakiej konkretnie postaci należy składać oświadczenie woli w zakresie przetwarzania danych osobowych (D. Lubasz i in. 2018, s. 41) Informacja o możliwości wycofania zgody w każdej chwili, należy być przekazana osobie przed jej wyrażeniem. Powinna ona mieć świadomość, że przysługuje jej takie prawo. Ponadto, sposób anulowania zgody ma odpowiadać poziomowi łatwości, w jaki zgoda została ówcześnie wyrażona (D. Lubasz 2018, s. 45)

Kary za nieprzestrzeganie przepisów w zakresie Ochrony Danych Osobowych

Zgodnie z artykułem 83 ust. 4-6 nieprzestrzeganie przepisów podlega administracyjnej karze pieniężnej w wysokości:

  • "do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego" (za niewywiązanie się z obowiązków administratora, podmiotu przetwarzającego, podmiotu certyfikującego, podmiotu monitorującego)
  • "do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego" (m.in. za naruszenie podstawowych zasad przetwarzania, praw osób, których dotyczą dane)

(Dz. Urz. UE L 119, art. 83 ust. 4-6)


RODOartykuły polecane
DyrektywaAdministrator danych osobowychZasada proporcjonalnościAnonimizacja danychVacatio legisKarta praw podstawowychOchrona danych osobowychKoncesjaWzór użytkowy

Bibliografia

  • Gawroński M. (red.) (2018), RODO przewodnik ze wzorami, Wolters Kluwer, Warszawa
  • Karwala D. (2016), Wpływ ogólnego rozporządzenia o ochronie danych osobowych na działalność zakładów ubezpieczeń - zagadnienia wybrane, Prawo asekuracyjne, Nr 4
  • Kaźmierczak J. (2018), Prawo do przenoszenia danych osobowych - wybrane zagadnienia na tle realizacji nowego uprawnienia przyznanego przez RODO, Internetowy Kwartalnik Antymonopolowy i Regulacyjny, Nr 4
  • Krasuski A. (2018), Ochrona danych osobowych na podstawie RODO, Wolters Kluwer, Warszawa
  • Lubasz D. (red.) (2018), RODO dla małych i średnich przedsiębiorstw, Wolters Kluwer, Warszawa
  • Lubasz D. (red.) (2018), RODO dla małych i średnich przedsiębiorstw, Wolters Kluwer, Warszawa
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), OJ L 119 nr 2016/679
  • Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, Dz.U. 2018 poz. 1000
  • Utracka M. (2017), Zmiany w zakresie regulacji karnych dotyczących naruszenia zasad ochrony danych osobowych, Rynek - Społeczeństwo - Kultura, Nr 26


Autor: Katarzyna Urbańska

Uwaga.png

Treść tego artykułu została oparta na aktach prawnych.

Zwróć uwagę, że niektóre akty prawne mogły ulec zmianie od czasu publikacji tego tekstu.