RODO

Z Encyklopedia Zarządzania
Wersja z dnia 20:34, 21 maj 2020 autorstwa 127.0.0.1 (dyskusja) (LinkTitles.)
RODO
Polecane artykuły


RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, General Data Protection Regulation, GDPR). (Dz. Urz. UE L 119, s. 1)

Przyczyny powstania rozporządzenia uchylającego dyrektywę 95/46/WE

W Unii Europejskiej za jedno z zasadniczych praw osób fizycznych uznaje się ochronę ich danych osobowych. (M. Gawroński i in. 2018, s. 29) Jako główne czynniki, które wpłynęły na podjęcie decyzji o wprowadzeniu zmian w prawie wspólnotowym, Komisja Europejska wskazuje między innymi globalizację i postęp technologiczny. Dzięki temu rozwojowi technologicznemu informacje dotyczące osób fizycznych, ich danych osobowych, preferencji czy zachowania mogą być gromadzone i udostępniane publicznie na szeroką skalę, co staje się coraz większym zagrożeniem dla zachowania prywatności. (A. Krasuski 2018, s. 17)

Od kiedy obowiązuje?

 "Artykuł 99
 Wejście w życie i stosowanie 
1. Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej.
2. Niniejsze rozporządzenie ma zastosowanie od dnia 25 maja 2018 r.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich."
(Dz. Urz. UE L 119/87)

Formalnie rozporządzenie to weszło w życie w dniu 24.05.2016 r., ale zaczęło być ono stosowane i egzekwowane w każdym państwie członkowskim UE dopiero od 25.05.2018r. (Dz. Urz. UE L 119 art. 99)

Okres przygotowawczy trwający dwa lata to czas przeznaczony podmiotom zobowiązanym, aby przygotowały do stosowania nowo wprowadzonych regulacji swoje jednostki działalności. Obejmuje to zarówno sektor prywatny, jak i publiczny, bez względu na rozmiar oraz przedmiot działalności. Za podmioty zobowiązane do przystosowania organizacji do nowych zmian w zakresie Ochrony Danych Osobowych uznaje się ich administratorów, podmioty, które przetwarzają dane oraz ich przedstawicieli. (D. Lubasz i in. 2018, s. 17)

Co wprowadza nowe rozporządzenie?

Główne zmiany dotyczą:

  • Likwidacji rozbieżności w poziomie i jakości ochrony danych oraz zagwarantowanie jednolitości zastosowania, poprzez wprowadzenie aktu prawa europejskiego, jakim jest rozporządzenie obowiązujące w każdym państwie członkowskim UE (D. Lubasz i in. 2018, s. 8)
  • Wprowadzenia ułatwień na jednorodnym rynku cyfrowym dotyczących swobodnej wymiany danych osobowych i informacji (D. Lubasz i in. 2018, s. 8)
  • Sposobu zabezpieczania danych przez podmioty, które są za to odpowiedzialne, a co za tym idzie wyboru odpowiednich technik zabezpieczania oceniając ryzyko przetwarzania tych danych (D. Lubasz i in. 2018, s. 10)
  • Zmian praw odnoszących się do podmiotów danych m.in. takie jak: prawo do pozyskania tych danych od administratora, prawo do sprostowania, usuwania, usunięcia danych, ograniczenia przetwarzania, przenoszenia danych, prawo do sprzeciwu (Dz. Urz. UE L 119, art. 12-21)
  • Rozszerzenia zasad przetwarzania danych, które zostały zapisane w artykule 5 rozporządzenia:
  1. zgodności z prawem, rzetelności, przejrzystości
  2. ograniczania celu
  3. minimalizacji danych
  4. prawidłowości
  5. ograniczenia przechowywania
  6. integralności i poufności
  7. rozliczalności

(Dz. Urz. UE L 119, art. 5)

  • Wprowadzenia organu Prezesa Urzędu Ochrony Danych Osobowych, który jest organem właściwym w zakresie ochrony danych osobowych (A. Krasuski 2018, s. 24)

Forma wyrażania zgody na przetwarzanie danych osobowych

Aby administrator mógł przetwarzać dane osobowe, musi zostać spełniona chociaż jedna z przesłanek, które podaje prawodawca unijny w rozporządzeniu. Jest to m.in. wyrażenie zgody przez osobę, której bezpośrednio dotyczą przetwarzane dane. (D. Lubasz i in. 2018, s. 37)

Definicja zgody na podstawie artykułu 4:

 "Artykuł 4
11) "zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych" 
(Dz. Urz. UE L 119 art. 4 pkt. 11)

Za sposób wyrażenia pozwolenia na przetwarzanie danych osobowych uznaje się formę oświadczenia na piśmie lub ustnie. Osoba, do której odnoszą się dane, musi wykonać konkretne działanie wyrażające potwierdzenie woli na użycie i przetwarzanie jej danych w wiadomym celu. (D. Lubasz i in. 2018, s. 40)

Gdy mamy od czynienia ze szczególną kategorią danych jaką są tzw. dane wrażliwe, do których zaliczamy m.in. informacje o stanie zdrowia, pochodzeniu etnicznym oraz rasowym, dane genetyczne itp., to niewystarczające jest zachowanie potwierdzające wyrażenie zgody, lecz konieczne jest wyraźne i bardzo sprecyzowane określenie celu, w jakim będą przetwarzane dane tejże osoby. Jednak przepisy RODO nie precyzują w jakiej konkretnie postaci należy składać oświadczenie woli w zakresie przetwarzania danych osobowych. (D. Lubasz i in. 2018, s. 41) Informacja o możliwości wycofania zgody w każdej chwili, należy być przekazana osobie przed jej wyrażeniem. Powinna ona mieć świadomość, że przysługuje jej takie prawo. Ponadto, sposób anulowania zgody ma odpowiadać poziomowi łatwości, w jaki zgoda została ówcześnie wyrażona. (D. Lubasz 2018, s. 45)

Kary za nieprzestrzeganie przepisów w zakresie Ochrony Danych Osobowych

Zgodnie z artykułem 83 ust. 4-6 nieprzestrzeganie przepisów podlega administracyjnej karze pieniężnej w wysokości:

  • "do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego" (za niewywiązanie się z obowiązków administratora, podmiotu przetwarzającego, podmiotu certyfikującego, podmiotu monitorującego)
  • "do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego" (m.in. za naruszenie podstawowych zasad przetwarzania, praw osób, których dotyczą dane)

(Dz. Urz. UE L 119, art. 83 ust. 4-6)

Bibliografia

Autor: Katarzyna Urbańska

Uwaga.png

Treść tego artykułu została oparta na aktach prawnych.

Zwróć uwagę, że niektóre akty prawne mogły ulec zmianie od czasu publikacji tego tekstu.