RODO (GDPR)

RODO to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Jako rozporządzenie UE obowiązuje bezpośrednio — od 25 maja 2018 r. — we wszystkich państwach członkowskich. Reguluje przetwarzanie danych osobowych, czyli wszelkich informacji o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. W Polsce uzupełnia je ustawa o ochronie danych osobowych z 10 maja 2018 r.

Przetwarzanie danych osobowych musi być zgodne z sześcioma zasadami wymienionymi w art. 5 RODO:

• Zgodność z prawem, rzetelność i przejrzystość — dane przetwarzane na ważnej podstawie prawnej, w sposób uczciwy i jawny,
• Ograniczenie celu — dane zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach,
• Minimalizacja danych — zakres danych adekwatny i ograniczony do celu,
• Prawidłowość — dane prawidłowe i w razie potrzeby aktualizowane,
• Ograniczenie przechowywania — przechowywanie tak długo, jak jest to niezbędne dla celu,
• Integralność i poufność — zabezpieczenie danych odpowiednimi środkami technicznymi i organizacyjnymi.

Nad całością czuwa zasada rozliczalności — administrator musi być w stanie wykazać, że przestrzega RODO.

Każde przetwarzanie danych osobowych musi mieć podstawę prawną z art. 6 RODO:

• Zgoda osoby, której dane dotyczą,
• Wykonanie umowy, której stroną jest ta osoba,
• Obowiązek prawny ciążący na administratorze,
• Żywotne interesy osoby, której dane dotyczą, lub innej osoby fizycznej,
• Zadanie w interesie publicznym lub w ramach sprawowania władzy publicznej,
• Prawnie uzasadnione interesy administratora lub osoby trzeciej (z testem równowagi).

Dla danych szczególnych kategorii (m.in. zdrowotnych, biometrycznych, o pochodzeniu rasowym, poglądach politycznych) potrzebna jest dodatkowa podstawa z art. 9 RODO — np. wyraźna zgoda.

RODO przyznaje osobom fizycznym katalog praw, które można egzekwować wobec administratora:

• Prawo dostępu do swoich danych i informacji o przetwarzaniu,
• Prawo do sprostowania danych nieprawidłowych lub niekompletnych,
• Prawo do usunięcia danych („prawo do bycia zapomnianym") w określonych przypadkach,
• Prawo do ograniczenia przetwarzania,
• Prawo do przenoszenia danych dostarczonych administratorowi,
• Prawo sprzeciwu wobec przetwarzania, m.in. opartego na prawnie uzasadnionych interesach lub do celów marketingu bezpośredniego,
• Prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, jeśli wywiera istotne skutki.

Osoba ma także prawo wniesienia skargi do Prezesa UODO.

W Polsce organem nadzorczym właściwym w sprawach RODO jest Prezes Urzędu Ochrony Danych Osobowych (UODO). Prowadzi postępowania, wydaje decyzje (m.in. nakaz zaprzestania przetwarzania, kary administracyjne) i publikuje wytyczne. Na poziomie unijnym z Prezesem UODO współpracuje Europejska Rada Ochrony Danych (EROD).

Naruszenia RODO są zagrożone administracyjnymi karami pieniężnymi. Maksymalne stawki to do 10 mln EUR lub 2% rocznego obrotu globalnego (wyższa z kwot) za część naruszeń oraz do 20 mln EUR lub 4% rocznego obrotu globalnego za naruszenia poważniejsze (m.in. zasad przetwarzania, podstaw prawnych, praw osób). Naruszenie ochrony danych osobowych co do zasady administrator zgłasza Prezesowi UODO w ciągu 72 godzin.

Pojęcia, które łączą się z RODO:

• Baner cookies — zgoda na cookies śledzące to często osobna podstawa z RODO i przepisów o łączności elektronicznej,
• DSA — obowiązki platform pokrywają się częściowo z RODO,
• Dyrektywa Omnibus — przy personalizacji ceny i opiniach pojawia się też wymiar danych osobowych,
• EUR-Lex — tam znajdziesz tekst rozporządzenia 2016/679,
• ISAP — tam znajdziesz tekst ustawy o ochronie danych osobowych,
• E-commerce — branża, dla której RODO to codzienność.