06.04.2018 r.
4 min

RODO – podstawowe założenia

Ekspert PCKP

Skopiuj link
06.04.2018r.
4 min

RODO stosowane będzie bezpośrednio w polskim porządku prawnym. Polski ustawodawca musi dostosować do jego treści obowiązujące przepisy tak, aby nie stały ze sobą w sprzeczności. Przygotowana jest nowelizacja ustawy o ochronie danych osobowych, a wraz z nią setki zmian w innych ustawach, które swoim zakresem w jakikolwiek sposób dotykają problematyki danych osobowych i ich ochrony.

Regulacją Rozporządzenia objęty będzie niezwykle szeroki krąg podmiotów. Wyłączeniu podlegać będzie jedynie:

  • przetwarzanie danych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;
  • przetwarzanie danych w dziedzinie bezpieczeństwa narodowego;
  • przetwarzanie danych w celu zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar.

Dane osobowe w rozumieniu art. 4 pkt 1 RODO

Zgodnie z art. 4 pkt 1 Rozporządzenia dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Podstawowe zmiany wprowadzane przez RODO:

  1. odejście od sztywnych wskazań procedur i zabezpieczeń, jakie należy wdrożyć, na rzecz pozostawienia dużej swobody podmiotom w wyborze środków służących ochronie danych osobowych, dostosowanych do specyfiki prowadzonych działań; po przeprowadzeniu analizy ryzyka występującego u danego podmiotu w związku z przetwarzaniem danych osobowych, musi on wdrożyć najwłaściwsze i najskuteczniejsze jego zdaniem zabezpieczenia techniczne i organizacyjne, które pozwolą na bezpieczne przetwarzanie danych osobowych;
  2. prowadzenie rejestru czynności w zakresie przetwarzania danych osobowych przez każdy podmiot, który je przetwarza;
  3. prowadzenie rejestru incydentów i naruszeń oraz informowanie organu nadzorczego oraz Prezesa Urzędu Ochrony Danych Osobowych (zajmującego miejsce GIODO) o naruszeniach;
  4. brak konieczności rejestrowania zbiorów u GIODO;
  5. wskazanie podstaw przetwarzania danych osobowych;
  6. nowe wymogi dotyczące treści klauzul w zakresie wyrażania zgody na przetwarzanie danych osobowych;
  7. rozszerzone obowiązki informacyjne;
  8. nowa funkcja Inspektora Ochrony Danych (często obligatoryjna) zastępująca dotychczasowego Administratora Bezpieczeństwa Informacji;
  9. ochrona danych już na etapie tworzenia oferowanej usługi i planowania przetwarzania danych – privacy by design;
  10. szeroka ochrona prywatności jako założenie podstawowe i możliwość zmiany na wyraźne żądanie osoby zainteresowanej (działanie aktywne)
    – privacy by default – gromadzenie wyłącznie danych niezbędnych, swoboda zainteresowanego w decydowaniu o zakresie udostępnianych danych;
  11. prawo do bycia zapomnianym, profilowanie danych osobowych
    i skorelowane z tym prawo do niepodlegania profilowaniu, prawo sprzeciwu, prawo do przenoszenia danych.

Na zakończenie warto zwrócić uwagę, że nowe regulacje przewidują bardzo surowe kary (nawet do 20 mln euro) dla podmiotów, które nie będą w sposób należyty wypełniać swoich obowiązków. Oczywiście kary te będą mogły zostać nałożone po dogłębnej analizie konkretnego przypadku z uwzględnieniem zasady proporcjonalności.