Co to jest RODO i co oznacza skrót RODO?
RODO to Rozporządzenie Ogólne o Ochronie Danych Osobowych (często niepoprawnie nazywane „ustawa RODO”) stosowane bezpośrednio w całej Unii Europejskiej. Rozporządzenie RODO znane jest również pod skrótem GDPR od angielskiej jego nazwy - General Data Protection Regulation. Rozporządzenie zawiera wymogi dla firm i organizacji i ma zastosowanie zarówno do podmiotów europejskich, jak i organizacji spoza UE, które kierują swoją ofertę do mieszkańców Unii Europejskiej.
RODO wprowadzono w celu harmonizacji wykorzystania danych osobowych osób fizycznych oraz zapewnienia swobodnego przepływu danych między państwami członkowskimi Unii Europejskiej. Jest to zbiór przepisów – reguł i nakazów, do których muszą się dostosować szczególnie przedsiębiorcy w procesie przetwarzania danych. RODO chroni więc osoby fizyczne między innymi przed dowolnym wykorzystaniem ich danych bez ich wiedzy. Oczywiście RODO to nie jedyne przepisy dotyczące samego przetwarzania przez administratorów danych osobowych, ale zbiór ogólnych zasad, dzięki którym ochrona danych osobowych i jej system był możliwie skuteczny i ujednolicony w krajach Unii Europejskiej.
Co to jest przetwarzanie danych osobowych?
Według RODO przetwarzanie danych osobowych to wszelkie operacje na danych lub ich zestawach wykonywane w sposób zautomatyzowany lub niezautomatyzowany. Może to ich być m.in.:
- zbieranie, utrwalanie, organizowanie danych,
- porządkowanie, przechowywanie, wykorzystywanie czy modyfikowanie danych,
- pobieranie, przeglądanie danych,
- przesyłanie, rozpowszechnianie danych, łączenie, ograniczanie, usuwanie, niszczenie danych.
Warto wspomnieć, że przetwarzaniem danych może być nawet przeglądanie publicznie dostępnych danych czy zbieranie danych z publicznie dostępnych źródeł takich jak rejestry spółek i przedsiębiorców czy media społecznościowe czy dane profesjonalne umieszczone na stronach internetowych firm. Tego rodzaju operacje również są przetwarzaniem danych i podlegają przepisom RODO.
Od kiedy obowiązuje RODO w Polsce?
RODO weszło w życie 24 maja 2016 roku w całej Unii Europejskiej i obowiązuje od 25 maja 2018 roku.
W Polsce ochronę danych osobowych reguluje również ustawa z dnia 10 maja 2018 roku, która weszła w życie 25 maja 2018 roku, a także przepisy szczegółowe dotyczące takich gałęzi prawa jak prawo pracy, prawo zamówień publicznych czy wiele innych. Nowe przepisy wprowadziły na terenie Polski zasady dotyczące funkcjonowania organu nadzorczego ochrony danych osobowych w Polsce, czyli Prezesa Urzędu Ochrony Danych Osobowych, a także sprecyzowały w jaki sposób mają być wykonywane niektóre obowiązki RODO (np. przez podmioty publiczne czy pracodawców).
Ochrona danych osobowych – co obejmuje RODO?
Ochrona danych osobowych wprowadzona przez przepisy RODO obejmuje przetwarzanie danych osobowych osób fizycznych przez inne osoby fizyczne, przedsiębiorstwa lub organizacje w Unii Europejskiej, w tym spółki kapitałowe, osobowe czy jednoosobowych przedsiębiorców.
Aby przetwarzać dane osobowe zgodnie z prawem, należy oprzeć takie przetwarzanie na jednej z sześciu podstaw prawnych określonych w RODO (chodzi o dane zwykłe):
- Należy uzyskać zgodę osoby, której dane dotyczą, w określonym celu lub celach, dla których będziemy przetwarzać jej dane.
- Przetwarzanie danych jest niezbędne dla wypełnienia obowiązku wynikającego z obowiązującego prawa nakładającego obowiązki na administratora danych (np. przechowywanie danych osobowych przez przedsiębiorcę dla celów podatkowych czy ZUS).
- Przetwarzanie danych osobowych jest niezbędne do wykonania umowy lub do podjęcia działań przed zawarciem umowy na żądanie osoby, które dane przetwarzamy.
- Przetwarzanie danych osobowych jest niezbędne do wykonania określonych prawem zadań np. w ramach sprawowania władzy publicznej.
- Przetwarzanie danych osobowych jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów lub odbiorców danych, a nie narusza praw i wolności osoby, której dotyczy.
Należy pamiętać, że w przypadku danych osobowych wrażliwych (o czym niżej) – mają zastosowanie surowsze warunki, a co do zasady ich przetwarzanie jest zabronione, o ile nie jest jasno dozwolone przez RODO i przepisy prawa lokalnego.
Ochrona danych osobowych RODO a dzieci
Aby legalnie gromadzić dane osobowe dziecka poniżej 16 roku życia, należy wykazać przesłanki przetwarzania takie same jak dla danych dorosłego. Jeśli jednak ma zastosowanie zgoda, należy najpierw uzyskać zgodę rodziców, np. poprzez wysyłanie powiadomienia. Wymóg uzyskania takiej zgody będzie dotyczył np. danych gromadzonych przy użyciu konta w mediach społecznościowych lub konta do pobierania materiałów z Internetu.
Co to są dane osobowe RODO?
RODO definiuje dane osobowe jako wszystkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie („osobie, której dane dotyczą”, a z języka angielskiego zwanej „podmiotem danych”). RODO w definicji „danych osobowych” wskazuje na przykłady informacji, które będą uznane za dane osobowe, natomiast należy pamiętać, że jest to jedynie przykładowy katalog. Jako dane osobowe można wskazać:
- imię, nazwisko,
- adres,
- numer dowodu tożsamości oraz inne numery identyfikacyjne,
- adres IP,
- adres e-mail,
- cechy charakterystyczne określające m. in. naszą fizyczną, ekonomiczną, kulturową tożsamość,
- informacje o preferencjach i odwiedzanych stronach www oraz czasie tam spędzonym.
RODO wyróżnia również dane osobowe, które ze względu na swój charakter będą podlegały szczególnej ochronie („szczególne kategorie danych osobowych”, powszechnie zwane „danymi wrażliwymi”). Należą do nich:
- dane dotyczące pochodzenia rasowego lub etnicznego,
- dane ujawniające poglądy polityczne, przekonania religijne lub światopoglądowe,
- dane ujawniające przynależność do związków zawodowych,
- dane genetyczne, biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej,
- dotyczące zdrowia, seksualności lub orientacji seksualnej.
Przetwarzanie danych osobowych szczególnych kategorii jest co do zasady zabronione, chyba że zostanie spełniona jedna z przesłanek zawartych w art. 9 ust. 1 RODO (np. cele zdrowotne, ubezpieczenia społecznego, zapobiegania pandemiom, prowadzenie fundacji i stowarzyszeń, obrona roszczeń), np. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych.
RODO znajdzie zastosowanie, gdy firma przetwarza dane osobowe i ma siedzibę w Unii Europejskiej lub jednym z państw Europejskiego Obszaru Gospodarczego (bez względu na to, gdzie faktycznie przetwarzane są dane). RODO znajduje również zastosowanie wtedy, gdy firma ma siedzibę poza UE/EOG, ale przetwarza dane osobowe w związku z oferowaniem usług lub towarów osobom fizycznym na rynku europejskim/unijnym lub gdy takie osoby monitoruje.
Przepisy RODO nie obejmują swoim zakresem przetwarzania danych osobowych osób zmarłych ani osób prawnych (np. przedsiębiorstw). Należy jednak pamiętać, że osoby reprezentujące osoby prawne (np. członkowie zarządu, prokurenci) są już osobami fizycznymi i korzystają z ochrony RODO.
Przepisy RODO nie będą również stosowane do przetwarzania danych osobowych przez osobę fizyczną, która nie przetwarza danych osobowych w ramach swojej działalności zawodowej lub handlowej takiej osoby, a jedynie w celach czysto osobistych lub domowych.
Zawsze RODO podlega administrator danych osobowych, czyli osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala dla jakich celów i jakimi sposobami dane osobowe będą przetwarzane. Również podmioty przetwarzające, czyli podmioty, które przetwarzają dane osobowe w imieniu i na polecenie administratora danych, będą objęte przepisami dotyczącymi ochrony danych osobowych RODO.
Kim jest inspektor danych osobowych?
Inspektor ochrony danych (IOD) czuwa nad przestrzeganiem ochrony danych osobowych przez administratorów i podmioty przetwarzające dane, jako jednostka wewnątrz takich organizacji. IOD informuje i doradza administratorowi lub podmiotowi przetwarzającemu w zakresie obowiązków wynikających z przepisów prawa o ochronie danych, a także monitoruje zgodność firmy lub instytucji ze wszystkimi przepisami prawa dotyczącymi ochrony danych. Inspektor dokonuje też różnego rodzaju audytów i przeprowadza szkolenia w zakresie przetwarzania danych dla pracowników. IOD musi posiadać odpowiednie kwalifikacje zawodowe, ze szczególnym uwzględnieniem wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz odpowiedni poziom umiejętności, który zagwarantuje należyte wykonywanie przez niego zadań nałożonych przez RODO na inspektorów ochrony danych. Powołanie IOD może być dobrowolne, natomiast RODO określa trzy przypadki, kiedy wyznaczenie inspektora ochrony danych będzie obowiązkowe:
- dane osobowe przetwarzane są przez organ lub podmiot publiczny (z wyłączeniem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości),
- gdy główna działalność danego podmiotu polega na operacjach przetwarzania, które wymagają regularnego i systematycznego monitorowania na dużą skalę,
- gdy główna działalność podmiotu (administratora czy podmiotu przetwarzającego) polega na przetwarzaniu na dużą skalę danych wrażliwych lub danych dotyczących wyroków skazujących i czynów zabronionych.
Gdzie zgłaszać naruszenie ochrony danych osobowych opisane w RODO?
Gdy dojdzie do naruszenia ochrony danych osobowych zapewnionej przez RODO, każda osoba ma prawo złożyć skargę do odpowiedniego organu ochrony danych osobowych (organu nadzorczego). Taką skargę można wnieść nie tylko do organu nadzorczego państwa, w którym przebywamy na stałe (w Polsce byłby to Prezes Urzędu Ochrony Danych Osobowych), ale również do organu kraju unijnego, w którym pracujemy lub organu państwa, w którym doszło do naruszania ochrony naszych danych osobowych. W Polsce, skargę do Prezesa UODO można złożyć elektronicznie lub pocztą tradycyjną na adres Urzędu.
Co grozi za naruszenie RODO?
Najdotkliwszą sankcją za naruszenie ochrony danych osobowych i innych przepisów RODO są administracyjne kary pieniężne, które w Polsce zapadają na mocy decyzji administracyjnych wydawanych przez Prezesa Urzędu Ochrony Danych Osobowych. Administrator danych osobowych może zostać obciążony karą nawet w wysokości 20 000 000 Euro, natomiast przedsiębiorstwo do 4 % jego całkowitego rocznego światowego obrotu.
Obok administracyjnej kary pieniężnej, polska ustawa z 10 maja 2018 r. o ochronie danych osobowych przewiduje również odpowiedzialność karną, w przypadku gdy przetwarzanie danych osobowych jest niedopuszczalne lub przetwarzane są bez uprawnienia. Wówczas kara może polegać na grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
W przypadku, gdy w wyniku naruszenia ochrony danych osobowych osoba poniosła szkodę (zarówno majątkową jak i niemajątkową), może ona domagać się odszkodowania od administratora danych osobowych, jak i podmiotu przetwarzającego na drodze cywilnej. Administrator będzie odpowiadał za wszelkie szkody wyrządzone przetwarzaniem naruszającym przepisy RODO, natomiast zwolnić się z tej odpowiedzialności może jedynie w przypadku udowodnienia, że nie ponosi winy za zdarzenie, w wyniku którego doszło do powstania szkody.
Rozporządzenie RODO a prawo do bycia zapomnianym
Prawo do bycia zapomnianym przyznane na mocy RODO każdemu, czyje dane są przetwarzane, to inaczej prawo do usunięcia danych. Polega ono na możliwości żądania przez osobę fizyczną od administratora danych, aby jej dane zostały niezwłocznie usunięta, natomiast administrator zobowiązany jest do ich usunięcia bez (zbędnej) zwłoki. Skorzystać z tego prawa można, między innymi, gdy dane nie są już potrzebne do celu ich przetwarzania, osoba wycofała zgodę na przetwarzanie jej danych osobowych, czy dane były przetwarzane niezgodnie z prawem.
Administrator może jednak odmówić usunięcia danych w przypadkach określonych przez przepisy RODO, a będzie to miało miejsce np. gdy przetwarzanie jest konieczne do poszanowania prawa wolności wypowiedzi i informacji, gdy obowiązek przetwarzania ciąży na nim z mocy prawa. Może również odmówić usunięcia danych, gdy ich przechowywanie jest konieczne do ustalenia roszczenia, a także gdy dane muszą być przechowywane ze względów związanych z interesem publicznym.
Ochrona danych osobowych i przepisy RODO – co jeszcze warto wiedzieć?
Zasady przetwarzania danych w RODO
RODO określa głównie zasady, które muszą być przestrzegane w czasie przetwarzania.
- Po pierwsze, dane osobowe muszą być przetwarzane zgodnie z prawem, z prawem, rzetelnie i w sposób przejrzysty dla osoby, a także zbierane konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (zasada celowości).
- Co więcej, dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (minimalizacja danych).
- Na administratorze ciąży również obowiązek, aby zbierane dane były prawidłowe i w razie potrzeby uaktualniane oraz przechowywane (w formie umożliwiającej identyfikację osoby) przez okres nie dłuższy, niż jest to niezbędne ze względu na cel, w których dane te są przetwarzane.
- Administrator musi również zapewnić odpowiednie bezpieczeństwo danych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
- Ostatnią zasadą przetwarzania jest tzw. zasada rozliczalności, która nakłada na administratora odpowiedzialność za przestrzeganie wyżej opisanym zasad, co administrator danych osobowych musi być w stanie wykazać. Oznacza to w praktyce, że administrator jest zobowiązany to rozważenia każdego z procesów przetwarzania danych z uwzględnieniem zasad ich przetwarzania określonych przez RODO i sporządzenia odpowiedniej, wiarygodnej dokumentacji.
Prawo do dostępu do danych i do przenoszenia danych
Każda osoba fizyczna ma prawo do bezpłatnego dostępu do swoich danych osobowych. Administrator ma obowiązek poinformować ją o przetwarzaniu danych i procesie ich przetwarzania, a także na żądanie przekazać jej kopię przetwarzanych danych osobowych (prawo dostępu do danych). Każdy może również żądać sprostowania niepoprawnych danych osobowych, ograniczenia ich przetwarzania (np. w sytuacji, gdy żąda sprostowania czy usunięcia, ale mogą mu jeszcze być potrzebne). Dane na prośbę osoby fizycznej mogą być też przekazane innej innemu administratorowi (prawo do przenoszenia danych). Kiedy dane są przetwarzane na podstawie uzasadnionego interesu administratora, w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, osoba może również wnieść sprzeciw od takiego przetwarzania. Warto wiedzieć, że w przypadku sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych – nie trzeba wykazywać swojej szczególnej sytuacji, a administrator musi zaprzestać takiego przetwarzania po otrzymaniu sprzeciwu. Warto także wspomnieć, że na gruncie polskim przetwarzanie danych w celach marketingowych jest również obwarowane wymogami uzyskania uprzedniej zgody, gdy chodzi o komunikację marketingową przez telefon, SMS czy e-mail oraz powiadomienia PUSH, ale nie są to wymogi wynikające z RODO, a z ustawy o świadczeniu usług drogą elektroniczną oraz Prawa telekomunikacyjnego.
Ponadto administrator danych zobowiązany jest do powiadomienia osoby, której dane są przetwarzane na podstawie wyrażonej przez nią zgody, że zgoda ta może być cofnięcia zgody w dowolnym momencie.
W przypadku odmowy administratora spełnienia opisanych żądań, osoba, której dane dotyczą, posiada prawo do wniesienia skargi do organu nadzorczego.