Ostatnio sprawdzono : 14/09/2018

Ochrona danych zgodnie z RODO

Decyzja Wielkiej Brytanii o zastosowaniu art. 50 TUE: Więcej informacji

Od 30 marca 2019 r. wszystkie unijne akty prawne przestaną mieć zastosowanie do Wielkiej Brytanii, chyba że w ratyfikowanej umowie o wystąpieniu z UE przewidziana zostanie inna data lub Rada Europejska i Wielka Brytania podejmą jednomyślnie decyzję o przedłużeniu dwuletniego okresu negocjacji. Więcej informacji na temat skutków prawnych dla przedsiębiorstw:

Rozporządzenie zawiera szczegółowe wymogi dla przedsiębiorstw i organizacji dotyczące gromadzenia i przechowywania danych osobowych i zarządzania nimi. Ma ono zastosowanie zarówno do europejskich organizacji przetwarzających dane osobowe osób fizycznych w UE, jak i do organizacji spoza UE kierujących swoją ofertę do mieszkańców Unii.

Kiedy stosuje się ogólne rozporządzenie o ochronie danych (RODO)?

RODO stosuje się, gdy:

Przedsiębiorstwa spoza Unii przetwarzające dane obywateli UE muszą wyznaczyć swojego przedstawiciela w Unii.

Kiedy nie stosuje się ogólnego rozporządzenia o ochronie danych (RODO)?

RODO nie stosuje się, gdy:

Co to są dane osobowe?

Dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie, zwanej także podmiotem danych. Dane osobowe obejmują następujące informacje:

Szczególne kategorie danych

Zabronione jest przetwarzanie danych osobowych dotyczących:

Kto przetwarza dane osobowe?

Podczas przetwarzania dane trafiają niekiedy do wielu różnych przedsiębiorstw lub organizacji. W cyklu tym występują dwa główne podmioty zajmujące się przetwarzaniem danych osobowych:

Kto monitoruje sposób przetwarzania danych osobowych wewnątrz przedsiębiorstwa?

Inspektor ochrony danych, którego przedsiębiorstwo może wyznaczyć, jest odpowiedzialny za monitorowanie sposobu przetwarzania danych osobowych oraz informowanie pracowników przetwarzających dane osobowe o ich obowiązkach i doradzanie im w tym zakresie. Inspektor ochrony danych współpracuje także z organem ochrony danych, służąc jako punkt kontaktowy dla tego organu i osób fizycznych.

Kiedy należy wyznaczyć inspektora ochrony danych?

Twoja firma musi wyznaczyć inspektora ochrony danych, jeśli:

Masz na przykład obowiązek wyznaczyć inspektora ochrony danych, jeśli przetwarzasz dane osobowe w celu kierowania reklam do konkretnych konsumentów za pośrednictwem wyszukiwarek internetowych w oparciu o zachowania konsumentów w sieci. Jeśli jednak jedynie wysyłasz swoim klientom raz w roku materiały promocyjne, inspektor ochrony danych nie jest Ci potrzebny. Podobnie jeśli jako lekarz gromadzisz dane na temat stanu zdrowia pacjentów, prawdopodobnie nie potrzebujesz inspektora ochrony danych. Jeśli jednak przetwarzasz dane genetyczne lub dotyczące stanu zdrowia dla szpitala, wyznaczenie inspektora będzie niezbędne.

Inspektorem ochrony danych może być pracownik Twojej organizacji lub osoba z zewnątrz zatrudniona na podstawie umowy o świadczenie usług. Inspektorem może być osoba fizyczna lub część organizacji.

Przetwarzanie danych dla innego przedsiębiorstwa

Administrator danych może korzystać wyłącznie z usług podmiotu przetwarzającego oferującego wystarczające gwarancje. Powinny one być uwzględnione w pisemnej umowie pomiędzy stronami. W umowie musi się także znaleźć szereg obowiązkowych zapisów, takich jak ten, że przetwarzający będzie przetwarzał dane osobowe tylko na polecenie administratora danych.

Przekazywanie danych poza Unię

Po włączeniu RODO do Porozumienia EOG rozporządzenie będzie mieć zastosowanie do Europejskiego Obszaru Gospodarczego (EOG), który obejmuje wszystkie kraje UE, a także Islandię, Liechtenstein i Norwegię. Za każdym razem, gdy dane osobowe są przekazywane poza EOG, muszą być chronione na podstawie RODO. Oznacza to, że jeśli eksportujesz dane za granicę, Twoja firma musi spełnić jeden z poniższych warunków (lub upewnić się, że jest on spełniony):

Kiedy dozwolone jest przetwarzanie danych?

Unijne przepisy dotyczące ochrony danych wymagają, aby dane były przetwarzane uczciwie i zgodnie z prawem, w konkretnym, prawnie uzasadnionym celu – i tylko takie dane, które są potrzebne do tego celu. Aby móc przetwarzać dane osobowe, musisz spełnić jeden z następujących warunków; jeżeli:

Zgoda na przetwarzanie danych

W RODO przewidziano ścisłe zasady przetwarzania danych na podstawie zgody. Ich celem jest zapewnienie, by osoba fizyczna rozumiała, na co wyraża zgodę. Oznacza to, że zgoda powinna być dobrowolna, konkretna, świadoma i jednoznaczna, a zapytanie o zgodę musi być wyrażone jasnym i prostym językiem. Zgoda powinna być wyrażona w formie działania potwierdzającego, np. przez zaznaczenie pola wyboru na stronie internetowej lub podpisanie formularza.

Jeśli otrzymasz zgodę na przetwarzanie danych osobowych, możesz przetwarzać je tylko w celach, na które wyrażono zgodę. Musisz także umożliwić wycofanie zgody.

Udzielanie przejrzystych informacji

Musisz poinformować w sposób zrozumiały osoby fizyczne o tym, kto i dlaczego przetwarza dane osobowe na ich temat. Musisz przekazać co najmniej następujące informacje:

W niektórych przypadkach musisz także:

Informacje te powinny być przedstawione jasnym i prostym językiem.

Szczególne zasady dotyczące dzieci

Jeśli gromadzisz dane osobowe dziecka na podstawie zgody, na przykład przy użyciu konta w mediach społecznościowych lub konta do pobierania materiałów z internetu, musisz najpierw uzyskać zgodę rodziców, np. przesyłając powiadomienie rodzicowi lub opiekunowi. Wiek osoby uznawanej za dziecko zależy od jej miejsca zamieszkania; jest to od 13 do 16 lat.

Prawo dostępu do danych i do przenoszenia danych

Musisz zapewnić osobom fizycznym prawo bezpłatnego dostępu do ich danych osobowych. Jeśli wystąpią z takim żądaniem, masz obowiązek:

W przypadku przetwarzania danych na podstawie zgody lub umowy osoba fizyczna może także poprosić o zwrócenie jej danych osobowych lub przekazanie ich innemu przedsiębiorstwu. Jest to tzw. prawo do przenoszenia danych. Powinieneś przekazać dane w powszechnie używanym formacie nadającym się do odczytu maszynowego.

Prawo do poprawienia danych i prawo do sprzeciwu

Osoba fizyczna, która uważa, że jej dane osobowe są nieprawidłowe, niekompletne lub niedokładne, ma prawo do ich niezwłocznego sprostowania lub uzupełnienia.

Jeśli zmieniłeś lub usunąłeś dane osobowe, które uprzednio udostępniłeś innym, powinieneś poinformować o tym wszystkich odbiorców takich danych. W przypadku udostępnienia nieprawidłowych danych osobowych masz także obowiązek poinformować o tym każdego, kto widział takie dane, chyba że wymagałoby to nieproporcjonalnego wysiłku.

Osoba fizyczna może także w każdej chwili sprzeciwić się przetwarzaniu swoich danych osobowych w konkretnym celu, gdy podstawą prawną przetwarzania danych jest uzasadniony interes lub zadanie wykonywane w interesie publicznym. Jeżeli Twój uzasadniony interes nie jest nadrzędny wobec interesu osoby fizycznej, musisz zaprzestać przetwarzania danych osobowych.

Osoba fizyczna może również poprosić o ograniczenie zakresu przetwarzania swoich danych osobowych na czas ustalania, czyj interes jest nadrzędny. W przypadku marketingu bezpośredniego jesteś jednak zawsze zobowiązany do zaprzestania przetwarzania danych osobowych na prośbę osoby fizycznej.

Prawo do usunięcia danych (prawo do bycia zapomnianym)

W pewnych okolicznościach, np. gdy dane nie są już potrzebne do celu ich przetwarzania, osoba fizyczna może poprosić administratora danych o usunięcie swoich danych osobowych. Niemniej Twoja firma nie musi tego robić, jeśli:

Zautomatyzowane podejmowanie decyzji oraz profilowanie

Osoby fizyczne mają prawo nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu. Istnieją jednak pewne wyjątki od tej zasady, np. udzielenie wyraźnej zgody przez osobę, która podlega takiej decyzji. Z wyjątkiem sytuacji, gdy zautomatyzowane podejmowanie decyzji wynika z przepisów prawa, Twoja firma ma obowiązek:

Przykładowo, jeśli bank podejmuje w sposób zautomatyzowany decyzję, czy udzielić pożyczki danej osobie, osoba ta powinna zostać o tym poinformowana oraz mieć możliwość zakwestionowania takiej decyzji oraz zażądania ingerencji człowieka.

Naruszenia ochrony danych – właściwe powiadomienie

Naruszenie ochrony danych to przypadkowe lub niezgodne z prawem ujawnienie nieupoważnionym odbiorcom danych, za które jesteś odpowiedzialny, a także spowodowanie czasowej niedostępności takich danych lub ich zmiana.

Jeśli dojdzie do naruszenia ochrony danych i zagraża to prawom i wolnościom osoby fizycznej, powinieneś w ciągu 72 godzin od stwierdzenia naruszenia poinformować o tym swój organ ochrony danych.

W zależności od tego, czy naruszenie ochrony danych stanowi wysokie ryzyko dla osób, których dane dotyczą, Twoja firma może także mieć obowiązek odpowiedniego poinformowania wszelkich takich osób.

Odpowiadanie na wnioski dotyczące ochrony danych

Gdy Twoja firma otrzyma wniosek od osoby, która chce wykonać swoje prawa, powinieneś odpowiedzieć nie bez zbędnej zwłoki, a w każdym razie najpóźniej w ciągu 1 miesiąca od otrzymania wniosku. Czas na odpowiedź może zostać przedłużony o 2 miesiące w przypadku skomplikowanych i złożonych wniosków, pod warunkiem poinformowania o tym wnioskującego. Rozpatrywanie wniosków powinno być bezpłatne.

W przypadku odrzucenia wniosku należy poinformować osobę wnioskującą o powodach odrzucenia oraz o przysługującym jej prawie do złożenia skargi do organu ochrony danych.

Ocena skutków

Przeprowadzenie oceny skutków w zakresie ochrony danych jest obowiązkowe, gdy planowane przetwarzanie danych mogłoby wiązać się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych, na przykład w przypadku korzystania z nowych technologii.

Wysokie ryzyko występuje, gdy:

Uwaga: Organy ochrony danych mogą także uznać przetwarzanie danych innych kategorii za stanowiące wysokie ryzyko.

Jeśli środki wskazane w ocenie skutków w zakresie ochrony danych nie wyeliminują wszystkich zidentyfikowanych źródeł wysokiego ryzyka, przed przystąpieniem do planowanego przetwarzania danych należy skonsultować się z organem ochrony danych.

Prowadzenie rejestru

Musisz być w stanie udowodnić, szczególnie na wniosek organu ochrony danych lub podczas dokonywanej przez niego inspekcji, że Twoja firma działa zgodnie z RODO i wypełnia wszystkie ciążące na niej zobowiązania.

Możesz to zrobić m.in. prowadząc szczegółowy rejestr następujących informacji:

Twoja firma powinna ponadto posiadać i regularnie aktualizować pisemne procedury i wytyczne oraz podawać je do wiadomości pracowników.

Jeśli Twoje przedsiębiorstwo to MŚPen lub jeszcze mniejsza firma, nie musisz prowadzić rejestru swoich czynności przetwarzania, jeśli:

  • nie realizujesz ich regularnie
  • nie wpływają one na prawa i wolności osób fizycznych, których dotyczą
  • nie dotyczą one danych wrażliwych lub danych z rejestrów karnych.

Ochrona danych w fazie projektowania oraz domyślna ochrona danych

Ochrona danych w fazie projektowania oznacza, że Twoja firma powinna wziąć pod uwagę ochronę danych już na wczesnych etapach planowania nowego sposobu przetwarzania danych osobowych. Zgodnie z tą zasadą administrator danych musi podjąć wszelkie niezbędne działania techniczne i organizacyjne, aby wdrożyć zasady ochrony danych i chronić prawa osób fizycznych. Działania te mogą na obejmować na przykład pseudonimizację.

Domyślna ochrona danych oznacza, że Twoja firma powinna domyślnie wybierać ustawienie najbardziej przyjazne dla prywatności. Jeśli na przykład do wyboru są dwa różne ustawienia prywatności, z których jedno zapobiega dostępowi innych osób do danych osobowych, właśnie to ustawienie powinno być ustawieniem domyślnym.

Naruszenie przepisów oraz kary

Nieprzestrzeganie postanowień RODO może w przypadku niektórych naruszeń prowadzić do nałożenia wysokich kar, sięgających nawet 20 mln euro lub 4 proc. światowego obrotu Twojej firmy. Organ ochrony danych może nakazać dodatkowe środki naprawcze, takie jak zaprzestanie przetwarzania danych osobowych.

Ochrona danych i prywatność w sieci − często zadawane pytania

Powiązane tematy

Prawo UE

Potrzebujesz pomocy lub porady?

Skontaktuj się z serwisami ds. pomocy

Lokalny punkt wsparcia dla biznesu - Mają Państwo pytania na temat prowadzenia transgranicznej działalności gospodarczej, na przykład na temat eksportu do innego kraju UE lub rozszerzenia poza swój kraj działalności gospodarczej? W takim przypadku Europejska Sieć Przedsiębiorczości może udzielić bezpłatnej porady.

Udostępnij tę stronę: