Szum wokół RODO nieco ucichł. Nie oznacza to jednak, że nagle RODO w ogólne przestało obowiązywać.

Od dnia 25 maja 2018 roku, czyli od kiedy weszło w życie unijne Rozporządzenie o Ochronie Danych Osobowych (w skrócie RODO), do dziś każdy z Was dostaje mnóstwo maili z informacją o zmianach w polityce prywatności. Dla przypomnienia, postanowiliśmy przybliżyć Wam nieco podstawowe zasady RODO, które każdy powinien znać.

A więc kogo dotyczy RODO?

RODO ochrania dane osobowe osób fizycznych, a więc każdego z nas i nakłada pewne obowiązki na podmioty (najczęściej chodzi o przedsiębiorców i ich firmy) przetwarzające dane osobowe, zwykle w celach marketingowych. Co ciekawe, RODO nakłada również liczne obowiązki na wszystkie organy administracji publicznej (urzędy, szkoły, domy kultury…), które do tej pory swobodnie posługiwały się naszymi danymi osobowymi.

Co to są dane osobowe?

Dane osobowe to informacje bezpośrednio dotyczące OSOBY FIZYCZNEJ, które umożliwiają określenie jej tożsamości bez podejmowania większych działań i nadmiernych kosztów oraz czasu. Tak więc dane osobowe dotyczą tylko osób fizycznych.
Czy dane firmy lub przedsiębiorcy są danymi osobowymi?
Z reguły zakłada się, że dane firmy czy przedsiębiorcy nie są danymi osobowymi. Ponieważ dane firmy i przedsiębiorcy są jawne (podane publicznie na stronie internetowej, wizytówce itp.), dotychczas można je było dowoli przetwarzać (a przynajmniej dane dotyczące stricte firmy – nazwę firmy, adres siedziby, mail firmowy).
ALE UWAGA! Zgodnie z RODO, gdy osoby fizyczne prowadzące działalność gospodarczą nie są osobami prawnymi, lecz fizycznymi, bo nie mają charakteru spółek, to znaczy, że ich dane są danymi osobowymi i w pełni podlegają nowym przepisom o ochronie danych osobowych!!!

Na czym polega przetwarzanie danych osobowych wg RODO?

Przetwarzanie danych osobowych to wykonywanie na nich jakichkolwiek operacji. Mowa tu o: zbieraniu danych osobowych, pobieraniu, porządkowaniu, utrwalaniu, przechowywaniu, opracowywaniu, zmienianiu, udostępnianiu i usuwaniu lub niszczeniu. Najczęściej wszystkie te operacje wykonuje się w systemach informatycznych w sposób zautomatyzowany (na komputerze, laptopie itd…).

Kiedy zgodnie z prawem można przetwarzać dane osobowe?

1. Gdy dana osoba wyrazi na to zgodę, chyba że chodzi o usunięcie danych.
2. Gdy jest to konieczne do realizacji podpisanej umowy, a osoba, której dotyczą dane, jest stroną umowy (jeżeli prowadzisz firmę i podpisujesz umowy z klientami, przypadek ten umożliwia Ci legalne przetwarzanie i przechowywanie danych Twoich klientów i kontrahentów!)
3. Gdy jest to niezbędne do wykonania określonych prawem zadań, zrealizowania zobowiązania prawnego, wypełnienia prawnie usprawiedliwionych celów (po wejściu w życie RODO wielu administratorów danych straciło uprawnienia przetwarzania danych, które wcześniej im przysługiwały, mowa tu np. o pracodawcach, którzy nie mogą już żądać podania swoich danych od osób ubiegających się o pracę).

Jakie konkretnie zmiany wprowadza RODO?

1. Obowiązek zgłaszania naruszeń danych osobowych.
Osoby przetwarzające dane osobowe mają obowiązek zgłosić do właściwego organu nadzoru wszystkie przypadki naruszeń danych osobowych w ciągu 72 godzin. Powinni także powiadomić o tym fakcie osoby, których dane zostały naruszone.

2. Prawo do bycia zapomnianym.
Osoby, które w przeszłości podzieliły się swoimi danymi osobowymi, mają prawo do bycia zapomnianym. Innymi słowy mogą wymagać od firm, osób (np. które regularnie przesyłają oferty na ich maila) , aby ich dane zostały usunięte.

3. Prawo dostępu i pełnego wglądu w historię przetwarzania danych.
Osoby, których dane osobowe za ich zgodą znajdują się w bazie danej firmy, mają prawo do pełnego wglądu zarówno w swoje dane, jak i sposób ich przechowywania.

4. Prawo sprzeciwu do przetwarzania danych osobowych.
Sprzeciw do przetwarzania danych osobowych można wyrazić np. poprzez zakazanie marketingu bezpośredniego firmom stosującym taką formę reklamy.

5. Bezpośrednia odpowiedzialność nałożona na przetwarzającego dane.
Firmy przetwarzające dane osobowe na zlecenie innych firm (np. firmy hostingowe) będą bezpośrednio odpowiadać za wszelkie naruszenia danych osobowych.

6. Ograniczenia w zakresie profilowania danych.
Profilowanie polega na zbieraniu informacji o konsumencie (najczęściej bez jego wiedzy) na podstawie zachowań w sieci. Profilowanie danych, dotychczas nieograniczone prawem, ma zwykle na celu dopasowanie do konkretnej osoby odpowiedniej reklamy. Od dziś RODO nałożyło na osoby profilujące dane surowy obowiązek poinformowania o tym zainteresowanej osoby. Tak więc osoba, której dane będą profilowane, musi wyrazić na to zgodę jeszcze przed rozpoczęciem zbierania danych, a także poznać konsekwencje profilowania.

7. Inspektor Ochrony Danych Osobowych w firmie.
Firmy, które specjalizują się w przetwarzaniu danych osobowych na dużą skalę bądź przetwarzające szczególne kategorie danych osobowych, mają obowiązek zatrudnić bądź wyznaczyć spośród pracowników wykwalifikowanego Inspektora Ochrony Danych Osobowych. Inspektorzy przejmą obowiązki dotychczasowego administratora bezpieczeństwa informacji. Kryteria obowiązku posiadania inspektora ochrony danych w firmie nie są jednak zbyt precyzyjne.

8. Zgody na przetwarzanie danych.
RODO wprowadza nowe zasady uzyskiwania zgody na przetwarzanie danych osobowych. Zgoda musi mieć formę oświadczenia (ustnego) bądź wyraźnego działania potwierdzającego (pisemnie lub elektronicznie). Warto dodać, że brak wypowiedzi na temat zgody (milczenie), okienka z domyślnie zaznaczoną zgodą lub niepodjęcie żadnego działania są równoznaczne z brakiem zgody.
W przeciwieństwie do dotychczas obowiązujących przepisów, RODO umożliwia zbieranie jednej zgody na przetwarzanie danych w kilku różnych celach. RODO wprowadza także możliwość wycofania zgody w podobny i tak samo łatwy sposób, w jaki zgoda została wyrażona.

9. Obowiązek inwentaryzacji danych.
Przetwarzający dane zobowiązani są do przygotowania i prowadzenia formalnych rejestrów danych osobowych, w których uwzględnione mają zarówno powody przetwarzania danych, kategorie podmiotów danych osobowych, kategorie adresatów danych, jak i rejestry naruszeń oraz incydentów. W rejestrze danych osobowych muszą być także przechowywane wszystkie zgody na przetwarzanie danych osobowych.

10. Obowiązek oceny skutków przetwarzania danych.
Oznacza konieczność przeprowadzenia precyzyjnej analizy procesów związanych z przetwarzaniem danych osobowych, co umożliwi oszacowanie istniejącego poziomu ryzyka związanego z przetwarzaniem danych osobowych.

11. Obowiązek zwiększonej informacji.
RODO wymienia liczne informacje, które przetwarzający dane ma obowiązek przedstawić osobom, których dane dotyczą. Wśród informacji takich muszą znaleźć się m. in.: tożsamość i dane kontaktowe administratora danych lub inspektora ochrony danych, cel przetwarzania danych, informacje o odbiorcach danych osobowych lub istniejących w rejestrze kategoriach odbiorców, okres, przez który dane będą przechowywane, informacje o prawach, które przysługują osobom, których dane dotyczą i o sposobie rezygnacji z przechowywania danych.

12. Wysokie kary za nieprzestrzeganie RODO.
Za łamanie nowych zasad ochrony danych osobowych grożą bardzo wysokie kary finansowe, nawet od 10 mln do 20 mln euro!