GDPR beeld

RODO – GŁÓWNE ZMIANY I RÓŻNICE W STOSUNKU DO POPRZEDNIEJ DYREKTYWY

20 February 2018

Celem RODO jest ochrona wszystkich obywateli UE przed naruszaniem prywatności danych w świecie, w którym zarządzanie danymi staje się kluczowym zagadnieniem i w którym stara dyrektywa z 1995 roku nie zdaje już egzaminu. Chociaż główne zasady dotyczące prywatności danych pozostają w mocy, to jednak przyjęta regulacja wprowadza wiele ważnych zmian. Kluczowe zasady RODO, a także informacje na temat wpływu, jaki będą one wywierać na działalność gospodarzą, zostały opisane poniżej.

Zwiększony zakres terytorialny (zastosowanie eksterytorialne)

Prawdopodobnie największą zmianą w środowisku regulacyjnym ochrony danych osobowych jest rozszerzona jurysdykcja RODO. Ma ono, bowiem zastosowanie do wszystkich firm przetwarzających dane osobowe osób, których dane dotyczą, przebywających w Unii, niezależnie od lokalizacji siedziby danej firmy. Zasięg terytorialny poprzedniej dyrektywy był niejednoznaczny i odnosił się do przetwarzania danych “w zależności do siedziby przedsiębiorcy”. Ten temat pojawiał się w wielu głośnych sprawach sądowych. Postanowienia RODO są w tym względzie bardzo jasne. Rozporządzenie będzie miało zastosowanie do przetwarzania danych osobowych przez administratorów i przetwarzających danych w UE, niezależnie od tego, czy przetwarzanie ma miejsce w Unii czy też poza nią. RODO będzie również obowiązywać w odniesieniu do przetwarzania danych osobowych podmiotów w UE przez administratora lub podmiot przetwarzający, który nie ma siedziby w UE, gdy te działania dotyczą oferowania towarów lub usług obywatelom UE (niezależnie od tego, czy wymagana będzie płatność) oraz monitorowania zachowań, które mają miejsce w UE. Przedsiębiorstwa spoza UE przetwarzające dane obywateli UE będą musiały również wyznaczyć swojego unijnego przedstawiciela.

Kary

Zgodnie z RODO organizacje, które naruszają rozporządzenie, mogą zostać ukarane grzywną w wysokości do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego albo 20 milionów euro (zastosowanie ma kwota wyższa). Jest to maksymalna wysokość grzywny, która może zostać nałożona w przypadku najpoważniejszych naruszeń tzn. braku wystarczającej zgody klienta na przetwarzanie danych lub naruszenie zasad prywatności poprzez nieuwzględnianie ochrony danych w fazie projektowania. Stosowane będzie wielopoziomowe podejście do grzywien. I tak, firma może zostać ukarana grzywną w wysokości 2 % rocznego obrotu za nieposiadanie należytego porządku w swoich rejestrach (art. 28), za niepowiadomienie organu nadzorującego i osoby, której dane dotyczą albo za naruszenie lub nieprzeprowadzenie oceny skutków podjętych działań dla ochrony danych. Warto zwrócić uwagę, że zasady te dotyczą zarówno administratorów, jak i przetwarzających – co oznacza, że dane w “chmurach” nie będą wyłączone z przepisów zawartych w RODO.

Zgoda

Warunki udzielania zgody zostały wzmocnione, a przedsiębiorstwa nie będą już mogły stosować długich, nieczytelnych i pełnych prawniczego żargonu regulaminów, ponieważ wniosek o zgodę będzie musiał być przedstawiony w zrozumiałej i łatwo dostępnej formie, zawierającej cel przetwarzania danych. Zgoda musi być jasna i możliwa do odróżnienia od innych kwestii oraz przedstawiona w zrozumiałej i łatwo dostępnej formie, przy użyciu jasnego i prostego języka. Zgoda musi być tak samo łatwa do wycofania, jak udzielenia.

PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ

Powiadomienie o naruszeniu
W ramach RODO powiadomienie o naruszeniu stanie się obowiązkowe we wszystkich państwach członkowskich, w których naruszenie danych może “spowodować zagrożenie dla praw i wolności jednostek”. Musi to nastąpić w ciągu 72 godzin od chwili, gdy naruszenie zostało ujawnione. Przetwarzający dane będą również zobowiązani do powiadamiania swoich klientów i administratorów “bez zbędnej zwłoki”, po tym jak dowiedzą się o naruszeniu bezpieczeństwa danych.
Prawo dostępu
Częścią rozszerzonych praw zawartych w RODO jest prawo osób, których dane dotyczą do uzyskania od administratora potwierdzenia, czy dane osobowe są przetwarzane, gdzie i w jakim celu. Ponadto administrator jest zobowiązany przekazać bezpłatnie kopię danych osobowych w formacie elektronicznym. Ten wymóg jest kluczową zmianą dla przejrzystości danych i wzmocnienia pozycji osób, których dane dotyczą.
Prawo do bycia zapomnianym
Znane również, jako “usunięcie danych”, prawo do bycia zapomnianym uprawnia osobę, której dane dotyczą, do żądania od administratora danych osobowych, usunięcia danych osobowych, zaprzestania dalszego ich rozpowszechniania i do wstrzymania przetwarzania danych przez osoby trzecie. Warunki usunięcia, o których mowa w art. 17, obejmują dane, które nie są już istotne dla pierwotnych celów przetwarzania lub do których osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie. Należy również zauważyć, że prawo to zobowiązuje administratorów do uwzględnienia “wymogów interesu publicznego  w zakresie dostępności danych” przy rozpatrywaniu takich wniosków.
Przenoszenie danych
RODO wprowadza możliwość przenoszenia danych, czyli prawo osób, których dane dotyczą do otrzymania „w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego” danych osobowych jej dotyczących oraz prawo do przesłaniach tych danych osobowych innemu administratorowi.
Uwzględnianie ochrony danych w fazie projektowania
Koncepcja uwzględniania ochrony danych w fazie projektowania funkcjonuje już od wielu lat, ale dopiero teraz staje się częścią wymogów prawnych zawartych w RODO. Zasadniczo uwzględnianie ochrony danych w fazie projektowania wymaga włączenia ochrony danych od samego początku projektowania systemów, a nie jej dodawania na późniejszym etapie. W szczególności: “Administrator (…) powinien w odpowiedni sposób wdrożyć stosowne środki techniczne i organizacyjne (…) w celu spełnienia wymogów niniejszego rozporządzenia i ochrony praw osób, których dane dotyczą”. Art. 25 nakazuje administratorom przechowywanie i przetwarzanie danych wyłącznie niezbędnych do wypełnienia jego obowiązków (minimalizacja danych), a także udostępnianie danych osobowych tylko osobom, które je przetwarzają.

Zapoznaj się z innymi zmianami na stronie internetowej rozporządzenia o ochronie danych osobowych UE (RODO).

Źródło: https://www.eugdpr.org/

Leave a Reply

Your email address will not be published. Required fields are marked *