Osławiony już i nieco tajemniczy termin RODO oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).


Rozporządzenie to weszło w życie 25 maja 2018 roku, to znaczy, że tego dnia zaczęło być stosowane w całości na obszarze całej Unii Europejskiej. Stało się tak ze względu na bezpośrednie obowiązywanie, bezpośrednie stosowanie i bezpośrednią skuteczność unijnych rozporządzeń. To odróżnia te akty prawa od chociażby unijnych dyrektyw, które państwa członkowskie UE wiążą w odniesieniu do celu, który ma zostać osiągnięty, ale już nie do metod, którymi należy do niego dążyć.




Podstawową przesłanką, która doprowadziła do przyjęcia rozporządzenia jest m.in. fakt, iż ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Nowe prawo przyjęto, ponieważ: „Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych”.


RODO – Ustawa o ochronie danych osobowych



W RODO zaznaczono, iż: „Jeżeli chodzi o przetwarzanie danych osobowych w celu wypełnienia obowiązku prawnego, w celu wykonywania zadania realizowanego w interesie publicznych lub w ramach sprawowania władzy publicznej powierzonej administratorowi, państwa członkowskie powinny móc zachować lub wprowadzić krajowe przepisy doprecyzowujące stosowanie przepisów niniejszego rozporządzenia”. Wskazano również kilka innych sytuacji, które powinny zostać doprecyzowane przez przepisy krajowe.


Niemniej 25 maja 2018 roku uchylona została Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych. Moc zachowała jedynie część postanowień polskiej ustawy: art. 1, art. 2, art. 3 ust. 1, art. 4-7, art. 14-22, art. 23-28, art. 31 oraz rozdziały 4, 5 i 7, które odnoszą się m.in. do przetwarzania danych osobowych celem rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów i wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służ i organów uprawnionych do realizacji zadań w tym zakresie. Postanowienia te będą obowiązujące do czasu wejścia w życie przepisów, które wdrożą dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW.




Co istotne, 25 maja 2018 roku weszła w życie znowelizowana ustawa: Ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych, odpowiadająca na wymagania stawiane przez RODO.


Pobierz darmowy wzór zgody na przetwarzanie danych osobowych!

Pobierz wzór zgody na przetwarzanie danych osobowych w formacie DOC (Word).

Pobierz wzór zgody na przetwarzanie danych osobowych w formacie PDF, gotowy do druku.




RODO a GIODO



GIODO, czyli Generalny Inspektor Ochrony Danych Osobowych, został powołany wcześniej wspomnianą ustawą z 1997 roku. Generalnego Inspektora, będącego państwowym organem do spraw ochrony danych osobowych, powoływał i odwoływał Sejm RP za zgodą Senatu. Kadencja Inspektora trwała cztery lata, a ta sama osoba mogła pełnić tę funkcję maksymalnie dwukrotnie.


Stanowisko to funkcjonowało do czasu wejścia w życie RODO – wówczas Generalny Inspektor zastąpiony został Prezesem Urzędu Ochrony Danych Osobowych, ustanowionym przez ustawę z 2018 roku jako organ nadzorczy w sprawie ochrony danych osobowych. Prezes również powoływany i odwoływany jest przez Sejm RP za zgodą Senatu, na czteroletnią kadencję. Jedna osoba może znaleźć się na tym stanowisku dwukrotnie. Prezes Urzędu stanowi zatem prawnego kontynuatora Generalnego Inspektora – zachował jego majątek i wierzytelności, a także przejął wszczęte wcześniej postępowania.


RODO – kogo dotyczy?



Ochrona, którą zapewnia RODO powinna mieć zastosowanie do osób fizycznych, bez względu na ich obywatelstwo oraz miejsce zamieszkania, w kontekście przetwarzania ich danych osobowych. Postanowienia tego aktu nie dotyczą zatem przetwarzania danych osobowych, które dotyczą osób prawnych, a przede wszystkim przedsiębiorstw, które są osobami prawnymi, w tym danych o firmie oraz formie prawnej i danych kontaktowych. Ponadto prawo to nie obowiązuje w kontekście działalności nieobjętej zakresem prawa Unii, np. w zakresie działalności, która dotyczy bezpieczeństwa narodowego.


Co więcej, „rozporządzenie nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej, czyli bez związku z działalnością zawodową lub handlową. Działalność osobista lub domowa może między innymi polegać na korespondencji i przechowywaniu adresów, podtrzymywaniu więzi społecznych oraz działalności internetowej podejmowanej w ramach takiej działalności”. Niemniej: „rozporządzenie ma jednak zastosowanie do administratorów lub podmiotów przetwarzających, którzy udostępniają środki przetwarzania danych osobowych na potrzeby takiej działalności osobistej lub domowej”. Oznacza to, iż bez przeszkód korzystać możemy w dalszym ciągu np. z portali społecznościowych, jednak portale te muszą dostosować się do zapisów RODO.


RODO – zmiany



Unijne Rozporządzenie o Ochronie Danych Osobowych przede wszystkim systematyzuje zasady związane z przetwarzaniem danych osobowych. Zgodnie z postanowieniami tego aktu prawnego, dane osobowe muszą być:


a) „przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznych, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodnie z pierwotnymi celami („ograniczenie celu”);

c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, do których są przetwarzane („minimalizacja danych”);

d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);

e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznych, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);

f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”)”.


Istotne jest to, iż w wielu przypadkach na przetwarzanie danych osobowych wymagana jest zgoda osoby, której dane dotyczą. Zgoda taka musi być dobrowolna, konkretna, świadoma i jednoznaczna. Powinna ona być wyrażona w formie oświadczenia albo wyraźnego działania, które potwierdza przyzwolenie na przetwarzanie danych osobowych.


Z tego też wyniknął obowiązek informacyjny dla przedsiębiorstw i podmiotów, które w ramach swojej działalności przetwarzają dane osobowe osób fizycznych. Musiały one poinformować użytkowników swoich usług o sposobach przetwarzania tychże danych, administratorze zbiorów czy metodach ich zabezpieczenia. W niektórych przypadkach zaktualizowane zostały klauzule dotyczące wyrażenia zgody na przetwarzanie.


Ponadto osoby fizyczne uzyskały większy wpływ na swoje dane osobowe, podlegające przetwarzaniu. RODO wzmocniło prawo dostępu i wglądu w te dane, umożliwiło obywatelom żądanie przeniesienia swoich danych, a także usankcjonowało tzw. prawo do bycia zapomnianym, czyli prawo do żądania usunięcia swoich danych osobowych z baz w konkretnych okolicznościach.