Kogo dotyczy ustawa o RODO?

RODO to skrót od unijnego Rozporządzenia o Ochronie Danych Osobowych, a formalnie od: Rozporządzenia Parlamentu Europejskiego i Rady (U) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Rozporządzenie to weszło w życie 25 maja 2018 roku i usystematyzowało zagadnienia związane z przetwarzaniem danych osobowych. Tego dnia stało się ono bezpośrednio obowiązujące, ezpośrednio stosowane i bezpośrednio skuteczne na terenie całej Unii Europejskiej.

RODO – rozporządzenie 2018 roku

Jak wskazano, RODO dotyczy przede wszystkim danych osobowych oraz ich przetwarzania. Poprzez dane osobowe rozumiane są: „informacje o zidentfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoa, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”. Z kolei przetwarzanie oznacza: „operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”.

W tym kontekście: „zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Speudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny”. W konsekwencji: „zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, które dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych”.

RODO – ustawa krajowa o ochronie danych osobowych

Przez wejście w życie unijnego rozporządzenia, moc prawną straciła polska Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (choć część jej zapisów pozostaje ważna do dnia wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW).

W odniesieniu do RODO weszła natomiast w życie Ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych, doprecyzowująca niektóre z postanowień unijnego rozporządzenia, w tym w zakresie określenia podmiotów publicznych, które zobowiązane są do wyznaczenia inspektora ochrony danych czy warunków i trybu akredytacji podmiotów uprawnionych do certyfikacji w zakresie ochrony danych osobowych.

Uchylenie ustawy z 1997 roku wpłynęło na zniesienie stanowiska Generalnego Inspektora Ochrony Danych Osobowych (GIODO), z kolei ustawa z 2018 roku ustanowiła Prezesa Urzędu Ochrony Danych Osobowych. Prezes Urzędu jest prawnym kontynuatorem Generalnego Inspektora. Podobnie, jak GIODO, jest on powoływany i odwoływany przez Sejm Rzeczypospolitej Polskiej za zgodą Senatu, na czteroletnią kadencję. Jedna osoba może sprawować ten urząd maksymalnie dwukrotnie.

RODO – kogo dotyczy?

Przepisy RODO odnoszą się do osób fizycznych, których dane osobowe są przetwarzane, niezależnie od ich obywatelstwa czy miejsca zamieszkania. Rozporządzenie nie dotyczy natomiast przetwarzania danych osobowych, które dotyczą osób prawnych, a przede wszystkim przedsiębiorstw będących osobami prawnymi (w tym danych o firmie czy formie prawnej i danych kontaktowych osoby prawnej).

Postanowienia rozporządzenia nie dotyczą również przetwarzania danych osobowych: w ramach działalności, która nie jest objęta zakresem prawa Unii Europejskiej; przez państwa członkowskie w ramach wykonywania działań, które wchodzą w zakres tytułu V rozdział 2 TUE (m.in. w dziedzinie polityki bezpieczeństwa i obrony); przez osobę fizyczną w ramach czynności, które posiadają czysto osobisty lub domowy charakter; przez właściwe organy w celu zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych albo wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania tego rodzaju zagrożeniom.

RODO w praktyce

Najważniejsze postanowienia RODO dotyczą lepszej kontroli nad swoimi danymi osobowymi, którą posiadają osoby, których dane te są przetwarzane oraz konieczności bardziej skutecznego zabezpieczania zbiorów przez administratorów informacji.

Dzięki RODO obywateli zyskali większe możliwości dostępu i wglądu w swoje dane osobowe. Mogą zażądać przeniesienia tych danych lub ich całkowitego usunięcia (to „prawo do bycia zapomnianym”). Ponadto muszą być szczegółowo informowani o celu i zakresie przetwarzania swoich danych osobowych przez inne podmioty. W niektórych przypadkach muszą na to przetwarzanie wyrazić zgodę, a zgoda ta: „powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub tez na innych oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której danej dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy”.

Z tego względu tuż przed wejściem rozporządzenia w życie mogliśmy otrzymać wiele informacji (tak pocztą tradycyjną, jak i elektroniczną) na temat polityki ochrony danych osobowych wdrożonych w danych firmach czy z prośbami o ponowne wyrażenie zgody na przetwarzanie danych.

W odniesieniu do przedsiębiorców istotne jest to, iż organizacje, które przetwarzają dane osobowe z innych firm świadcząc na ich rzecz usługi (jak hosting czy utrzymywanie chmur danych), stały się bezpośrednio odpowiedzialne za złamanie przepisów RODO. Nieprzestrzeganie nowych przepisów może skutkować dotkliwą karą finansową w wysokości 10 mln EUR (lub maksymalnie 2% wartości rocznego światowego obrotu firmy) albo 20 mln EUR (lub maksymalnie 4% wartości rocznego światowego obrotu firmy).

Dodatkowym obowiązkiem administratorów danych jest też zgłaszanie wszelkich naruszeń w ciągu 72 godzin od ich wykrycia do właściwego organu nadzorczego. Ponadto obywatele mają prawo niezwłocznie dowiedzieć się o tym, iż ich prawo do ochrony danych osobowych zostało w jakikolwiek sposób naruszone.