• Polski
  • English
  • Deutsch
  • Zapisz do newslettera

    Rozporządzenie ogólne o ochronie danych osobowych

    ochrona danych osobowych, prawo do bycia zapomnianym, profilowanie, reforma ochrony danych osobowych, rodo

    4 maja 2016 roku w Dzienniku Urzędowym Unii Europejskiej opublikowano oficjalne teksty nowego rozporządzenia i dyrektywy o ochronie danych osobowych. Rozporządzenie znajdzie bezpośrednie zastosowanie od 25 maja 2018 roku, natomiast na implementację dyrektywy i wydanie odpowiednich ustaw krajowych państwa członkowskie mają czas do 6 maja 2018 roku. Zmiany wprowadzone przez to rozporządzenie prezentujemy w pigułce na tej stronie.

    Nowe akty prawne były jednymi z bardziej wyczekiwanych dokumentów europejskiego prawa gospodarczego – prace nad nimi trwały ponad 4 lata. Celem regulacji jest zapewnienie swobodnego przepływu danych osobowych pomiędzy państwami członkowskimi, ale także wprowadzenie zasad, zgodnie z którymi przetwarzanie danych osobowych będzie ujednolicone na terenie całej Unii Europejskiej. Reforma ma pozwolić obywatelom UE i przedsiębiorcom na czerpanie maksymalnych korzyści z tzw. Jednolitego Rynku Cyfrowego, przy jednoczesnym zachowaniu bezpieczeństwa danych osobowych i poszanowaniu prawa do prywatności.

    Najważniejsze zmiany, jakie wprowadza reforma, to:

    1.    Jednolite zasady w całej Unii Europejskiej.
    Dotychczas w każdym z państw członkowskich UE obowiązywały nieco różne zasady w zakresie ochrony danych osobowych. Rodziło to trudności zarówno po stronie osób, których dane dotyczyły, jak i po stronie przedsiębiorców działających w kilku państwach, którzy każdorazowo musi dostosowywać swoje polityki do reguł obowiązujących w danym kraju. Od 2018 roku we wszystkich państwach UE będą obowiązywać jednakowe zasady dotyczące ochrony danych osobowych. Będą musiały się do nich dostosować zarówno instytucje publiczne, jak i przedsiębiorcy europejscy, a także przedsiębiorcy spoza Europy, którzy chcieliby działać na rynku europejskim, np. świadcząc obywatelom UE usługi przez internet.

    2.    Nowe obowiązki informacyjne.
    Informacje o tym, jakie dane i w jakim celu są zbierane, kto jest ich administratorem, jakim podmiotom mogą zostać udostępnione, oraz o prawach przysługujących osobom, których dane dotyczą, mają być przekazywane w zwięzłej, przejrzystej i łatwo dostępnej formie, z użyciem prostego i zrozumiałego języka – tak by osoba, która udostępnia swoje dane, wiedziała, na co wyraża zgodę. Dodatkowo osoby, które przekazują swoje dane, będą musiały być poinformowane o wykorzystywaniu ich danych w procesie automatycznego podejmowania decyzji, w tym profilowania.

    3.    Ograniczenie profilowania.
    Profilowanie będzie dopuszczalne, jeśli administrator danych wykaże, że ma podstawę prawną do takiego działania (może to być niezbędne do realizacji umowy, wynikać z przepisów prawa lub można bazować na zgodzie osoby, której dane dotyczą). Osoba, której dane dotyczą, będzie mogła nie zgodzić się na wykorzystywanie jej danych do profilowania, np. gdy związane jest ono z marketingiem bezpośrednim. Zanim zostanie udzielona zgoda na przetwarzanie danych osobowych lub zawarta umowa, której realizacja wymaga profilowania, przedsiębiorca powinien przekazać osobie, której dane dotyczą, informacje o tym, co będzie się działo z jej danymi i jakie mogą być konsekwencje takiego procesu.

    4.    Prawo do bycia zapomnianym.
    Nowe rozporządzenie reguluje kwestię prawa do bycia zapomnianym. Osoba, której dane dotyczą, będzie mogła żądać od administratora danych ich usunięcia, jeżeli dane te nie są już niezbędne do celów, w których były zbierane lub w inny sposób przetwarzane, jeżeli osoba, której dane dotyczą, cofnęła zgodę lub jeżeli wniosła sprzeciw wobec przetwarzania danych osobowych jej dotyczących, lub jeżeli przetwarzanie jej danych osobowych nie jest z innego powodu zgodne z  rozporządzeniem.

    5.    Surowe kary.
    Aby wymusić przestrzeganie przepisów, rzecznicy ochrony danych osobowych (w Polsce – Generalny Inspektor Ochrony Danych Osobowych) będą mogli nakładać surowe kary na podmioty, które dopuszczają się naruszeń. Kary administracyjne mogą wynieść do 20 000 000 euro lub – w przypadku przedsiębiorców – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

    Zmian jest znacznie więcej. Wiele nowych zadań otrzymują nie tylko administratorzy danych, ale również podmioty przetwarzające dane na podstawie umowy powierzenia (procesorzy). W przypadku niektórych podmiotów obowiązkowe będzie powołanie inspektora ochrony danych osobowych (dotychczasowy administrator bezpieczeństwa informacji). Dwa lata to optymalny czas na przygotowanie się do wdrożenia nowych zasad.

    Więcej informacji w przewodniku „RODO pod lupą” autorstwa prawników Kancelarii Lubasz i Wspólnicy do pobrania tutaj.

     

    Wróć do listy
    Natalia Zawadzka

    Natalia Zawadzka

    • Adwokat
    Skontaktuj się z autorem

    Jeśli omawiane kwestie dotyczą Państwa sytuacji, prosimy o kontakt bezpośrednio z

    Witold Chomiczewski LL.M

    Wspólnik
    Radca prawny

    witold.chomiczewski@lubasziwspolnicy.pl

    dr Dominik Lubasz

    Wspólnik
    Radca prawny

    dominik.lubasz@lubasziwspolnicy.pl

    Artykuły powiązane

    LinkedIn zaleca zmianę haseł w związku z wyciekiem danych osobowych

    Według informacji podanych wczoraj przez LinkedIn, serwis społecznościowy specjalizujący się w kontaktach zawodowo-biznesowych, cyberprzestępcy uzyskali pełny dostęp do danych osobowych 117 milionów użytkowników tego serwisu, w szczególności adresów mailowych i …

    Wniosek o rejestrację zbioru w rejestrze GIODO

    Nadal w czasie spotkań i szkoleń z zakresu ochrony danych osobowych spotykamy się przekonaniem, że wdrażanie systemu ochrony danych osobowych sprowadza się do zgłoszenia zbiorów danych do rejestru prowadzonego przez …