encyklopedia.run.place

Rozporządzenie o ochronie danych osobowych

Rozporządzenie o ochronie danych osobowych, potocznie znane jako RODO (ang. General Data Protection Regulation, GDPR), jest unijnym aktem prawnym regulującym przetwarzanie danych osobowych osób fizycznych. Zostało przyjęte przez Parlament Europejski i Radę UE w dniu 2020 roku, a jego stosowanie stało się obowiązkowe od 25 maja 2018 roku.

Historia i geneza

Wcześniej ochroną danych osobowych w Unii Europejskiej zajmowała dyrektywa 95/46/EC z 1995 roku. Wraz z dynamicznym rozwojem technologii informacyjnych i rosnącym znaczeniem danych w gospodarce pojawiła się potrzeba stworzenia jednolitego i nowoczesnego systemu ochrony, co doprowadziło do opracowania aktualnego rozporządzenia.

Zastosowanie

Rozporządzenie ma zastosowanie do:

  • całej Unii Europejskiej, w tym Polski;
  • wszystkich podmiotów (administratorów i podmiotów przetwarzających), które przetwarzają dane osobowe osób fizycznych znajdujących się w UE, niezależnie od miejsca ich siedziby;
  • przetwarzania danych w kontekście działalności gospodarczej oraz niegospodarczej, o ile dotyczy to danych osobowych.

Podstawowe zasady przetwarzania danych

Rozporządzenie definiuje siedem kluczowych zasad, które muszą być przestrzegane przy przetwarzaniu danych osobowych:

  1. Zasada zgodności z prawem, rzetelności i przejrzystości – przetwarzanie musi odbywać się zgodnie z prawem i w sposób przejrzysty dla osób, których dane dotyczą.
  2. Ograniczenie celu – dane mogą być zbierane wyłącznie w konkretnych, jasno określonych i prawnie uzasadnionych celach.
  3. Minimalizacja danych – należy przetwarzać jedynie dane niezbędne do realizacji określonego celu.
  4. Dokładność – dane muszą być aktualne i, w razie potrzeby, sprostowane.
  5. Ograniczenie przechowywania – dane nie mogą być przechowywane dłużej niż jest to niezbędne do realizacji celu.
  6. Integralność i poufność – należy zapewnić odpowiednie środki techniczne i organizacyjne chroniące dane przed nieuprawnionym dostępem, utratą lub uszkodzeniem.
  7. Rozliczalność – administratorzy muszą być w stanie wykazać, że spełnili wszystkie wymogi rozporządzenia.

Prawa osób, których dane dotyczą

Rozporządzenie przyznaje osobom fizycznym szereg praw, w tym:

  • prawo dostępu do danych (prawo dostępu);
  • prawo do sprostowania nieprawidłowych danych;
  • prawo do usunięcia danych („prawo do bycia zapomnianym”);
  • prawo do ograniczenia przetwarzania;
  • prawo do przenoszenia danych;
  • prawo do sprzeciwu wobec przetwarzania;
  • prawo nie być poddanym decyzji o charakterze automatycznym, w tym profilowaniu.

Obowiązki administratorów i podmiotów przetwarzających

Administratorzy danych muszą spełnić szereg wymogów, takich jak:

Sankcje i kary

Za naruszenie przepisów rozporządzenia przewidziane są wysokie kary finansowe – do 20 % rocznego światowego obrotu firmy lub do 4 % jej globalnego przychodu, w zależności od tego, która wartość jest wyższa. Dodatkowo organ nadzorczy może nałożyć kary administracyjne, w tym zakazy przetwarzania danych.

Powiązane akty prawne

Rozporządzenie współistnieje z krajowymi przepisami o ochronie danych osobowych, w tym z Ustawą o ochronie danych osobowych z 2018 roku w Polsce. W praktyce przepisy krajowe muszą być zgodne z postanowieniami RODO, a wszelkie rozporządzenia krajowe mogą jedynie uzupełniać regulacje unijne, nie naruszając ich podstawowych zasad.

Wpływ na sektor publiczny i prywatny

Rozporządzenie dotyczy zarówno sektora publicznego, jak i prywatnego. W sektorze administracji publicznej wymaga m.in. publikacji rejestru przetwarzania danych oraz zapewnienia transparentności wobec obywateli. Przedsiębiorstwa muszą natomiast wdrożyć procedury zgodne z zasadą minimalizacji danych oraz zapewnić bezpieczeństwo przetwarzania, co nierzadko wiąże się z inwestycjami w systemy IT i szkolenia pracowników.

Zobacz także