Rozporządzenie o ochronie danych osobowych
Rozporządzenie o ochronie danych osobowych, potocznie znane jako RODO (ang. General Data Protection Regulation, GDPR), jest unijnym aktem prawnym regulującym przetwarzanie danych osobowych osób fizycznych. Zostało przyjęte przez Parlament Europejski i Radę UE w dniu 2020 roku, a jego stosowanie stało się obowiązkowe od 25 maja 2018 roku.
Historia i geneza
Wcześniej ochroną danych osobowych w Unii Europejskiej zajmowała dyrektywa 95/46/EC z 1995 roku. Wraz z dynamicznym rozwojem technologii informacyjnych i rosnącym znaczeniem danych w gospodarce pojawiła się potrzeba stworzenia jednolitego i nowoczesnego systemu ochrony, co doprowadziło do opracowania aktualnego rozporządzenia.
Zastosowanie
Rozporządzenie ma zastosowanie do:
- całej Unii Europejskiej, w tym Polski;
- wszystkich podmiotów (administratorów i podmiotów przetwarzających), które przetwarzają dane osobowe osób fizycznych znajdujących się w UE, niezależnie od miejsca ich siedziby;
- przetwarzania danych w kontekście działalności gospodarczej oraz niegospodarczej, o ile dotyczy to danych osobowych.
Podstawowe zasady przetwarzania danych
Rozporządzenie definiuje siedem kluczowych zasad, które muszą być przestrzegane przy przetwarzaniu danych osobowych:
- Zasada zgodności z prawem, rzetelności i przejrzystości – przetwarzanie musi odbywać się zgodnie z prawem i w sposób przejrzysty dla osób, których dane dotyczą.
- Ograniczenie celu – dane mogą być zbierane wyłącznie w konkretnych, jasno określonych i prawnie uzasadnionych celach.
- Minimalizacja danych – należy przetwarzać jedynie dane niezbędne do realizacji określonego celu.
- Dokładność – dane muszą być aktualne i, w razie potrzeby, sprostowane.
- Ograniczenie przechowywania – dane nie mogą być przechowywane dłużej niż jest to niezbędne do realizacji celu.
- Integralność i poufność – należy zapewnić odpowiednie środki techniczne i organizacyjne chroniące dane przed nieuprawnionym dostępem, utratą lub uszkodzeniem.
- Rozliczalność – administratorzy muszą być w stanie wykazać, że spełnili wszystkie wymogi rozporządzenia.
Prawa osób, których dane dotyczą
Rozporządzenie przyznaje osobom fizycznym szereg praw, w tym:
- prawo dostępu do danych (prawo dostępu);
- prawo do sprostowania nieprawidłowych danych;
- prawo do usunięcia danych („prawo do bycia zapomnianym”);
- prawo do ograniczenia przetwarzania;
- prawo do przenoszenia danych;
- prawo do sprzeciwu wobec przetwarzania;
- prawo nie być poddanym decyzji o charakterze automatycznym, w tym profilowaniu.
Obowiązki administratorów i podmiotów przetwarzających
Administratorzy danych muszą spełnić szereg wymogów, takich jak:
- prowadzenie rejestru czynności przetwarzania;
- wyznaczenie inspektora ochrony danych (IOD), gdy jest to wymagane;
- poinformowanie organu nadzorczego (Urzędu Ochrony Danych Osobowych) o naruszeniach bezpieczeństwa w terminie 72 godzin;
- przeprowadzanie oceny skutków ochrony danych (DPIA) w przypadkach wysokiego ryzyka;
- zastosowanie zasad „privacy by design” i „privacy by default”.
Sankcje i kary
Za naruszenie przepisów rozporządzenia przewidziane są wysokie kary finansowe – do 20 % rocznego światowego obrotu firmy lub do 4 % jej globalnego przychodu, w zależności od tego, która wartość jest wyższa. Dodatkowo organ nadzorczy może nałożyć kary administracyjne, w tym zakazy przetwarzania danych.
Powiązane akty prawne
Rozporządzenie współistnieje z krajowymi przepisami o ochronie danych osobowych, w tym z Ustawą o ochronie danych osobowych z 2018 roku w Polsce. W praktyce przepisy krajowe muszą być zgodne z postanowieniami RODO, a wszelkie rozporządzenia krajowe mogą jedynie uzupełniać regulacje unijne, nie naruszając ich podstawowych zasad.
Wpływ na sektor publiczny i prywatny
Rozporządzenie dotyczy zarówno sektora publicznego, jak i prywatnego. W sektorze administracji publicznej wymaga m.in. publikacji rejestru przetwarzania danych oraz zapewnienia transparentności wobec obywateli. Przedsiębiorstwa muszą natomiast wdrożyć procedury zgodne z zasadą minimalizacji danych oraz zapewnić bezpieczeństwo przetwarzania, co nierzadko wiąże się z inwestycjami w systemy IT i szkolenia pracowników.