RODO jest jednym z najpopularniejszych słów kluczowych na jakie możemy trafić w internecie od początku 2018.
W tym artykule podaję podstawowe informacje nt tej regulacji, która weszła w życie 25 maja 2018 roku.
Co to jest RODO?
Rozporządzenie o Ochronie Danych Osobowych (RODO) to unijne prawo, które w zupełnie inny, niż dotychczas, sposób definiuje zasady przetwarzania, wykorzystywania i przechowywania danych osobowych. Przepisy te obowiązują od 25 maja 2018 roku i zastąpiły przepisy dotychczasowej polskiej ustawy o ochronie danych osobowych.
RODO jest skrótem używam w Polsce. W języku angielskim obowiązuje termin „General Data Protection Regulation (GDPR)”.
Pełna nazwa regulacji to:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
EN:
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC
Oficjalny dokument:
- do pobrania ze strony GIODO (88 stron, PDF) - https://giodo.gov.pl/pl/file/10574
- Europejski katalog przepisów - https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG
Kogo dotyczy RODO
Przepisy te obejmują wszystkie podmioty, które gromadzą i wykorzystują dane dotyczące osób fizycznych – zarówno firmy jak i sektor publiczny (administracja – urzędy, domy kultury, ośrodki pomocy społecznej itp.)
Regulacje te dotyczą również osób prywatnych, które prowadzą tematyczne serwisy internetowe, blogi, strony internetowe o ile w ramach swojej aktywności:
- prowadzą działalność zarobkową np. poprzez afiliację czy też osadzanie innych skryptów/reklam, które track’ują user’ów;
- organizują konkursy sponsorowane
- itp.
Zmiany jakie wprowadza RODO
Rozporządzenie to największa zmiana w podejściu do ochrony danych osobowych w ostatnich latach.
Najważniejsze zmiany to:
- Bezpośrednia odpowiedzialność przetwarzającego dane - złamanie zapisów RODO to ryzyko otrzymania kary wysokiej finansowej;
- Obowiązek zgłaszanie naruszeń - w ciągu 72 godzin od wykrycia potencjalnego wycieku danych admin danych musi zgłosić takie zdarzenie do właściwego organu nadzoru (niektórzy określają to jako „samodonos”);
- Nowe i rozszerzone prawa obywateli:
- „prawo do bycia zapomnianym” (skierowane do obywateli, którzy życzą sobie, by ich dane osobowe zostały usunięte),
- uprawnienie do żądania przeniesienia danych,
- wzmocnione prawo dostępu i wglądu obywatela w jego dane.
- Ograniczenia profilowania – admin danych musi otrzymać zgodę na profilowanie przed rozpoczęciem zbierania danych, surowy obowiązek informowania o profilowaniu oraz konieczność akceptacji braku zgody na profilowanie;
- Wyznaczenie Inspektora Ochrony Danych Osobowych
- Obowiązkowa inwentaryzacja danych i wymagania związane z dokumentacją - kontrolujący i przetwarzający dane są zobowiązani do przygotowania i utrzymania rejestrów dot. przetwarzanych danych, uwzględniających m.in.: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, adresatów danych, rejestry międzynarodowych transferów danych, rejestry naruszeń i incydentów, rozwój i utrzymanie zasad ochrony prywatności dla każdej linii produktowej, przechowywanie potwierdzonych zgód na przetwarzanie danych itd.;
- Rozbudowane zgody – administratorzy danych muszą uzyskać nowe lub uzupełnić wcześniej zebrane zgody na przetwarzanie danych osobowych od osób, których dane dotyczą;
- Rozbudowany obowiązek informacyjny - w komunikacji z użytkownikami musi być jasno podane kto, jak i dlaczego przetwarzane dane osobowe;
- Ocena wpływu ochrony danych – obowiązek wykonania dodatkowych analiz przed podjęciem działań „wysokiego ryzyka”, takich jak na przykład profilowanie na dużą skalę czy wykorzystanie danych szczególnych kategorii (takich jak dane dotyczące zdrowia).;
- Transfer danych poza Unię Europejską - przesył danych poza EU jest obwarowany wymogiem zachowania odpowiedniego poziomu zabezpieczeń.
- Wdrożenie procedury „privacy by design” – w tworzeniu nowych procesów / zmian w organizacjach należy uwzględnić bezpieczeństwo przetwarzania danych osobowych, a zatem wbudować mechanizmy ochrony prywatności;
- Procedura „privacy by default” - administrator będzie zobowiązany wdrożyć takie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania. Dotyczyć to będzie ilości zbieranych danych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.
Źródła:
- https://giodo.gov.pl/pl/569/9276
- http://www.lex.pl/czytaj/-/artykul/10-rzeczy-ktore-musisz-wiedziec-o-rodo
- https://www.pwc.pl/pl/artykuly/2017/10-najwazniejszych-zmian-ktore-wprowadza-rodo.html