Logotyp Fundacji Edukacji Prawnej

Rozporządzenie Parlamentu Europejskiego ws. ochrony danych osobowych

Udostępnij dalej:
W 2018 r. wejdzie w życie nowe rozporządzenie Parlamentu Europejskiego i Rady (UE) ws. ochrony danych osobowych 2016/679 z dnia 27 kwietnia 2016 r., w skrócie RODO. Nowe, kompleksowe uregulowanie, od 25 maja 2018 roku, zastąpi polską ustawę o ochronie danych osobowych. Rozporządzenie stanowi odpowiedź Wspólnoty Europejskiej na nieprzewidziany w dotychczasowych rozwiązaniach, rozwój serwisów społecznościowych, usług chmury, mobilnych i geolokalizacji. Celem RODO jest m.in. zapewnienie spójnego stopnia ochrony osób fizycznych w Unii, likwidacja czynników hamujących swobodny przepływ danych osobowych na rynku wewnętrznym i uatrakcyjnienie rynku UE względem państw trzecich.
Wydaje się, że najbardziej doniosłą zmianą wprowadzaną przez RODO jest rozszerzenie zasięgu obowiązywania europejskiego prawa dotyczącego ochrony danych osobowych na podmioty założone poza UE, ale prowadzące swoją działalność na terytorium Wspólnoty. RODO znajdzie zastosowanie w stosunku do podmiotów zbierających i przetwarzających dane na terytorium UE niezależnie od siedziby przedsiębiorstwa. Organizacje przetwarzający dane osobowe pochodzące z innych firm, w trakcie świadczenia usług na ich rzecz (jak na przykład firmy dostarczające rozwiązania w chmurze czy firmy hostingowe), będą ponosić bezpośrednią odpowiedzialność za złamanie zapisów RODO, włączając w to ryzyko otrzymania kary finansowej.. RODO przewiduje kary finansowe dla podmiotów naruszających jego postanowienia w wysokości do 4% rocznego obrotu albo 20 milionów euro (w zależności, która kwota jest większa). Jest to oczywiście kara stopniowalna, np. przedsiębiorstwo za niepoinformowanie odpowiednich organów o naruszeniu ochrony danych osobowych albo nieprzeprowadzenia oceny stopnia szkodliwości naruszenia może zostać ukarane karą w wysokości 2% rocznego obrotu. Naruszenie ochrony danych osobowych, które może zagrażać prawom i wolności jednostek podlega obligatoryjnemu zgłoszeniu odpowiedniemu organowi. Informację taką należy złożyć w przeciągu 72 godzin od dowiedzenia się o naruszeniu.
Większość z wprowadzanych instrumentów prawnych ma na celu zapewnienie przejrzystości w zarządzaniu posiadanymi danymi. Z wprowadzeniem RODO wiążą się nowe obowiązki nakładane na przedsiębiorców przetwarzających dane osobowe. Pod hasłem „privacy by design”, zawarto konkretne prawne rozwiązania, których celem jest ochrona prywatności na każdym kroku, od początku budowania nowej platformy internetowej itp. Unijny prawodawca nakłada na usługodawcę przetwarzającego dane obowiązek zastosowania odpowiednio efektywnych rozwiązań technicznych i organizacyjnych. Dodatkowo przedsiębiorca ma zachowywać tylko niezbędne minium danych, potrzebnych przy realizowaniu swojej usługi (minimalizacja ilości przechowywanych danych). Obok tego rozwiązania pojawi się również tzw. „prawem do bycia zapomnianym”. Rozumie się przez to możliwość usunięcia danych pod warunkiem spełnienia wymienionych w rozporządzeniu warunków. Zmieniają się także warunki udzielenia zgody na przetwarzanie danych osobowych. Prośba o zgodę na przetwarzanie danych musi zostać przekazana jasnym, zrozumiałym językiem z jednoczesnym wskazaniem celu zbierania danych. Cofnięcie zgody ma być równie łatwe, co jej wyrażenie. RODO wprowadza także prawo do otrzymania danych osobowych dotyczących jednostki w ogólnie dostępnym formacie i przekazania ich do wybranego przez siebie przedsiębiorcy.
Autor: Gracjan Szczombrowski