Objaśnienie RODO

Czym jest RODO?

Ogólne rozporządzenie o ochronie danych (RODO) to ramy prawne mające na celu ochronę prywatności osób fizycznych w Unii Europejskiej (UE) i zapewnienie im większej kontroli nad sposobem gromadzenia, przetwarzania i wykorzystywania ich danych osobowych.

RODO ma zastosowanie do przetwarzania danych osobowych w dowolnym miejscu na świecie przez przedsiębiorstwa mające siedzibę w UE. Ma ono również globalne zastosowanie do każdej firmy spoza UE, która przetwarza dane osobowe osób fizycznych w trakcie oferowania towarów/usług w UE lub monitorowania zachowania osób w UE.

RODO zostało wdrożone do prawa w całej UE i Wielkiej Brytanii.

Jakie są kluczowe wymagania RODO?

RODO to pozytywny krok w kierunku budowania większego zaufania i przejrzystości między organizacjami a osobami fizycznymi. Niektóre z obszarów, które obejmuje, to:

  • Dane osobowe osób w UE: to wszelkie informacje związane z osobą fizyczną lub „podmiotem, którego dane dotyczą”, które mogą być wykorzystane do bezpośredniej lub pośredniej identyfikacji tej osoby. Obejmuje to nie tylko imię i nazwisko, adres e-mail lub zdjęcie, ale także dane karty kredytowej lub dane bankowe, informacje medyczne, przynależność polityczną, religijną lub inną, rejestry karne lub adres IP komputera. Zgodnie z RODO nie ma rozróżnienia między danymi osobowymi gromadzonymi w kontekście relacji między przedsiębiorstwami a konsumentami lub między przedsiębiorstwami, jednakże istnieją inne przepisy dotyczące sposobu korzystania z komunikacji elektronicznej, które różnią się w przypadku bezpośrednich kontaktów z konsumentami.
  • Sposób przetwarzania danych osobowych: dane osobowe mogą być gromadzone i przetwarzane tylko wtedy, gdy istnieje ku temu podstawa prawna. Zgoda jest jedną z podstaw, którą można wykorzystać do celów marketingu bezpośredniego, jednakże nie jest to jedyna zgodna z prawem podstawa. Inną podstawą zgodnego z prawem przetwarzania danych osobowych zgodnie z Art. 6 RODO jest wykonanie umowy, spełnienie obowiązku prawnego, lub gdy istnieje „uzasadniony interes” firmy lub strony trzeciej, który, gdyby się zastanowić, nie narusza prawa osoby fizycznej do prywatności.
  • Prawa osób fizycznych: osoby fizyczne mają prawo zażądać: dostępu do swoich danych osobowych, poprawienia w nich błędów, usunięcia swoich danych osobowych i/lub ich eksportu. Mogą również sprzeciwić się przetwarzaniu ich danych osobowych lub poprosić o ograniczenie działań związanych z przetwarzaniem.
  • Naruszenia ochrony danych: istnieje obowiązek zgłaszania niektórych rodzajów naruszeń ochrony danych odpowiedniemu organowi nadzorczemu i osobom, których one dotyczą (w Wielkiej Brytanii odpowiednim organem jest Information Commissioner’s Office (ICO)).
  • Bezpieczeństwo danych i systemu: dane osobowe muszą być chronione przy użyciu odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do zagrożeń dla prywatności związanych z każdym konkretnym fragmentem danych osobowych przez cały cykl ich życia.
  • Przekazywanie danych za granicę: dane osobowe mogą być przekazywane poza Europę tylko w ograniczonych okolicznościach, w tym: i) do krajów pozaeuropejskich, które Komisja Europejska uznała za zapewniające odpowiedni poziom ochrony danych; ii) w przypadku gdy strony przekazu stosują standardowe klauzule ochrony danych zatwierdzone przez Komisję Europejską; iii) w przypadku gdy istnieją zatwierdzone kodeksy postępowania lub certyfikaty; lub iv) w przypadku, gdy „Wiążące reguły korporacyjne” zatwierdzone przez Komisję Europejską zostały przyjęte przez grupy korporacyjne.
  • Przejrzystość: informacje o ochronie prywatności i umowy z użytkownikami muszą być proste, jasne i łatwe do zrozumienia. Podczas gromadzenia danych osobowych należy wyjaśnić, między innymi, do czego dane będą wykorzystywane, w jaki sposób i jak długo będą przechowywane, na jakiej podstawie prawnej są przetwarzane i jakie prawa przysługują danej osobie. Po zgodnym z prawem zebraniu danych, dane osobowe muszą być wykorzystywane wyłącznie do celów, dla których zostały zebrane i w ścisłej zgodności z informacjami przekazanymi danej osobie.

Co RODO oznacza dla firm?

W RODO chodzi o jasne, uczciwe, przejrzyste i etyczne postępowanie z danymi osobowymi. Dotyczy to firm, które są administratorami danych (osoba / firma, która określa sposób przetwarzania danych osobowych) lub podmiotami przetwarzającymi dane (osoba / firma, która przetwarza dane osobowe na polecenie administratora danych). Jeśli jesteś taką organizacją, musisz upewnić się, że chronisz dane, których używasz, oraz prywatność osób, od których je zebrałeś(-aś), podobnie jak każdy inny zasób.

Oto pięć prostych kroków, które można podjąć w celu zapewnienia zgodności z RODO:

  1. Zabezpiecz swoje systemy: upewnij się, że systemy, które gromadzą, przetwarzają i przechowują dane osobowe, są bezpieczne. Należy wziąć pod uwagę takie kwestie, jak bezpieczeństwo fizyczne (np. zamki), bezpieczeństwo cybernetyczne (np. oprogramowanie antywirusowe), bezpieczeństwo systemu (np. zapory sieciowe), bezpieczeństwo danych (np. szyfrowanie) i bezpieczeństwo urządzeń (np. uwierzytelnianie).
  2. Dokumentuj przepływy danych: mapuj przepływy danych i informacji, aby pomóc w dokonaniu właściwej oceny zagrożeń dla prywatności. Sprawdź, które z Twoich produktów i usług gromadzą i przetwarzają dane osobowe. Określ, jakie dane osobowe są gromadzone, dlaczego są gromadzone, w jaki sposób są wykorzystywane, udostępniane, przechowywane, chronione i usuwane. Określ, czy dane te są wrażliwymi danymi osobowymi i czy jesteś administratorem lub podmiotem przetwarzającym te dane.
  3. Miej zgodną z prawem podstawę przetwarzania: określ zgodną z prawem podstawę przetwarzania danych osobowych i udokumentuj ją. Istnieje sześć podstaw prawnych, na których można się oprzeć:
    • Zgoda: gdy istnieje rzeczywisty wybór i kontrola. Zgoda musi być jednoznaczna, dobrowolna, świadoma i wyrażona poprzez wyraźne działanie potwierdzające.
    • Uzasadniony interes: może mieć zastosowanie, gdy dane osobowe są wykorzystywane w sposób, którego osoba fizyczna mogłaby w sposób racjonalny oczekiwać; wpływ jest minimalny i istnieje uzasadniony interes, który jest niezbędny do przetwarzania.
    • Umowa: wypełnienie zobowiązań umownych lub prośba o zrobienie czegoś, na przykład dostarczenie wyceny przed zawarciem umowy.
    • Obowiązek prawny: przestrzeganie prawa lub obowiązku ustawowego.
    • Istotny interes: ochrona czyjegoś życia.
    • Zadanie publiczne: dla funkcji publicznych lub zadań w interesie publicznym.
      Biuro Komisarza ds. Informacji (Information Commissioner’s Office) udostępnia interaktywne narzędzie z wytycznym dotyczącymi podstawy prawnej, które mogą pomóc w określeniu najbardziej odpowiedniej podstawy prawnej przetwarzania danych osobowych.
  4. Przeglądaj powiadomienia i komunikaty: należy przejrzeć i zaktualizować powiadomienia o ochronie prywatności, aby upewnić się, że odzwierciedlają one działania związane z przetwarzaniem danych osobowych. Powinny one wskazywać, na jakiej podstawie prawnej opiera się przetwarzanie danych osobowych i wyraźnie określać strony trzecie, którym udostępnia się dane osobowe. Jeśli opierasz się na zgodzie, upewnij się, że prośby o zgodę są jasne i nie zawierają wstępnie zaznaczonych pól wyboru. Dokonaj przeglądu i aktualizacji lub ustal, czy wymagane są jakiekolwiek inne oświadczenia lub informacje dotyczące gromadzenia, wykorzystywania i przetwarzania danych osobowych.
  5. Federalna ustawa o ochronie danych osobowych: wyrażając zgodę na korzystanie z niniejszych Usług, użytkownik wyraźnie zgadza się na przetwarzanie przez Extu jego danych osobowych w ramach świadczenia tych usług, zgodnie z federalną ustawą o ochronie danych osobowych przechowywanych przez osoby prywatne.
  6. Ustanów wewnętrzne polityki i procedury: ustanów wytyczne i sformalizowane procesy, które pomogą ci radzić sobie z sytuacjami takimi jak skargi dotyczące prywatności, naruszenie ochrony danych i wnioski o dostęp do danych osobowych.

Należy również porozmawiać ze swoimi doradcami prawnymi o tym, co należy robić, by zachować zgodność z RODO.

Inne zasoby dotyczące RODO

Więcej przydatnych informacji na temat RODO można uzyskać od brytyjskiego Biura Komisarza ds. Informacji (ICO) – Przewodnik po RODO.

Niniejszy materiał ma charakter informacyjny i nie stanowi porady prawnej. Aby zrozumieć pełny wpływ RODO na jakiekolwiek działania związane z przetwarzaniem danych, należy skonsultować się z niezależnym prawnikiem i/lub specjalistą ds. ochrony prywatności.