Ogólne rozporządzenie o ochronie danych

Z Wikipedii, wolnej encyklopedii
Przejdź do nawigacji Przejdź do wyszukiwania
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
Nazwa potoczna rozporządzenie o ochronie danych osobowych
Skrót nazwy RODO
Data wydania 27 kwietnia 2016
Miejsce publikacji Dziennik Urzędowy Unii Europejskiej L 119 4 maja 2016
Data wejścia w życie 25 maja 2018
Rodzaj aktu rozporządzenie
Przedmiot regulacji ochrona danych osobowych
Status obowiązujący
Zastrzeżenia dotyczące pojęć prawnych

Ogólne rozporządzenie o ochronie danych, inaczej rozporządzenie o ochronie danych osobowych, RODO (ang. General Data Protection Regulation, GDPR) – rozporządzenie unijne, zawierające przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.

Cel i okoliczności uchwalenia[edytuj | edytuj kod]

Celem rozporządzenia jest doprowadzenie do pełnej harmonizacji prawa w ramach UE i swobodnego przepływu danych osobowych[1]. W założeniu ma pozwolić mieszkańcom Unii Europejskiej na lepszą kontrolę ich danych osobowych oraz stanowić modernizację i ujednolicenie przepisów umożliwiających firmom ograniczanie biurokracji i korzystanie ze zwiększonego zaufania klientów[2]. Ogólne rozporządzenie o ochronie danych jest częścią pakietu UE dotyczącego reformy ochrony danych[3], razem z dyrektywą o ochronie danych w obszarze policji i wymiaru sprawiedliwości[4][2].

Rozporządzenie zostało przyjęte 27 kwietnia 2016. W momencie wejścia w życie (od 25 maja 2018[2]), po dwuletnim okresie przejściowym, zaczęło obowiązywać w krajach członkowskich UE bezpośrednio, bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego. Zastąpiło wówczas dyrektywę 95/46/WE[5][6].

Rozporządzenie dopuszcza pewne zmiany wprowadzane w ustawodawstwach krajów członkowskich. Nad polskimi przepisami pracowało Ministerstwo Cyfryzacji[7]. Zaproponowało ono likwidację urzędu Generalnego Inspektora Ochrony Danych Osobowych i zastąpienie go Prezesem Urzędu Ochrony Danych Osobowych[8]. 10 maja 2018 roku Sejm VIII kadencji uchwalił nową ustawę o ochronie danych osobowych[9], która zapewnia stosowanie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 o ochronie danych osobowych na terytorium Polski oraz ustanawia nowy organ właściwy w sprawie ochrony danych osobowych - Prezesa Urzędu Ochrony Danych Osobowych[10]. Ustawa weszła w życie 25 maja 2018 roku[9]

Nowe prawo wprowadza m.in.[2]:

  • łatwiejszy dostęp do danych (zapewnienie większej liczby informacji na temat sposobu przetwarzania danych i zapewnienie, aby informacje były dostępne w przejrzysty i zrozumiały sposób),
  • nowe prawo do przenoszenia danych (ułatwia przesyłanie danych osobowych pomiędzy dostawcami usług),
  • jaśniejsze prawo do usunięcia danych („prawo do bycia zapomnianym”),
  • prawo do bycia niezwłocznie poinformowanym w razie ataku hakerskiego na dane (firmy będą także zobligowane zawiadomić odpowiednie organy nadzorcze ds. ochrony danych),
  • technologie takie jak pseudonimizacja oraz szyfrowanie.

Według szacunków Unii Europejskiej, ujednolicone na całym kontynencie prawo ma przynieść 2,3 miliarda euro oszczędności rocznie[2]. Komisja Europejska ma złożyć sprawozdanie z oceny i przeglądu tego rozporządzenia do 25 maja 2020[2].

Chcemy ustanowić światowy standard [...] Prywatność jest dla nas priorytetem
Věra Jourová, europejska komisarz ds. sprawiedliwości [1]

Kary administracyjne[edytuj | edytuj kod]

Rozporządzenie reguluje ogólne warunki nakładania administracyjnych kar pieniężnych i wyróżnia dwa przedziały kar dla Administratorów Danych (ADO)[11][12][13]:

  • do 10 mln euro (w przypadku przedsiębiorcy – alternatywnie do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego). Kara ta dotyczy naruszeń związanych między innymi z niewywiązaniem się przez ADO ze swoich obowiązków takich jak: obowiązek informacyjny, brak uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrony danych, błędnie prowadzony rejestr czynności przetwarzania lub jego brak, nieprawidłowe zabezpieczenie systemów informatycznych, nieprzeprowadzenie oceny skutków dla ochrony danych, brak powołania Inspektora Ochrony Danych jeśli istniał taki obowiązek[11], etc.
  • do 20 mln euro (w przypadku przedsiębiorcy – alternatywnie do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego). Kara ta dotyczy między innymi: złamania przez ADO podstawowych zasad przetwarzania danych osobowych, w tym niedopilnowanie warunków pozyskania zgody, łamania praw osób, których dane dotyczą, nieprawidłowego przekazywania danych osobowych odbiorcom w państwach trzecich lub organizacjach międzynarodowych[11], etc.

Każda osoba, która poniosła szkodę w wyniku naruszenia postanowień RODO ma prawo wystąpić do ADO z roszczeniem o odszkodowanie za poniesioną szkodę. Administrator może zostać zwolniony z odpowiedzialności, jeżeli udowodni, że nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody[11].

Ma powstać specjalny Fundusz Ochrony Danych Osobowych, na który przeznaczy się 1% środków z kar[14]. Środki z Funduszu mają być przeznaczone na działalność edukacyjną i szerzenie wiedzy o ochronie danych[14].

Zgoda na przetwarzanie danych osobowych[edytuj | edytuj kod]

Wg RODO to firma/organizacja ma obowiązek wykazania, że zgoda na przetwarzanie została udzielona[15]. Zgoda musi być[15]:

  • dobrowolna,
  • konkretna,
  • specyficzna (zgoda jest ważna jeśli jest udzielona na konkretne użycie danych),
  • świadoma (a zatem wymagana jest przejrzystość),
  • wycofanie jej powinno być łatwe (użytkownik powinien mieć sposób sygnalizowania chęci wycofania zgody).

Minimalne wymogi dla zgody[15]:

  • tożsamość administratora/kontrolera danych,
  • cele każdej operacji przetwarzania,
  • typy pozyskiwanych i używanych danych, możliwość wycofania zgody,
  • informacja o ewentualnie podejmowanych automatycznie decyzjach,
  • informacja o ewentualnym przesyłaniu danych do krajów trzecich.

Zgody uzyskane przed majem 2018 zachowają ważność, jeśli spełniają wymogi RODO[15].

Brytyjskie ICO[16], polskie GIODO[17] czy Grupa robocza art. 29[18] przedstawiły swoje stanowiska na ten temat[19][20][21].

Urząd Ochrony Danych Osobowych[edytuj | edytuj kod]

Prezes Urzędu Ochrony Danych Osobowych (UODO) zastąpił (w Polsce) Generalnego Inspektora Ochrony Danych Osobowych (GIODO)[22][14][23]. Ma on podlegać jedynie ustawie, być powoływany przez Sejm (na wniosek premiera)[14].

Prezes Urzędu jako niezależny organ zyskał szereg nowych uprawnień. Może występować z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych[22]. Uzyskał także uprawnienie do nakładania kar finansowych bezpośrednio po stwierdzeniu naruszenia przepisów[22][23]. Zastępcy Prezesa są wybierani przez premiera RP[14] po zaopiniowaniu przez ministrów: sprawiedliwości, obrony narodowej i finansów oraz prokuratora generalnego[14].

Została wprowadzona certyfikacja[22]. Zgodnie z przepisami, zarówno Prezes Urzędu, jak i przedsiębiorcy są uprawnieni do wydawania certyfikatów[22]. Certyfikacji dokonuje się na podstawie kryteriów określonych przez Prezesa Urzędu bądź podmiot certyfikujący (w Polsce to np. Polskie Centrum Akredytacji)[22].

Skutki[edytuj | edytuj kod]

Facebook utworzył nowe centrum ochrony prywatności (Privacy Basics[24]), które będzie zawierało wszystkie główne ustawienia prywatności w jednym miejscu[25][26][27]. Ze względu na europejskie przepisy, w irlandzkim oddziale Facebooka w Dublinie (Facebook Ireland Limited, to druga obok Facebook Inc spółka Facebooka) miał zostać zatrudniony Deputy Chief Privacy Officer[24]. Osoba, która będzie na tym stanowisku ma mieć pełen dostęp do wszystkich zasobów przedsiębiorstwa, a jej działania mają być nadzorowane bezpośrednio przez Marka Zuckerberga[24]. Jednocześnie ma pozostawać w ciągłym kontakcie z lokalnym organem nadzorczym[24]. Aby wdrożyć GDPR, Facebook zatrudnił setki ludzi (inżynierów, analityków, prawników oraz specjalistów od polityk prywatności i bezpieczeństwa danych), którzy oceniają każdą poszczególną funkcję portalu pod kątem zgodności z jego wymaganiami[24]. Implementacja koncentruje się wokół dwóch kluczowych kwestii: transparentności przetwarzania oraz kontroli użytkownika nad swoimi danymi[24].

Amazon rozpoczął ulepszanie szyfrowania danych w swojej usłudze przechowywania w chmurze i uprościł umowę z klientami dotyczącą sposobu przetwarzania ich informacji[26][28]. Google musiało przeprojektować wiele umów dot. zgody, a także zmienić podstawową technologię, aby ułatwić usuwanie danych[26].

Japonia w 2017 powołała niezależną agencję zajmującą się skargami dotyczącymi prywatności, aby dostosować się do europejskich standardów (podczas negocjacji w sprawie nowej umowy handlowej między Japonią a UE)[29]. Izrael i Nowa Zelandia należą do kilku międzynarodowych partnerów, którzy zawarli umowy z UE, potwierdzając, że ich przepisy dotyczące ochrony danych są równe tym obowiązującym w Europie[29]. Inne kraje, od Kolumbii, przez Koreę Południową, po Bermudy, podobnie dostosują prawo krajowe[29]. W niektórych przypadkach ma to się odbyć dosłownie[29].

Przypisy[edytuj | edytuj kod]

  1. GIODO Generalny Inspektor Ochrony Danych Osobowych – Prawo – Reforma unijnych przepisów – Informacje Ogólne
  2. a b c d e f EUR-Lex – 32016R0679 – EN – EUR-Lex, eur-lex.europa.eu [dostęp 2018-03-07] (ang.).
  3. Data protection, European Commission – European Commission [dostęp 2018-03-07] (ang.).
  4. EUR-Lex – 310401_3 – EN – EUR-Lex, eur-lex.europa.eu [dostęp 2018-03-07] (ang.).
  5. EUR-Lex – 31995L0046 – EN – EUR-Lex, eur-lex.europa.eu [dostęp 2018-03-07] (ang.).
  6. Co zmienia nowe rozporządzenie o ochronie danych osobowych? – BiznesAlert.pl, „BiznesAlert.pl”, 7 lutego 2017 [dostęp 2018-03-07] (pol.).
  7. Projekt ustawy o ochronie danych osobowych – Certyfikaty Ochrony Danych Osobowych, „Certyfikaty Ochrony Danych Osobowych”, 14 września 2017 [dostęp 2017-12-10] (pol.).
  8. Projekt, legislacja.rcl.gov.pl [dostęp 2017-12-10].
  9. a b Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000)
  10. Druk nr 2410, sejm.gov.pl [dostęp 2018-05-16] (pol.).
  11. a b c d Aktualności – UJ, www.iod.uj.edu.pl [dostęp 2018-03-07] (pol.).
  12. PricewaterhouseCoopers, Jak duże będą kary finansowe za naruszenie przepisów RODO?, „PwC” [dostęp 2018-03-07] (pol.).
  13. Nie zastosujesz się do RODO, czekają cię kary. Wysokie, „prawo.gazetaprawna.pl” [dostęp 2018-03-07].
  14. a b c d e f Analiza strategiczna polskiego RODO, „Łukasz Olejnik”, 14 września 2017 [dostęp 2018-03-07].
  15. a b c d RODO, zgoda i przetwarzanie danych – analiza, „Łukasz Olejnik”, 8 stycznia 2018 [dostęp 2018-03-07].
  16. Consent, ico.org.uk, 19 lutego 2018 [dostęp 2018-03-07] (ang.).
  17. GIODO, „GIODO” [dostęp 2018-03-07].
  18. http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48849
  19. GIODO, „GIODO” [dostęp 2018-03-07].
  20. GIODO przesądzi o ważności dotychczasowych zgód na przetwarzanie danych osobowych, „prawo.gazetaprawna.pl” [dostęp 2018-03-07].
  21. GIODO, „GIODO” [dostęp 2018-03-07].
  22. a b c d e f Tomasz Osiej, Omówienie projektu ustawy o ochronie danych osobowych – GDPR.pl – RODO, ochrona danych osobowych w UE, DPO, inspektor ochrony danych, „GDPR.pl – RODO, ochrona danych osobowych w UE, DPO, inspektor ochrony danych”, 27 lutego 2018 [dostęp 2018-03-07] (pol.).
  23. a b Patrycja Kozik, Jak będzie wyglądał nowy organ ochrony danych osobowych w świetle odpowiedzi MC na wystąpienie RPO – GDPR.pl – RODO, ochrona danych osobowych w UE, DPO, inspektor ochrony danych, „GDPR.pl – RODO, ochrona danych osobowych w UE, DPO, inspektor ochrony danych”, 24 lipca 2017 [dostęp 2018-03-07] (pol.).
  24. a b c d e f Agnieszka Michalik, Jak wielcy gracze przygotowują się do RODO? Cz.1. – GDPR.pl – RODO, ochrona danych osobowych w UE, DPO, inspektor ochrony danych, „GDPR.pl – RODO, ochrona danych osobowych w UE, DPO, inspektor ochrony danych”, 10 lipca 2017 [dostęp 2018-03-07] (pol.).
  25. Giving You More Control of Your Privacy on Facebook | Facebook Newsroom [dostęp 2018-03-07] (ang.).
  26. a b c Sheera Frenkel, Tech Giants Brace for Europe’s New Data Privacy Rules, „The New York Times”, 2018, ISSN 0362-4331 [dostęp 2018-03-07] (ang.).
  27. Facebook begins privacy push ahead of tough new European law, „The Verge” [dostęp 2018-03-07].
  28. GDPR – Amazon Web Services (AWS), Amazon Web Services, Inc. [dostęp 2018-03-07] (ang.).
  29. a b c d Europe’s new data protection rules export privacy standards worldwide, „POLITICO”, 31 stycznia 2018 [dostęp 2018-03-07] (ang.).

Linki zewnętrzne[edytuj | edytuj kod]