Ogólne rozporządzenie o ochronie danych

rozporządzenie Unii Europejskiej regulujące przetwarzanie danych osobowych

Ogólne rozporządzenie o ochronie danych, inaczej rozporządzenie o ochronie danych osobowych, OROD lub RODO (ang. General Data Protection Regulation, GDPR) – rozporządzenie unijne, zawierające przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
Nazwa potoczna

Ogólne rozporządzenie o ochronie danych lub rozporządzenie o ochronie danych osobowych

Skrót nazwy

właściwie OROD, ale częściej RODO

Organizacja

 Unia Europejska

Data wydania

27 kwietnia 2016

Miejsce publikacji

Dziennik Urzędowy Unii Europejskiej L 119 4 maja 2016

Data wejścia w życie

25 maja 2018

Rodzaj aktu

rozporządzenie

Przedmiot regulacji

ochrona danych osobowych

Status

obowiązujący

Zastrzeżenia dotyczące pojęć prawnych

Cel i okoliczności uchwalenia

edytuj

Celem rozporządzenia jest doprowadzenie do pełnej harmonizacji prawa w ramach UE i swobodnego przepływu danych osobowych[1]. W założeniu ma pozwolić mieszkańcom Unii Europejskiej na lepszą kontrolę ich danych osobowych oraz stanowić modernizację i ujednolicenie przepisów umożliwiających firmom ograniczanie biurokracji i korzystanie ze zwiększonego zaufania klientów[2]. Rozporządzenie ma też na celu zaktualizować przepisy, by te spełniały swoje funkcje w XXI wieku i odpowiadały na zagrożenia wynikające z użycia w przetwarzaniu danych osobowych nowoczesnych technologii[3]. Ogólne rozporządzenie o ochronie danych jest częścią pakietu UE dotyczącego reformy ochrony danych[4], razem z dyrektywą o ochronie danych w obszarze policji i wymiaru sprawiedliwości[5][2].

Rozporządzenie zostało przyjęte 27 kwietnia 2016. W momencie wejścia w życie (od 25 maja 2018[2]), po dwuletnim okresie przejściowym, zaczęło obowiązywać w krajach członkowskich UE bezpośrednio, bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego. Zastąpiło wówczas dyrektywę 95/46/WE[6][7].

Rozporządzenie dopuszcza pewne zmiany wprowadzane w ustawodawstwach krajów członkowskich. Nad polskimi przepisami pracowało Ministerstwo Cyfryzacji[8]. Zaproponowało ono likwidację urzędu Generalnego Inspektora Ochrony Danych Osobowych i zastąpienie go Prezesem Urzędu Ochrony Danych Osobowych[9]. 10 maja 2018 roku Sejm VIII kadencji uchwalił nową ustawę o ochronie danych osobowych[10], która zapewnia stosowanie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 o ochronie danych osobowych na terytorium Polski oraz ustanawia nowy organ właściwy w sprawie ochrony danych osobowych – Prezesa Urzędu Ochrony Danych Osobowych[11]. Ustawa weszła w życie 25 maja 2018 roku[10].

Nowe prawo wprowadza m.in.[2]:

  • łatwiejszy dostęp do danych (zapewnienie większej liczby informacji na temat sposobu przetwarzania danych i zapewnienie, aby informacje były dostępne w przejrzysty i zrozumiały sposób),
  • nowe prawo do przenoszenia danych (ułatwia przesyłanie danych osobowych pomiędzy dostawcami usług),
  • jaśniejsze prawo do usunięcia danych („prawo do bycia zapomnianym”),
  • prawo do bycia niezwłocznie poinformowanym w razie ataku hakerskiego na dane (firmy będą także zobligowane zawiadomić odpowiednie organy nadzorcze ds. ochrony danych),
  • technologie takie jak pseudonimizacja oraz szyfrowanie.

Według szacunków Unii Europejskiej, ujednolicone na całym kontynencie prawo ma przynieść 2,3 miliarda euro oszczędności rocznie[2]. Zgodnie z RODO, Komisja Europejska składa regularnie sprawozdania z oceny i przeglądu tego rozporządzenia: pierwsze po dwóch latach, później zaś – co 4 lata; w sprawozdaniu z 2020 roku funkcjonowanie nowych przepisów zostało ocenione pozytywnie[12].

Zasady przetwarzania danych osobowych

edytuj

Rozporządzenie opiera się na siedmiu głównych zasadach przetwarzania danych osobowych, które są punktem wyjścia do przepisów szczególnych[13].

  1. Zasada rzetelności, zgodności z prawem i przejrzystości.
  2. Zasada ograniczenia celu przetwarzania.
  3. Zasada minimalizacji danych.
  4. Zasada prawidłowości.
  5. Zasada ograniczenia przechowywania.
  6. Zasada integralności i poufności.
  7. Zasada rozliczalności.

Chcemy ustanowić światowy standard [...] Prywatność jest dla nas priorytetem

Věra Jourová, europejska komisarz ds. sprawiedliwości [1]

Kary administracyjne

edytuj

Rozporządzenie reguluje ogólne warunki nakładania administracyjnych kar pieniężnych i wyróżnia dwa przedziały kar dla Administratorów Danych (ADO)[14][15][16]:

  • do 10 mln euro (w przypadku przedsiębiorcy – alternatywnie do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego). Kara ta dotyczy naruszeń związanych między innymi z niewywiązaniem się przez ADO ze swoich obowiązków takich jak: obowiązek informacyjny, brak uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrony danych, błędnie prowadzony rejestr czynności przetwarzania lub jego brak, nieprawidłowe zabezpieczenie systemów informatycznych, nieprzeprowadzenie oceny skutków dla ochrony danych, brak powołania Inspektora Ochrony Danych, jeśli istniał taki obowiązek[14] etc.
  • do 20 mln euro (w przypadku przedsiębiorcy – alternatywnie do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego). Kara ta dotyczy między innymi: złamania przez ADO podstawowych zasad przetwarzania danych osobowych, w tym niedopilnowanie warunków pozyskania zgody, łamania praw osób, których dane dotyczą, nieprawidłowego przekazywania danych osobowych odbiorcom w państwach trzecich lub organizacjach międzynarodowych[14] etc.

Każda osoba, która poniosła szkodę w wyniku naruszenia postanowień RODO, ma prawo wystąpić do ADO z roszczeniem o odszkodowanie za poniesioną szkodę. Administrator może zostać zwolniony z odpowiedzialności, jeżeli udowodni, że nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody[14].

Do dnia 22.08.2024 nałożono 2433 kary.[17]

Prezes Urzędu Ochrony Danych Osobowych

edytuj

Prezes Urzędu Ochrony Danych Osobowych (PUODO) zastąpił (w Polsce) Generalnego Inspektora Ochrony Danych Osobowych (GIODO)[18][19][20]. W zakresie wykonywania swoich zadań podlega jedynie ustawie. Jest powoływany przez Sejm za zgodą Senatu. Został on utworzony ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych[10]. Zastępcy Prezesa Urzędu są powoływani przez Prezesa Urzędu.

Została wprowadzona certyfikacja[18]. Zgodnie z przepisami, zarówno Prezes Urzędu, jak i przedsiębiorcy są uprawnieni do wydawania certyfikatów[18]. Certyfikacji dokonuje się na podstawie kryteriów określonych przez Prezesa Urzędu bądź podmiot certyfikujący (w Polsce to np. Polskie Centrum Akredytacji)[18].

Prezes Urzędu jako niezależny organ zyskał szereg nowych uprawnień. Może występować z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych[18]. Uzyskał także uprawnienie do nakładania kar finansowych bezpośrednio po stwierdzeniu naruszenia przepisów[18][20].

W 2019 r. UODO nałożyło 2,2 mln zł kary na sklep internetowy Morele.net. Było to było konsekwencją wycieku danych klientów w 2018 r., do którego doszło po ataku hakerskim. Urząd stał na stanowisku, że dane klientów nie zostały zabezpieczone w wystarczającym stopniu. Firma skutecznie odwołała się od tej decyzji do Naczelnego Sądu Administracyjnego, jednak UODO przeprowadziło kolejne postępowanie i w lutym 2024 r. poinformowało o nałożeniu jeszcze wyższej kary na kwotę ponad 3,8 mln zł. Spółka zapowiedziała odwołanie i od tej decyzji[21][22].

UODO ma też prawo nakładania kar na podmioty, które nie chcą współpracować z Urzędem i nie odpowiadają na korespondencję w sprawie możliwego naruszenia przepisów. W 2023 r. UODO poinformowało o nałożeniu kar na kilka firm za brak współpracy z organem nadzorczym w ramach wykonywanych przez siebie zadań oraz za niezapewnienie dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań[23]. Wysokość kar wyniosła od 14 tys. do 33 tys. zł.[24][25]

Zgoda na przetwarzanie danych osobowych

edytuj

Według RODO to firma/organizacja ma obowiązek wykazania, że zgoda na przetwarzanie została udzielona[26]. Zgoda musi być[26]:

  • dobrowolna,
  • konkretna,
  • specyficzna (zgoda jest ważna, jeśli jest udzielona na konkretne użycie danych),
  • świadoma (a zatem wymagana jest przejrzystość),
  • wycofanie jej powinno być łatwe (użytkownik powinien mieć sposób sygnalizowania chęci wycofania zgody).

Minimalne wymogi dla zgody[26]:

  • tożsamość administratora/kontrolera danych,
  • cele każdej operacji przetwarzania,
  • typy pozyskiwanych i używanych danych, możliwość wycofania zgody,
  • informacja o ewentualnie podejmowanych automatycznie decyzjach,
  • informacja o ewentualnym przesyłaniu danych do krajów trzecich.

Zgody uzyskane przed majem 2018 zachowają ważność, jeśli spełniają wymogi RODO[26].

Brytyjskie ICO(inne języki)[27], polskie GIODO[28] czy Grupa robocza art. 29[29] przedstawiły swoje stanowiska na ten temat[30][31][32].

Wprowadzenie RODO w Polsce wprowadziło istotne zmiany w procesie szukania pracy[33]. Według nowych przepisów potencjalny pracodawca musi uzyskać zgodę na przetwarzanie danych osobowych zawartych w CV kandydata. Żeby proces rekrutacji przebiegł w sposób legalny, do CV kandydata powinna zostać załączona klauzula ze zgodą na przetwarzanie w.w. danych[34].

Skutki

edytuj

Facebook utworzył nowe centrum ochrony prywatności (Privacy Basics[35]), które będzie zawierało wszystkie główne ustawienia prywatności w jednym miejscu[36][37][38]. Ze względu na europejskie przepisy w irlandzkim oddziale Facebooka w Dublinie (Facebook Ireland Limited, to druga obok Facebook Inc spółka Facebooka) miał zostać zatrudniony Deputy Chief Privacy Officer[35]. Osoba na tym stanowisku ma mieć pełny dostęp do wszystkich zasobów przedsiębiorstwa, a jej działania mają być nadzorowane bezpośrednio przez Marka Zuckerberga[35]. Jednocześnie ma pozostawać w ciągłym kontakcie z lokalnym organem nadzorczym[35]. Aby wdrożyć GDPR, Facebook zatrudnił setki ludzi (inżynierów, analityków, prawników oraz specjalistów od polityk prywatności i bezpieczeństwa danych), którzy oceniają każdą poszczególną funkcję portalu pod kątem zgodności z jego wymaganiami[35]. Implementacja koncentruje się wokół dwóch kluczowych kwestii: transparentności przetwarzania oraz kontroli użytkownika nad swoimi danymi[35].

Amazon rozpoczął ulepszanie szyfrowania danych w swojej usłudze przechowywania w chmurze i uprościł umowę z klientami dotyczącą sposobu przetwarzania ich informacji[37][39]. Google musiało przeprojektować wiele umów dot. zgody, a także zmienić podstawową technologię, aby ułatwić usuwanie danych[37].

Japonia w 2017 powołała niezależną agencję zajmującą się skargami dotyczącymi prywatności, aby dostosować się do europejskich standardów (podczas negocjacji w sprawie nowej umowy handlowej między Japonią a UE)[40]. Izrael i Nowa Zelandia należą do kilku międzynarodowych partnerów, którzy zawarli umowy z UE, potwierdzając, że ich przepisy dotyczące ochrony danych są równe tym obowiązującym w Europie[40]. Inne kraje, od Kolumbii, przez Koreę Południową, po Bermudy, podobnie dostosują prawo krajowe[40]. W niektórych przypadkach ma to się odbyć dosłownie[40].

Przypisy

edytuj
  1. GIODO Generalny Inspektor Ochrony Danych Osobowych – Prawo – Reforma unijnych przepisów – Informacje Ogólne.
  2. a b c d e Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (CELEX: 32016R0679).
  3. Dlaczego wprowadzono RODO? | RODO Technologia [online], rodotechnologia.pl [dostęp 2018-09-03] [zarchiwizowane z adresu 2018-09-03].
  4. Data protection [online], European Commission – European Commission [dostęp 2018-03-07] (ang.).
  5. EUR-Lex – 310401_3 – EN – EUR-Lex [online], eur-lex.europa.eu [dostęp 2018-03-07] (ang.).
  6. EUR-Lex – 31995L0046 – EN – EUR-Lex [online], eur-lex.europa.eu [dostęp 2018-03-07] (ang.).
  7. Co zmienia nowe rozporządzenie o ochronie danych osobowych? – BiznesAlert.pl, „BiznesAlert.pl”, 7 lutego 2017 [dostęp 2018-03-07].
  8. Projekt ustawy o ochronie danych osobowych – Certyfikaty Ochrony Danych Osobowych, „Certyfikaty Ochrony Danych Osobowych”, 14 września 2017 [dostęp 2017-12-10] [zarchiwizowane z adresu 2017-12-10].
  9. Projekt [online], legislacja.rcl.gov.pl [dostęp 2017-12-10].
  10. a b c Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781).
  11. Druk nr 2410 [online], sejm.gov.pl [dostęp 2018-05-16].
  12. RODO skutecznie chroni dane obywateli. Oficjalna strona internetowa Unii Europejskiej, 2020-06-26. [dostęp 2021-07-09].
  13. 7 Zasad przetwarzania danych osobowych [online], PRAK§YMA, 1 kwietnia 2020 [dostęp 2020-04-01] (pol.).
  14. a b c d Aktualności – UJ [online], www.iod.uj.edu.pl [dostęp 2018-03-07].
  15. PricewaterhouseCoopers, Jak duże będą kary finansowe za naruszenie przepisów RODO?, „PwC” [dostęp 2018-03-07].
  16. Nie zastosujesz się do RODO, czekają cię kary. Wysokie, „prawo.gazetaprawna.pl” [dostęp 2018-03-07].
  17. GDPR Enforcement Tracker - list of GDPR fines [online], www.enforcementtracker.com [dostęp 2024-08-22].
  18. a b c d e f Tomasz Osiej, Omówienie projektu ustawy o ochronie danych osobowych – GDPR.pl – RODO, ochrona danych osobowych w UE, DPO, inspektor ochrony danych, „GDPR.pl – RODO, ochrona danych osobowych w UE, DPO, inspektor ochrony danych”, 27 lutego 2018 [dostęp 2018-03-07] (pol.).
  19. Analiza strategiczna polskiego RODO, „Łukasz Olejnik”, 14 września 2017 [dostęp 2018-03-07].
  20. a b Patrycja Kozik, Jak będzie wyglądał nowy organ ochrony danych osobowych w świetle odpowiedzi MC na wystąpienie RPO – GDPR.pl – RODO, ochrona danych osobowych w UE, DPO, inspektor ochrony danych, „GDPR.pl – RODO, ochrona danych osobowych w UE, DPO, inspektor ochrony danych”, 24 lipca 2017 [dostęp 2018-03-07].
  21. Aktualności - UODO [online], uodo.gov.pl [dostęp 2024-03-21] (pol.).
  22. 3,8 mln zł zapłaci sklep internetowy Morele.net za wyciek danych osobowych? Prezes UODO ponownie ukarał firmę [online], www.infor.pl [dostęp 2024-03-21] (ang.).
  23. Aktualności - UODO [online], uodo.gov.pl [dostęp 2024-03-21] (pol.).
  24. Decyzje Prezesa UODO - UODO [online], uodo.gov.pl [dostęp 2024-03-21] (pol.).
  25. Decyzje Prezesa UODO - UODO [online], uodo.gov.pl [dostęp 2024-03-21] (pol.).
  26. a b c d RODO, zgoda i przetwarzanie danych – analiza, „Łukasz Olejnik”, 8 stycznia 2018 [dostęp 2018-03-07].
  27. Consent [online], ico.org.uk, 19 lutego 2018 [dostęp 2018-03-07] (ang.).
  28. GIODO, „GIODO” [dostęp 2018-03-07].
  29. Announcement: server inaccessibility – European Commission [online], ec.europa.eu [dostęp 2018-09-15] (ang.).
  30. GIODO, „GIODO” [dostęp 2018-03-07].
  31. GIODO przesądzi o ważności dotychczasowych zgód na przetwarzanie danych osobowych, „prawo.gazetaprawna.pl” [dostęp 2018-03-07].
  32. GIODO, „GIODO” [dostęp 2018-03-07].
  33. RODO: Jakie dane będziesz musiał podać przyszłemu szefowi [online], serwisy.gazetaprawna.pl, 12 maja 2018 [dostęp 2024-03-21] (pol.).
  34. Aktualna klauzula RODO do CV 2024. Jak poprawnie sformułować zgodę? [online], LexDigital, 20 marca 2024 [dostęp 2024-03-21] (pol.).
  35. a b c d e f Agnieszka Michalik, Jak wielcy gracze przygotowują się do RODO? Cz.1. – GDPR.pl – RODO, ochrona danych osobowych w UE, DPO, inspektor ochrony danych, „GDPR.pl – RODO, ochrona danych osobowych w UE, DPO, inspektor ochrony danych”, 10 lipca 2017 [dostęp 2018-03-07].
  36. Giving You More Control of Your Privacy on Facebook | Facebook Newsroom [online] [dostęp 2018-03-07] (ang.).
  37. a b c Sheera Frenkel, Tech Giants Brace for Europe’s New Data Privacy Rules, „The New York Times”, 2018, ISSN 0362-4331 [dostęp 2018-03-07] (ang.).
  38. Facebook begins privacy push ahead of tough new European law, „The Verge” [dostęp 2018-03-07].
  39. GDPR – Amazon Web Services (AWS) [online], Amazon Web Services, Inc. [dostęp 2018-03-07] (ang.).
  40. a b c d Europe’s new data protection rules export privacy standards worldwide, „POLITICO”, 31 stycznia 2018 [dostęp 2018-03-07] (ang.).

Linki zewnętrzne

edytuj