RODO: Ochrona danych osobowych - co zmieni się w przepisach?

Ostateczny tekst rozporządzenia w zakresie ochrony danych osobowych (RODO) został zatwierdzony przez Parlament Europejski 14 kwietnia 2016 r. oraz oczekuje na opublikowanie. Rozporządzenie będzie musiało być stosowane (w tym bezpośrednio przez administratorów i podmioty przetwarzające) po upływie dwóch lat od jego wejścia w życie, tj. mniej więcej od połowy 2018 r.. Niemniej jednak już teraz warto zacząć rozważać wpływ zmian na działalność gospodarczą oraz zacząć dostosowywać obowiązujące w firmach regulacje i struktury.

I. Poszerzony zakres stosowania 
Rozporządzenie znajdzie zastosowanie do administratorów i podmiotów przetwarzających dane osobowe z siedzibą w Unii Europejskiej, jak również (co stanowi, co do zasady, nowość) poza jej granicami. W przypadku podmiotów spoza UE, Rozporządzenie będzie stosowane w przypadku przetwarzania danych osób przebywających w UE, jeśli przetwarzanie będzie związane z oferowaniem takim osobom towarów lub usług lub jeśli będzie ono związane z monitorowaniem ich zachowania w UE.

II. Zasada One-Stop-Shop
W przypadku przetwarzania danych osobowych w więcej niż jednym państwie UE (również w przypadku posiadania przez administratora jednostek organizacyjnych w różnych państwach UE), organ nadzoru właściwy dla głównej jednostki organizacyjnej będzie zasadniczo działał jako wiodący organ we wszystkich sprawach dotyczących transgranicznego przetwarzania danych osobowych przez tego przedsiębiorcę.

III. Definicja danych osobowych
Definicja danych osobowych zostało doprecyzowana poprzez uwzględnienie wprost jako danych osobowych m.in. danych o lokalizacji, identyfikatora internetowego czy znaków szczególnych związanych z tożsamością fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną.

IV. Rozszerzone obowiązki podmiotów zobowiązanych

a. Zgoda. Zgoda na przetwarzanie danych musi być udzielona w formie oświadczenia lub wyraźnego działania, stanowiących przejaw dobrowolnego, konkretnego, świadomego i jednoznacznego przejawu woli, potwierdzającego przyzwolenie na przetwarzanie przez podmiot danych osobowych. Jeżeli osoba, której dane dotyczą, wyrażą zgodę na przetwarzanie danych w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę powinno zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, a także jasnym i prostym językiem.
b. Zgoda na przetwarzanie danych dziecka. Do przetwarzania na podstawie zgody danych dziecka poniżej szesnastego roku życia konieczne będzie uzyskanie zgody jego opiekuna prawnego.
c. Powiadamianie o naruszeniach bezpieczeństwa danych osobowych. W przypadku naruszenia zabezpieczeń danych osobowych, administratorzy będą zobowiązani niezwłocznie powiadomić o tym fakcie właściwy organ nadzoru, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych – administratorzy będą musieli powiadomić o naruszeniu w jasny i prosty sposób również osoby, których dane są przetwarzane.
d. Dodatkowe obowiązki dla podmiotów przetwarzających dane osobowe. Rozporządzenie nakłada szereg obowiązków bezpośrednio na podmioty przetwarzające dane osobowe – tj. na podmioty niebędące administratorami danych, a przetwarzające dane osobowe szczególnie na podstawie powierzenia przetwarzania przez administratorów. Podmioty przetwarzające będą bezpośrednio odpowiedzialne za bezpieczeństwo danych osobowych w trakcie ich przetwarzania.
e. Obowiązki informacyjne. Poszerzeniu ulega katalog informacji, które administratorzy zobowiązani będą dostarczyć podmiotom danych, a także – sprecyzowany zostaje sposób ich dostarczenia (tj. przy użyciu jasnego i prostego języka w sposób zwięzły, przejrzysty, czytelny i łatwo dostępny).
f. Ograniczenie profilowania Profilowanie (tj. zautomatyzowane przetwarzanie danych osobowych, polegające na wykorzystaniu tych danych do oceny niektórych czynników osobowych osoby fizycznej, np. w celu analizy preferencji, czy też zachowań) będzie legalne jedynie wtedy, gdy administrator danych wykaże, że ma podstawę prawną do takiego działania np. wyraźną zgodę.
g. Wdrożenie programu zgodności przetwarzania danych. Administratorzy będą musieli wprowadzić właściwe środki techniczne i organizacyjne, aby zapewnić i wykazać, że przetwarzanie danych osobowych jest wykonywane zgodnie z przepisami Rozporządzenia.
h. Inspektor ochrony danych osobowych. Rozporządzenie wprowadza instytucję inspektora ochrony danych osobowych, którego zadaniem będzie zapewnienie zgodności działalności przedsiębiorcy z przepisami o ochronie danych osobowych.
i. Privacy impact assesment - ocena skutków przetwarzania danych dla prywatności. W przypadku, gdy przetwarzanie danych osobowych niosło będzie za sobą wysokie ryzyko naruszenia praw i wolności podmiotów danych, administrator musiał będzie dokonać oceny skutków przetwarzania danych z perspektywy prywatności przed rozpoczęciem przetwarzania.
j. Ochrona prywatności by design i by default. Rozporządzenie nakazuje administratorom danych wzięcie pod uwagę aspektu ochrony danych osobowych już od momentu projektowania nowych produktów oraz oceny ryzyka dla bezpieczeństwa danych osobowych przed wprowadzeniem ich na rynek. Przedsiębiorca powinien wybierać takie rozwiązania, które domyślnie zapewniają przetwarzanie danych osobowych tylko w niezbędnym zakresie.

V. Uprawnienia osób fizycznych.
Rozporządzenie reguluje też kwestię uprawnień osób fizycznych do ochrony ich danych, w szczególności w następujących obszarach:

a. Prawo do przeniesienia danych. Osoba fizyczna będzie miała prawo otrzymać od administratora swoje dane w ustrukturyzowanej formie, a także, o ile jest to technicznie możliwe, nakazać przesłanie danych innemu administratorowi.
b. Prawo sprzeciwu. Podmioty, których dane są przetwarzane w interesie publicznym lub w związku z uzasadnionym interesem administratora będą mogły sprzeciwić się takiemu przetwarzaniu danych, chyba że administrator wykaże że podstawa do przetwarzania danych jest nadrzędna w stosunku do interesów jednostki.
c. Prawo do bycia zapomnianym. Prawo do bycia zapomnianym – tj. prawo żądania usunięcia danych przez administratora, zostało wyraźnie określone w Rozporządzeniu i stanowi ono odzwierciedlenie najnowszego orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej.
d. Wnoszenie skarg. Rozporządzenie daje podmiotom danych prawo do składania skarg na działania administratorów i podmiotów przetwarzających dane. . Skargę będzie można złożyć do organu nadzoru (w Polsce do GIODO) w państwie pobytu lub pracy osoby fizycznej lub w państwie popełnienia naruszenia. Od decyzji organów nadzoru przysługiwać będzie odwołanie do sądu.
e. Prawo do odszkodowania. Podmioty danych będą miały prawo do uzyskania odszkodowania za szkody majątkowe i niemajątkowe wynikające z naruszenia przez administratorów lub podmioty przetwarzające dane przepisów Rozporządzenia.

VI. Zwiększone uprawnienia organów i kary.
Organy nadzoru otrzymają szersze uprawnienia i możliwości działania w stosunku do nadzorowanych podmiotów. Możliwe będzie także bezpośrednie nakładanie kar za naruszenia. Maksymalne wysokości kar przewidzianych w Rozporządzeniu będą kilkaset razy wyższe od obecnie obowiązujących progów, tj. maksymalnie do 20.000.000 EUR lub do 4% rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.