RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Ogólnie to rozporządzenie o ochronie danych osobowych. Jest to rozporządzenie unijne, dlatego każde państwo członkowskie jest zobowiązane do przestrzegania tych przepisów. RODO doprecyzowuje niektóre zagadnienia, czasem wprowadza nowe pojęcia, a przede wszystkim zastępuje obowiązujące dotychczas w Polsce przepisy ustawy o ochronie danych osobowych. RODO zawiera ogólne wytyczne stanowiące, jak należycie chronić dane osobowe, mówi również, że podmioty przetwarzające dane powinny stosować odpowiednie zabezpieczenia. RODO dotyczy każdej firmy, zarówno jednoosobowej działalności, jak i spółki - działających na terenie Unii Europejskiej, która przetwarza dane osobowe. Nie ma znaczenia narodowość osób, których dane są przetwarzane, gdzie odbywa się to przetwarzanie ani gdzie znajdują się serwery.
Unijne rozporządzenie o ochronie danych osobowych ma na celu ujednolicić zróżnicowane zasady dotyczące przetwarzania danych między poszczególnymi państwami członkowskimi. Rozporządzenie nie mówi wprost, w jaki sposób należy stosować przepisy i jak je wdrożyć. RODO daje administratorom danych osobowych dużą swobodę w działaniu. Samodzielność ma swoje dobre i złe strony. Administratorzy danych osobowych sami decydują o doborze odpowiednich zabezpieczeń i działaniu z danymi osobowymi. Wiąże się to jednak z ryzykiem naruszenia danych i co za tym idzie ogromnymi stratami wizerunkowymi i finansowymi.
Po pierwsze istnieje obowiązek wyznaczenia inspektora ochrony danych. Rozporządzenie o ochronie danych osobowych jasno precyzuje sytuacje, kiedy administrator danych osobowych musi wyznaczyć inspektora. Kandydat na to stanowisko musi wykazać, że posiada wiedzę specjalistyczną w zakresie ochrony danych oraz doświadczenie w tej dziedzinie. Może być on pracownikiem podmiotu przetwarzającego dane lub wykonywać zadania na podstawie umowy.
Po drugie rozporządzenie rozszerza katalog informacji, jakie administratorzy danych osobowych muszą udostępnić osobom, których dane pobierają i przetwarzają. Rozporządzenie nakazuje, aby obowiązek został przedstawiony w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. Ważne, żeby został napisany jasnym i prostym językiem, szczególnie jeśli informacje kierowane są do dziecka. Osoba, której dane dotyczą ma prawo uzyskać informacje na temat przetwarzania jej danych. Administrator danych jest zobowiązany odpowiedzieć na zapytanie, bez zbędnej zwłoki, najpóźniej w ciągu miesiąca.
Po trzecie w większości przypadków administrator danych osobowych ma obowiązek prowadzić rejestr czynności przetwarzania.
Po czwarte administrator danych osobowych musi wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie danych osobowych. Rozporządzenie nakazuje, iż zgoda musi być wyrażona konkretnemu podmiotowi. Oświadczenie zgody musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii. Ważne, aby było przygotowane w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Osoba, której dane dotyczą, musi mieć zapewnione prawo do wycofania zgody w tak samo łatwy sposób, jak doszło do jej wyrażenia.
Dla przeciętnego obywatela największe znaczenie ma jednak to, iż rozporządzenie o ochronie danych osobowych przyznaje osobom, których dane są przetwarzane rozszerzone uprawnienia. Wiąże się to z dodatkowymi zadaniami nałożonymi na administratorów danych osobowych. Wśród praw osób, których dane dotyczą wymienia się:
- prawo dostępu przysługujące osobie, której dane dotyczą,
- prawo do sprostowania danych,
- prawo do usunięcia danych („prawo do bycia zapomnianym”),
- prawo do ograniczenia przetwarzania,
- prawo do przenoszenia danych,
- prawo do sprzeciwu.
Wydaje się, iż najistotniejsze z punktu widzenia obywatela jest prawo do bycia zapomnianym, które nakłada na administratora obowiązek usunięcia danych osobowych w całości z jego systemu.
Co w sytuacji nie przestrzegania przepisów?
Naruszenie przepisów o ochronie danych osobowych to przede wszystkim kary finansowe. Rozporządzenie o ochronie danych osobowych przewiduje kary nawet do 20 milionów euro bądź 4 % obrotu światowego w związku z wyciekiem bądź incydentem związanym z danymi osobowymi. Kary pieniężne w każdym przypadku mają być odstraszające, proporcjonalne i skuteczne. Zależne są od charakteru, wagi i czasu trwania naruszenia oraz innych czynników.
Podsumowując każdy obywatel ma pełne prawo rozporządzać informacjami o sobie. Natomiast przedsiębiorcy, inaczej niż dotychczas, mogą gromadzić tylko dane niezbędne do obsługi klienta. Jako obywatel masz prawo:
- zażądać usunięcia swoich danych, szczególnie gdy nigdy ich nie podawałeś,
- zażądać przeniesienia swoich danych osobowych tam, gdzie chcesz,
- uzyskać kopię danych, wglądu w swoje dane i dysponowania nimi wedle swojego uznania.