Rozdziały 01 Obowiązuje od: 25 maja 2018

RODO

Ogólne rozporządzenie o ochronie danych

Przegląd

Ogólne rozporządzenie o ochronie danych (RODO) jest kamieniem węgielnym prawa ochrony danych UE. Zastąpiło dyrektywę o ochronie danych 95/46/WE i znacząco wzmocniło prawa osób fizycznych do ich danych osobowych, jednocześnie nakładając kompleksowe obowiązki na administratorów i podmioty przetwarzające dane.[1]

RODO ma zastosowanie do każdej organizacji przetwarzającej dane osobowe osób w UE, niezależnie od miejsca jej siedziby. Ten zakres terytorialny sprawił, że RODO stało się de facto globalnym standardem ochrony danych.[2]

Kto musi przestrzegać

  • Administratorzy danych: Organizacje, które określają cele i sposoby przetwarzania danych osobowych
  • Podmioty przetwarzające: Organizacje przetwarzające dane osobowe w imieniu administratorów
  • Podmioty spoza UE: Każda organizacja oferująca towary/usługi mieszkańcom UE lub monitorująca ich zachowanie
  • Wszystkie sektory: Obowiązuje we wszystkich branżach z ograniczonymi wyjątkami dla organów ścigania i bezpieczeństwa narodowego

Kluczowe wymagania dla programistów

Podstawa prawna przetwarzania

Każda operacja przetwarzania musi mieć ważną podstawę prawną zgodnie z artykułem 6:[3]

  1. Zgoda: Dobrowolna, konkretna, świadoma i jednoznaczna
  2. Umowa: Niezbędna do wykonania umowy z osobą, której dane dotyczą
  3. Obowiązek prawny: Wymagany przez prawo UE lub państwa członkowskiego
  4. Życiowe interesy: Ochrona życia osoby, której dane dotyczą, lub innej osoby
  5. Interes publiczny: Niezbędne do wykonania zadania w interesie publicznym lub w ramach władzy publicznej
  6. Uzasadnione interesy: Zrównoważone z prawami osoby, której dane dotyczą (niedostępne dla organów publicznych)

Wymagania techniczne

  • Minimalizacja danych: Zbieraj tylko to, co jest niezbędne do określonego celu
  • Ograniczenie przechowywania: Przechowuj dane osobowe tylko tak długo, jak jest to konieczne
  • Integralność i poufność: Wdrażaj odpowiednie środki bezpieczeństwa
  • Ochrona danych w fazie projektowania i domyślnie: Wbuduj ochronę danych w systemy od samego początku (artykuł 25)[4]

Prawa osób, których dane dotyczą

Aplikacje muszą wspierać następujące prawa:

PrawoOpisCzas odpowiedzi
Dostęp (art. 15)Udostępnienie kopii danych osobowych i informacji o przetwarzaniu1 miesiąc
Sprostowanie (art. 16)Poprawa nieprawidłowych danych osobowychBez zbędnej zwłoki
Usunięcie (art. 17)Usunięcie danych, gdy nie są już potrzebneBez zbędnej zwłoki
Ograniczenie (art. 18)Ograniczenie przetwarzania w określonych okolicznościachBez zbędnej zwłoki
Przenoszenie danych (art. 20)Udostępnienie danych w formacie nadającym się do odczytu maszynowego1 miesiąc
Sprzeciw (art. 21)Sprzeciw wobec przetwarzania opartego na uzasadnionych interesachBez zbędnej zwłoki

Zgłaszanie naruszeń

  • Do organu nadzorczego: W ciągu 72 godzin od uzyskania wiedzy (artykuł 33)[5]
  • Do osób, których dane dotyczą: Bez zbędnej zwłoki, gdy istnieje wysokie ryzyko dla praw i wolności (artykuł 34)
  • Dokumentacja: Prowadzenie rejestru wszystkich naruszeń niezależnie od obowiązku zgłoszenia

Kary

RODO ustanawia dwustopniową strukturę kar:

  • Niższy poziom: Do 10 milionów euro lub 2% rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa
  • Wyższy poziom: Do 20 milionów euro lub 4% rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa[6]

Największe nałożone kary obejmują:

  • Amazon (Luksemburg, 2021): 746 milionów euro
  • Meta/Facebook (Irlandia, 2023): 1,2 miliarda euro
  • Google (Francja, 2022): 90 milionów euro

Lista kontrolna wdrożenia

  • Identyfikacja wszystkich działań przetwarzania danych osobowych
  • Ustalenie podstawy prawnej dla każdej operacji przetwarzania
  • Wdrożenie zarządzania zgodami, jeśli dotyczy
  • Utworzenie informacji o prywatności spełniających wymogi przejrzystości
  • Budowa mechanizmów obsługi żądań osób, których dane dotyczą
  • Wdrożenie odpowiednich środków bezpieczeństwa
  • Ustanowienie procedur wykrywania i zgłaszania naruszeń
  • Przeprowadzenie oceny skutków dla ochrony danych przy przetwarzaniu wysokiego ryzyka
  • Powołanie inspektora ochrony danych, jeśli jest wymagany
  • Prowadzenie rejestru czynności przetwarzania (RoPA)

Źródła i odniesienia

[1]
Rozporządzenie (UE) 2016/679 Parlamentu Europejskiego i Rady. EUR-Lex: Oficjalny tekst RODO
[2]
Zakres terytorialny RODO, artykuł 3. GDPR.eu: Zakres terytorialny
[3]
Zgodność z prawem przetwarzania, artykuł 6. GDPR-Info: Artykuł 6
[4]
Ochrona danych w fazie projektowania i domyślnie, artykuł 25. GDPR-Info: Artykuł 25
[5]
Zgłaszanie naruszenia danych osobowych, artykuł 33. GDPR-Info: Artykuł 33
[6]
Kary administracyjne, artykuł 83. GDPR-Info: Artykuł 83