WPROWADZENIE
Prace nad przyjęciem RODO[1] rozpoczęły się w styczniu 2012 r., kiedy Komisja Europejska przedstawiła kompleksowy projekt reformy przepisów o ochronie danych osobowych[2]. Po ponad 4 latach uzgodnień, Parlament Europejski zatwierdził RODO 14 kwietnia 2016 r. Nowym przepisom o ochronie danych osobowych nadano rangę rozporządzenia - aktu prawa unijnego o zasięgu ogólnym, który wiąże w całości i jest bezpośrednio stosowany we wszystkich państwach członkowskich. Wraz z rozpoczęciem stosowania RODO uchylona zostanie obowiązująca obecnie dyrektywa 95/46/WE, określająca zasady przetwarzania danych osobowych[3]. Państwa członkowskie pracują nad wprowadzeniem przepisów krajowych zapewniających skuteczne stosowanie RODO[4].
POJĘCIE DANYCH OSOBOWYCH
Dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), przy czym możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej[5].
Dane osobowe dzielą się na dane osobowe zwykłe i dane osobowe szczególnej kategorii. Do tych drugich zalicza się informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne (wykorzystywane w celu jednoznacznego zidentyfikowania konkretnej osoby fizycznej), a także dane dotyczące zdrowia, seksualności lub orientacji seksualnej[6].
PRZETWARZANIE
Przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na tych danych w sposób zautomatyzowany lub niezautomatyzowany (np. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie[7]).
ZAKRES ZASTOSOWANIA RODO
RODO stosuje się do danych osobowych przetwarzanych zarówno w sposób częściowo lub całkowicie zautomatyzowany (z wykorzystaniem systemów informatycznych), ale także – pod pewnymi warunkami[8] – do przetwarzania w sposób niezautomatyzowany, manualny (np. przechowywanie danych osobowych w ramach dokumentacji papierowej).
RODO ma zastosowanie w związku z działalnością gospodarczą przedsiębiorcy w Unii Europejskiej, niezależnie od tego, czy przetwarzanie odbywa się na jej terytorium. Rozporządzenie stosuje się również, gdy przetwarzane są dane osobowe osób przebywających w Unii Europejskiej przez podmiot niemający jednostek organizacyjnych w Unii, jeżeli oferuje on tym osobom towary lub usługi, choćby bezpłatnie lub monitoruje ich zachowania (aktywność) na terenie Unii Europejskiej (np. dostawcy reklamy kontekstowej opartej na aktywności użytkownika w Internecie)[9].
Spod zakresu zastosowania rozporządzenia wyłączone jest przetwarzanie danych osobowych osób zmarłych[10], danych osobowych dotyczących osób prawnych[11], w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej, a także przetwarzanie o charakterze osobistym lub domowym - niepozostające w związku z działalnością zawodową lub handlową (np. przechowywanie listy kontaktów na prywatnym telefonie komórkowym)[12].
ADMINISTRATOR I PODMIOT PRZETWARZAJĄCY
Podmioty zaangażowane w procesy przetwarzania danych osobowych mogą występować w roli administratora lub podmiotu przetwarzającego, określanego także mianem procesora.
Za administratora RODO[13] uznaje podmiot (np. osoba prawna lub przedsiębiorca prowadzący działalność gospodarczą), który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Cele przetwarzania określa ten podmiot, który decyduje „dlaczego” przetwarza się dane osobowe. Określenie sposobów przetwarzania, to określenie „jak” przetwarza się dane osobowe[14]. Procesorem[15] jest podmiot, który przetwarza dane osobowe w imieniu administratora (nie ustala on celów i sposobów przetwarzania danych).
ZASADY DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH
Przetwarzanie przez administratora danych osobowych musi odbywać się zgodnie z tzw. zasadami przetwarzania, określonymi w art. 5 RODO. Przepis wskazuje, iż dane osobowe muszą być: przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”); zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). Administrator ma obowiązek respektowania wyżej wymienionych zasad ale także musi być w stanie wykazać ich przestrzeganie, np. poprzez opracowanie i wdrożenie odpowiednich procedur lub polityk („rozliczalność”).
RODO wymusza również na administratorze by już na etapie projektowania rozwiązań, które wiążą się z przetwarzaniem danych osobowych, uwzględniał i wdrażał odpowiednie środki bezpieczeństwa w celu skutecznej realizacji zasad ochrony danych („zasada privacy by design”)[16], a także by domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania, co odnosi się m.in. do ilości zbieranych danych, zakresu ich przetwarzania, czy okresu ich przechowywania („zasada privacy by default”)[17].
Rozwinięciem wyrażonej powyżej zasady zgodności z prawem są art. 6 i 9 RODO, które precyzują przesłanki określające dopuszczalność przetwarzania danych osobowych, zarówno dla danych zwykłych, jak i dla danych osobowych szczególnej kategorii[18].
Do przesłanek przetwarzania danych zwykłych[19] zalicza się:
- zgodę[20] podmiotu danych;
- niezbędność do wykonania umowy, której stroną jest podmiot danych, lub do podjęcia działań na żądanie podmiotu danych, przed zawarciem umowy;
- niezbędność do wypełnienia obowiązku prawnego ciążącego na administratorze;
- niezbędność do ochrony żywotnych interesów podmiotu danych, lub innej osoby fizycznej;
- niezbędność do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności podmiotu danych.
Jeśli chodzi o przetwarzanie szczególnych kategorii danych osobowych, to jest ono co do zasady niedopuszczalne, chyba że spełniona jest jedna z przesłanek przetwarzania określona w art. 9 ust. 2 RODO.
TRANSPARENTNOŚĆ
Wyrazem zasady rzetelnego i przejrzystego przetwarzania danych osobowych są ciążące na administratorze obowiązki informowania podmiotu danych o szczegółach związanych z prowadzonymi operacjami przetwarzania oraz ich celach[21]. Informacje te powinny być udzielone w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem[22]. Obowiązki te dotyczą przypadków bezpośredniego zbierania danych osobowych od podmiotu danych, a także pozyskiwania ich z innych źródeł i związane są z przekazaniem szerokiego zakresu informacji[23]. Obejmuje on m.in. wskazanie danych identyfikacyjnych administratora, celów przetwarzania, podstawy prawnej, w oparciu o którą odbywa się przetwarzanie, podmiotów, którym zostaną przekazane zebrane dane osobowe, informacje o zamiarze przekazania danych do państwa trzeciego (tj. poza obszar Unii Europejskiej lub Europejski Obszar Gospodarczy), okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu, źródło pozyskania danych osobowych.
PRAWA PODMIOTÓW DANYCH
RODO nadaje osobom fizycznym szerokie uprawnienia zapewniające im lepszą kontrolę nad przetwarzaniem ich danych osobowych. Obejmują one:
- prawo podmiotu danych do uzyskania od administratora potwierdzenia, czy przetwarza dotyczące go dane osobowe, a jeżeli ma to miejsce, możliwość uzyskania dostępu do nich (poprzez pozyskanie kopii tych danych) a także informacji o zasadach i warunkach ich przetwarzania[24];
- prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe;
- prawo żądania uzupełnienia niekompletnych danych[25];
- prawo do usunięcia danych, określane także jako „prawo do bycia zapomnianym”[26];
- prawo do ograniczenia przetwarzania (czyli oznaczenie przechowywanych danych w celu ograniczenia ich przyszłego przetwarzania, co do zasady, wyłącznie do przechowywania tych danych[27];
- prawo do przenoszenia danych, tj. możliwość otrzymania w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego danych osobowych, które podmiot danych dostarczył administratorowi, a także ich przesłania do innego administratora lub żądania by przetwarzający je administrator przesłał je bezpośrednio do innego administratora, o ile jest technicznie możliwe[28];
- prawo do sprzeciwu[29] wobec przetwarzania danych osobowych, także w przypadku ich przetwarzania na potrzeby marketingu bezpośredniego, w tym profilowania[30];
- prawo do niepodlegania[31] decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołującej wobec podmiotu danych skutki prawne lub w podobny sposób istotnie na niego wpływającej[32].
Każdy podmiot danych ma prawo wnieść skargę do organu nadzorczego[33], w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza przepisy RODO[34].
OBOWIĄZKI ZWIĄZANE Z BEZPIECZEŃSTWEM PRZETWARZANIA DANYCH OSOBOWYCH, REJESTROWANIEM CZYNNOŚCI PRZETWARZANIA ORAZ ZGŁASZANIEM NARUSZEŃ OCHRONY DANYCH OSOBOWYCH
W celu należytego zabezpieczenia przetwarzanych danych osobowych RODO nakłada obowiązek by administrator (a także podmiot przetwarzający) wdrożył odpowiednie środki bezpieczeństwa, zapewniające stopień bezpieczeństwa odpowiedni do ryzyka związanego z przetwarzaniem tych danych. Z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności podmiotów danych, których dane są przetwarzane, administrator lub procesor samodzielnie dobiera środki bezpieczeństwa, które powinny zostać wdrożone. Nowe przepisy o ochronie danych osobowych bazują na tzw. podejściu opartym na ryzyku, dlatego w RODO nie wskazano konkretnych środków bezpieczeństwa, których zastosowanie jest w danym przypadku obowiązkowe[35].
RODO nakłada na administratorów dokonanie tzw. oceny skutków dla ochrony danych osobowych[36]. Jest to proces mający na celu opisanie i ocenę zamierzonego przez administratora przedsięwzięcia (np. wdrożenia nowego systemu informatycznego, w którym będą przetwarzane dane osobowe jego klientów) z perspektywy jego niezbędności, proporcjonalności oraz wpływu na prywatność podmiotów danych (co sprowadza się do ustalenia, na jakie ryzyka narażone są podmioty danych, których dane będą przetwarzane w ramach tego przedsięwzięcia, a następnie doboru środków zmniejszających tak zidentyfikowane ryzyka). Ocena skutków jest wymagana przede wszystkim w przypadku systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco na nią wpływających; przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych dotyczących wyroków skazujących i czynów zabronionych lub systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie. Jeżeli przeprowadzona ocena wykazałaby, iż zamierzone przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu jego zminimalizowania, to przed rozpoczęciem przetwarzania administrator musi skonsultować się z organem nadzorczym.
Niektórzy administratorzy danych mają obowiązek prowadzenia tzw. rejestru czynności przetwarzania [37]. Rejestr może być prowadzony w formie pisemnej w tym elektronicznej. W rejestrze zamieszcza się m.in. dane identyfikacyjne administratora, cele przetwarzania, opis kategorii podmiotów danych i kategorii danych osobowych, kategorie podmiotów, którym ujawniono dane, jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych i ogólny opis zastosowanych środków bezpieczeństwa. Rejestr musi być udostępniony na żądanie organu nadzorczego. Prowadzenie rejestru czynności przetwarzania jest obowiązkowe także dla niektórych procesorów. Obowiązek prowadzenia rejestru nie dotyczy przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności podmiotów danych, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe wyroków skazujących i czynów zabronionych.
Jeżeli dojdzie do naruszenia ochrony danych osobowych (tj. naruszenia bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych), to administrator bez zbędnej zwłoki, jednak nie później niż w ciągu 72 godzin od stwierdzenia takiego naruszenia zgłasza je do organu nadzorczego, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych[38]. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu[39]. Wszelkie przypadki naruszenia ochrony danych powinny być dokumentowane przez administratora.
OUTSOURCING DANYCH OSOBOWYCH
RODO dopuszcza[40], by administrator danych mógł zaangażować w podlegające mu procesy przetwarzania podmioty przetwarzające, które będą wykonywać w jego imieniu określone czynności przetwarzania na tych danych osobowych (np. w ramach outsourcingu określonych procesów biznesowych). Decydując się takie działania, administrator powinien korzystać z usług wyłącznie takich procesorów, którzy zapewniają wystarczające gwarancje wdrożenia środków bezpieczeństwa odpowiadających wymogom RODO. Powierzenie przetwarzania danych procesorowi odbywa się m.in. na podstawie umowy, która może mieć formę pisemną, w tym elektroniczną.
Taka umowa powinna stanowić w szczególności, iż podmiot przetwarzający:
- przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora;
- zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
- podejmuje wszelkie wymagane przez RODO środki bezpieczeństwa; przestrzega warunków korzystania z usług innego podmiotu przetwarzającego (zaangażowanie kolejnego podmiotu przetwarzającego wymaga zgody administratora);
- biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi wywiązać się z obowiązku odpowiadania na żądania podmiotów danych w zakresie egzekwowania przez nich uprawnień wynikających z RODO;
- uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków, jakie RODO nakłada na administratora w zakresie bezpieczeństwa przetwarzania, zgłaszania i zarządzania naruszeniami ochrony danych osobowych oraz dokonywania oceny skutków dla ochrony danych;
- po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu dane osobowe oraz usuwa wszelkie ich istniejące kopie;
- umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich, a także udostępnia mu wszelkie informacje niezbędne do wykazania spełnienia określonych powyżej obowiązków.
INSPEKTOR OCHRONY DANYCH
Administrator lub podmiot przetwarzający są wspierani w przestrzeganiu zgodności procesów przetwarzania z przepisami RODO przez inspektora ochrony danych[41], tj. osobę dysponującą wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych, do zadań której należy m.in. współpraca z organem nadzorczym.
Powołanie inspektora ochrony danych jest obowiązkowe w przypadku, gdy:
- przetwarzania dokonują organ lub podmiot publiczny;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które wymagają regularnego i systematycznego monitorowania podmiotów danych, na dużą skalę;
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych.
Inspektor ochrony danych może być pracownikiem podmiotu, który go wyznaczył lub wykonywać swoje zadania jako zewnętrzny konsultant na podstawie umowy o świadczenie usług. Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych. Powołany inspektor ochrony danych podlega najwyższemu kierownictwu (np. zarządowi spółki) i powinien być włączany we wszystkie sprawy dotyczące ochrony danych osobowych w ramach organizacji. Podmioty danych mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO.
KONSEKWENCJE NARUSZENIA RODO
W przypadku naruszenia przepisów o ochronie danych osobowych organ nadzorczy korzysta z szeregu uprawnień[42], które obejmują m.in. wydawanie ostrzeżeń lub upomnień; nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do wymogów RODO; wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania.
Naruszenie przepisów RODO może wiązać się także nałożeniem przez organ nadzorczy administracyjnej kary pieniężnej na administratora lub procesora[43]. Kary nakłada się, zależnie od okoliczności każdego indywidualnego przypadku. Przepisy przewidują (w zależności od rodzaju naruszenia) dwa przedziały administracyjnych kar pieniężnych: do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa albo do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Warto również odnotować, iż każdy, kto poniósł szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie[44].
PODSUMOWANIE
RODO wzmacnia prawo do prywatności jednostki poprzez wyposażenie jej w narzędzia pozwalające sprawować efektywniejszą kontrolę nad swoimi danymi osobowymi, w szczególności danymi, które są przetwarzane w środowisku cyfrowym. Jednocześnie zasady postępowania z danymi osobowymi określone w RODO wyważają prawo do ochrony danych osobowych, będące jednym z praw podstawowych Unii Europejskiej, z wolnością prowadzenia działalności gospodarczej. Jednolite zasady ochrony danych osobowych w skali całej Unii Europejskiej przyniosą korzyść także dla przedstawicieli biznesu – uproszczą one przedsiębiorcom prowadzenie działalności gospodarczej. Zmniejszą się bowiem koszty jej prowadzenia i ułatwiony zostanie swobodny przepływ danych osobowych w Unii Europejskiej, co będzie przyczyniać się do rozwoju gospodarczego w ramach rynku wewnętrznego.
*Michał Prószyński - absolwent Wydziału Prawa i Administracji Uniwersytetu Warszawskiego, podyplomowych studiów z zakresu ochrony danych osobowych organizowanych przez Wydział Prawa i Administracji Uniwersytetu Łódzkiego. W latach 2014-2016 pracownik polskiego organu nadzorczego - Departamentu Inspekcji Biura Generalnego Inspektora Ochrony Danych Osobowych. Do jego obowiązków należało przeprowadzanie kontroli zgodności przetwarzania danych osobowych i prowadzenie postępowań administracyjnych w tym zakresie. Obecnie wykonuje obowiązki administratora bezpieczeństwa informacji w jednej ze spółek z sektora energetycznego.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
[2] Komunikat prasowy Komisji Europejskiej z dnia 25 stycznia 2012 r., http://europa.eu/rapid/press-release_IP-12-46_pl.htm
[3] Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, https://eur-lex.europa.eu/legal-content/PL/ALL/?uri=CELEX:31995L0046
[4] W Sejmie znajduje się projekt ustawy o ochronie danych osobowych, który powinien być przyjęty do 25 maja 2018 r. projekt dostępny pod http://www.sejm.gov.pl/sejm8.nsf/druk.xsp?nr=2410
[5] Por. art. 4 pkt 1) RODO.
[6] Por. art. 9 ust. 1 RODO.
[7] Por. art. 4 pkt 2) RODO.
[8] Pod warunkiem, iż stanowią część zbioru danych lub maja stanowić część zbioru danych; por. art. 2 ust. 1 RODO.
[9] Por. art. 3 RODO.
[10] Por. motyw 27 preambuły do RODO.
[11] Por. motyw 14 preambuły do RODO.
[12] Por. motyw 18 preambuły do RODO.
[13] Por. art. 4 pkt 7) RODO.
[14] Opinia 1/2010 Grupy Roboczej art. 29 w sprawie pojęć „administrator danych” i „przetwarzający” (WP 169), str. 18, https://giodo.gov.pl/pl/1520057/3595
[15] Por. art. 4 pkt 8) RODO.
[16] Por. art. 25 ust. 1 RODO.
[17] Por. art. 25 ust. 2 RODO.
[18] P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz do art. 6, Warszawa 2018, System Informacji Prawnej Legalis.
[19] Por. art. 6 ust. 1 RODO.
[20] Przez zgodę na przetwarzanie danych rozumie się dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym podmiot danych, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących go danych osobowych. W przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, możliwe jest przetwarzanie na podstawie zgody danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody. RODO umożliwia państwom członkowskim określenie niższej granicy wiekowej, która musi wynosić co najmniej 13 lat.
[21] Por. motyw 60 preambuły do RODO.
[22] Por. art. 12 ust. 1 RODO.
[23] Por. art. 13 i 14 RODO.
[24] Por. art. 15 RODO.
[25] Por. art. 16 RODO.
[26] Por. art. 17 RODO.
[27] Por. art. 18 RODO.
[28] Por. art. 20 RODO.
[29] Por. art. 21 RODO.
[30] Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się
[31] Por. art. 22 RODO
[32] Np. automatyczne odrzucenie elektronicznego wniosku kredytowego czy elektroniczne metody rekrutacji bez interwencji ludzkiej
[33] W Polsce organem egzekwującym stosowanie przepisów RODO będzie Prezes Urzędu Ochrony Danych Osobowych.
[34] Por. art. 77 RODO.
[35] W art. 32 ust. 1 RODO wskazano jedynie przykładowy katalog rozwiązań służących zapewnieniu bezpieczeństwa, do których zalicza się m.in. pseudonimizację i szyfrowanie danych.
[36] Por. art. 35 i 36 RODO.
[37] Por. art. 30 RODO.
[38] Por. art. 33 RODO.
[39] Administrator nie musi zawiadamiać osoby o naruszeniu, jeśli wdrożył odpowiednie techniczne i organizacyjne środki ochrony w stosunku do danych, których dotyczyło naruszenie; zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności podmiotu danych; wymagałoby ono niewspółmiernie dużego wysiłku – w takim przypadku dopuszcza się zawiadomienie o naruszeniu poprzez wydanie publicznego komunikatu; por. art. 34 RODO.
[40] Por. art. 28 RODO.
[41] Por. art. 37-39 RODO.
[42] Por. art. 58 RODO.
[43] Por. art. 83 RODO.
[44] Por. art. 82 RODO.
Informacje szczegółowe
- Data publikacji
- 10 maja 2018
- Autor
- Przedstawicielstwo w Polsce