3 najważniejsze przepisy RODO

RODO zawiera wiele nowych, ważnych uregulowań, nakłada na przedsiębiorców dużo obowiązków a klientom przyznaje nowe uprawnienia. Trudno zatem wybrać 3 najważniejsze regulacje. Przedstawiamy subiektywny przegląd. 

Artykuł 6 - Zgodność przetwarzania z prawem

Artykuł ten jest niezwykle istotny, ponieważ wskazuje prawne podstawy przetwarzania danych osobowych. Mogą być one legalnie przetwarzane tylko we wskazanych wypadkach. Szczególną uwagę należy zwrócić na nowe regulacje związane z uzyskiwanie ważnych zgód od osób, których dane mają być przetwarzane. Zgoda taka musi być dobrowolna, konkretna, świadoma i jednoznacznie okazywać wolę wyrażającej ją osoby. Okazanie woli może być wyrażone w formie pisemnego, ustnego lub elektronicznego oświadczenia lub wyraźnego działania potwierdzającego. Zgody udzielone przed rozpoczęciem obowiązywania RODO zachowują swoją ważność jeżeli zostały wyrażone przez osobę zdolną do wyrażenia zgody i nie budzą wątpliwości co do zamiaru takiej osoby, są konkretne i wyrażone po poinformowaniu o tożsamości administratora oraz o celu przetwarzania.

Polecamy: RODO. Ochrona danych osobowych. Przewodnik po zmianach

Zgodnie z brzmieniem art. 6: "Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań”.

Zobacz: RODO w firmie

Art. 37 Wyznaczenie inspektora ochrony danych (IOD)

Nowym obowiązkiem dla firm będzie wyznaczenie osoby do pełnienia funkcji inspektora ochrony danych osobowych.

Zgodnie z art. 37 RODO administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa. Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.

Art. 22 - Profilowanie

Ostatnio wiele kontrowersji budziło profilowanie. Jest to zautomatyzowane wykorzystanie naszych danych osobowych do analizy lub prognozy preferencji, zainteresowań, zdrowia czy sytuacji ekonomicznej takiej osoby. Teraz takie dane będą lepiej chronione a profilowanie nie będzie mogło dotyczyć danych wrażliwych, a więc pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych, przynależności do związków zawodowych, danych genetycznych, danych biometrycznych, danych dotyczących zdrowia, seksualności lub orientacji seksualnej danej osoby.

Artykuł 22 Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie

"1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

2. Ust. 1 nie ma zastosowania, jeżeli ta decyzja: a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem; b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

3. W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.

4. Decyzje, o których mowa w ust. 2, nie mogą opierać się na szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. 1, chyba że zastosowanie ma art. 9 ust. 2 lit. a) lub g) i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą".

Pamiętać należy, że RODO musi być wdrożone do 25 maja 2018. Po tym dniu na przedsiębiorcę, który nie dostosował się do nowych przepisów mogą być nałożone wysokie kary.  

Podstawa prawna:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).