FAQ RODO
Od kiedy ogólne rozporządzenie będzie stosowane?
Rozporządzenie zostało zatwierdzone i przyjęte w kwietniu 2016 roku przez Parlament UE. Zacznie być jednak stosowane po dwuletnim okresie przejściowym. Rozporządzenia, w przeciwieństwie do dyrektyw, nie wymagają zatwierdzenia przez organy krajowe. Oznacza to, że zacznie być stosowane od 25 maja 2018 roku.
Jakie są różnice pomiędzy rozporządzeniem a dyrektywą?
Rozporządzenie jest stosowane bezpośrednio i wiąże w całości, jednakowo w całej Unii. Dyrektywa jest aktem prawnym, który stawia przed wszystkimi państwami członkowskimi cel, który mają dopiero osiągnąć. Jednakże, to w gestii poszczególnych krajów jest to, by zadecydować jak tego dokonają. Podkreślić należy, że GDPR jest Rozporządzeniem, w przeciwieństwie do poprzedniego aktu, który był dyrektywą.
Na kogo będzie miało wpływ rozporządzenie?
Rozporządzenie ma zastosowanie nie tylko do podmiotów zlokalizowanych w Unii, lecz również do podmiotów spoza jej obszaru, jeżeli:
1) oferują produkty lub usługi w UE; lub
2) monitorują zachowania unijnych podmiotów danych.
Ma to zastosowanie do wszystkich przedsiębiorstw przetwarzających (także przechowujących) dane osobowe Europejczyków niezależnie od tego czy siedziba samego przedsiębiorstwa mieści się na terenie UE.
Jakie są kary za nieprzestrzeganie rozporządzenia?
Podmiot może zostać ukarany karą do 4% swojego rocznego globalnego obrotu lub karą w wysokości 20 milionów €. Jest to maksymalna kara jaka może zostać nałożona za najpoważniejsze naruszenia, takie jak brak uzyskania dostatecznej zgody na przetwarzanie danych osobowych, czy naruszenie podstawowych wymogów Privacy by Design.
Za drobniejsze przewinienia na przedsiębiorstwo może zostać nałożona kara w wysokości 2% jego rocznego globalnego obrotu. Przyczyną nałożenia takiej kary może być np. naruszenie obowiązku rejestrowania czynności przetwarzania, niezgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu, czy niedokonanie oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
Podkreślenia wymaga fakt, że zasady te mają zastosowanie zarówno do administratorów, jak i procesorów. Znaczy to, że „usługi chmurowe” również będą objęte przedmiotem rozporządzenia.
Co stanowi dane osobowe?
Każda informacja związana z osobą fizyczną czy „podmiotem danych”, która może zostać użyta do bezpośredniej identyfikacji osoby. Może być to cokolwiek – od imienia, przez zdjęcie, adres e-mail, dane bankowe, posty na stronie sieci społecznościowej, dane medyczne, czy adres IP komputera.
Jaka jest różnica między procesorem a administratorem danych osobowych?
Administrator jest podmiotem, który określa cele, warunki i środki służące przetwarzaniu danych osobowych. Procesor jest podmiotem, który przetwarza dane osobowe w imieniu i na rzecz administratora danych.
Czy podmioty przetwarzające dane osobowe potrzebują „wyraźnej” czy „jednoznacznej” zgody – i na czym polega różnica?
Warunki wyrażenia zgody zostały zaostrzone. Przedsiębiorstwa nie mogą już stosować długich, trudnych do zrozumienia postanowień i warunków, pełnych języka prawniczego. Od teraz pytanie o zgodę musi być sformułowane w zrozumiałej i łatwo dostępnej formie. Cel przetwarzania danych powinien być powiązany ze zgodą, co znaczy że musi być jednoznaczny. Zgoda musi być jasna i dająca się rozróżnić od innych kwestii oraz dostarczona w zrozumiałej i łatwo dostępnej formie, przy użyciu jasnego i prostego języka. Wycofanie jej, musi być równie łatwe co jej udzielenie. Wyraźna zgoda wymagana jest tylko dla przetwarzania danych wrażliwych. W takiej sytuacji potrzebne będzie uzyskanie zgody nie w formie dorozumianej. Jednakże dla danych osobowych, które nie mają statusu wrażliwych, wystarczy, że zgoda będzie jednoznaczna przy czy może być ona dorozumiana z dokonania innej czynności np. z kliknięcia w przycisk.
Czy osoby poniżej 16 roku życia mogą wyrazić ważne zgody?
W przypadku usług online, zgoda rodzica będzie wymagana do przetwarzana danych osobowych dziecka poniżej 16 roku życia. Państwo członkowskie może obniżyć ten wiek, jednak nie niżej niż do 13 roku życia.
Czy każdy podmiot musi wyznaczyć Inspektora Ochrony Danych (DPO)?
Inspektorzy Ochrony Danych muszą być wyznaczeni w przypadku:
1) władz publicznych;
2) podmiotów dokonujących operacji przetwarzania, które wiążą się z monitorowaniem osób, których dane dotyczą;
3) podmiotów dokonujących operacji przetwarzania, które wiążą się z przetwarzaniem danych wrażliwych na dużą skalę;
Jeśli Twoja organizacja nie podlega pod którąś z tych kategorii, nie masz obowiązku wyznaczenia DPO.
Jak rozporządzenie wpływa na sposób postępowania wobec naruszeń ochrony danych osobowych?
Wprowadzone regulacje dotyczące postępowania wobec naruszeń ochrony danych osobowych odnoszą się głównie do notyfikacji środków zastosowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych. Naruszenia ochrony danych osobowych, które wiążą się z wysokim ryzykiem naruszenia praw lub wolności osoby, której dane dotyczą, muszą zostać notyfikowane w ciągu 72 godzin organowi nadzorczemu i niezwłocznie osobie, której dane dotyczą.
Czy rozporządzenie wprowadzi zasadę „one stop shop” w regulacji ochrony danych osobowych?
Dyskusje dotyczące zasady „one stop shop” są jednymi z najczęstszych i zagadnienie to pozostaje wciąż niejasnym. Prezentowane stanowiska znacznie się od siebie różnią. Stanowisko Komisji jasno opowiada się za jej obowiązywaniem. Również Parlament popiera koncepcję oparcia prowadzonych postępowań o instytucję wiodącego organu nadzorczego, podkreśla jednak konieczność zaangażowania pozostałych organów nadzorczych, których sprawa dotyczy. Stanowisko Rady idzie jeszcze dalej, umniejszając rolę wiodącego organu nadzorczego.
Czy w świetle możliwego „Brexitu” administratorzy danych z Wielkiej Brytanii powinni kontynuować przygotowania do stosowania rozporządzenia?
Jeśli przetwarzasz dane o osobach do celów sprzedaży produktów i usług obywatelom innych krajów UE będziesz musiał dostosować się do rozporządzenia, niezależnie od tego czy Wielka Brytania pozostanie w Unii. Jeżeli zakres twojej działalności ograniczony jest do samej Wielkiej Brytanii, sytuacja (która będzie miała miejsce w okresie już po opuszczeniu Unii) jest znacznie mniej klarowna. Angielski rząd zasygnalizował, że zostanie wprowadzony ekwiwalentny lub alternatywny mechanizm prawny. Spodziewamy się, że takie prawodawstwo w dużej mierze będzie odpowiadać rozwiązaniom GDPR, wskazuje na to poprzednie poparcie wyrażone dla Rozporządzenia przez brytyjski organ ochrony danych (Information Commissioner’s Office) i rząd oraz fakt, iż Rozporządzenie zapewnia jasny punkt odniesienia, w oparciu o który brytyjski biznes może starać się zachować dostęp do rynku elektronicznego Unii.