GDPR

I. Wprowadzenie

Od dnia 25 maja 2018 roku na terenie Polski oraz wszystkich państw członkowskich Unii Europejskiej obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, znane jako Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO/GDPR).

W celu wdrożenia przepisów RODO Polska dostosowała krajowe regulacje dotyczące ochrony danych osobowych, w szczególności poprzez ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych.

Organem odpowiedzialnym za nadzór nad przestrzeganiem przepisów dotyczących ochrony danych osobowych w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (UODO).

Polski system ochrony danych osobowych jest zgodny z wymogami RODO i ma na celu zapewnienie wysokiego poziomu ochrony danych osobowych oraz prywatności osób fizycznych.

II. Zakres stosowania

Polskie przepisy wdrażające RODO mają zastosowanie do:

administratorów danych oraz podmiotów przetwarzających dane działających na terytorium Polski;

podmiotów spoza Polski, które oferują towary lub usługi osobom znajdującym się na terytorium Polski lub monitorują ich zachowanie.

Przepisy mają zastosowanie niezależnie od miejsca faktycznego przetwarzania danych, jeżeli dotyczą danych osobowych osób przebywających na terytorium Polski.

Regulacje obejmują zarówno zautomatyzowane przetwarzanie danych, jak i niezautomatyzowane przetwarzanie danych stanowiących część uporządkowanego zbioru danych.

Przetwarzanie danych o charakterze wyłącznie osobistym lub domowym nie podlega przepisom RODO.

III. Zasady przetwarzania danych

Legalność, rzetelność i przejrzystość

Dane osobowe muszą być przetwarzane zgodnie z prawem, w sposób rzetelny i przejrzysty wobec osoby, której dane dotyczą.

Ograniczenie celu

Dane mogą być zbierane wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie mogą być dalej przetwarzane w sposób niezgodny z tymi celami.

Minimalizacja danych

Należy przetwarzać wyłącznie dane niezbędne do realizacji określonych celów.

Prawidłowość danych

Administrator danych powinien zapewnić, że dane są prawidłowe, kompletne i aktualne.

Ograniczenie przechowywania

Dane osobowe mogą być przechowywane jedynie przez okres niezbędny do realizacji celu przetwarzania, po czym powinny zostać usunięte lub zanonimizowane.

Integralność i poufność

Administratorzy oraz podmioty przetwarzające są zobowiązani do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony danych przed utratą, nieuprawnionym dostępem, ujawnieniem lub zniszczeniem.

IV. Prawa osób, których dane dotyczą

Zgodnie z RODO oraz polskimi przepisami osoby fizyczne mają prawo do:

uzyskania informacji o przetwarzaniu danych osobowych;

dostępu do swoich danych osobowych;

sprostowania nieprawidłowych lub niekompletnych danych;

żądania usunięcia danych („prawo do bycia zapomnianym”) w przypadkach przewidzianych prawem;

ograniczenia przetwarzania danych w określonych sytuacjach;

przenoszenia danych do innego administratora w ustrukturyzowanym i powszechnie używanym formacie;

wniesienia sprzeciwu wobec przetwarzania danych opartego na uzasadnionym interesie administratora lub realizacji interesu publicznego;

niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu.

W przypadku przetwarzania danych dzieci poniżej 16 roku życia wymagana może być zgoda rodzica lub opiekuna prawnego, zgodnie z obowiązującymi przepisami prawa.

V. Obowiązki administratorów i podmiotów przetwarzających

Podmioty przetwarzające dane są zobowiązane do działania wyłącznie na podstawie udokumentowanych poleceń administratora danych.

Administratorzy i podmioty przetwarzające muszą wdrożyć odpowiednie środki bezpieczeństwa technicznego i organizacyjnego w celu ochrony danych osobowych.

Podmioty przetwarzające mają obowiązek wspierać administratora danych w realizacji obowiązków wynikających z RODO, w tym w odpowiadaniu na żądania osób, których dane dotyczą.

W przypadku naruszenia ochrony danych osobowych administrator danych ma obowiązek zgłosić incydent do Prezesa UODO w ciągu 72 godzin od momentu jego wykrycia, chyba że naruszenie nie powoduje ryzyka naruszenia praw lub wolności osób fizycznych.

Administratorzy danych są zobowiązani do prowadzenia rejestru czynności przetwarzania oraz – w przypadku operacji wysokiego ryzyka – przeprowadzania oceny skutków dla ochrony danych (DPIA).

W określonych przypadkach organizacje są zobowiązane do wyznaczenia Inspektora Ochrony Danych (IOD).

VI. Międzynarodowy transfer danych

Przekazywanie danych osobowych poza Europejski Obszar Gospodarczy może odbywać się wyłącznie przy zapewnieniu odpowiedniego poziomu ochrony danych osobowych.

Może to nastąpić między innymi poprzez:

decyzję Komisji Europejskiej stwierdzającą odpowiedni stopień ochrony;

stosowanie Standardowych Klauzul Umownych (SCCs);

inne mechanizmy transferu danych dopuszczone przez RODO.

Po unieważnieniu programu Privacy Shield przedsiębiorstwa działające w Polsce są zobowiązane do stosowania aktualnych mechanizmów transferu danych zgodnych z prawem Unii Europejskiej.

VII. Nadzór i egzekwowanie przepisów

Prezes Urzędu Ochrony Danych Osobowych (UODO) posiada szerokie uprawnienia nadzorcze i egzekucyjne, w tym możliwość:

wydawania ostrzeżeń i nakazów dostosowania działań do przepisów;

ograniczania lub zakazywania określonych operacji przetwarzania danych;

nakładania administracyjnych kar pieniężnych.

Zgodnie z RODO maksymalna wysokość kary może wynosić do 20 milionów euro lub do 4% całkowitego światowego rocznego obrotu przedsiębiorstwa – w zależności od tego, która kwota jest wyższa.

Polskie przepisy dotyczące ochrony danych osobowych mają na celu zapewnienie skutecznej ochrony prywatności, zwiększenie odpowiedzialności przedsiębiorstw oraz budowanie zaufania do usług cyfrowych.

VIII. Kontakt

W przypadku pytań dotyczących ochrony danych osobowych, przetwarzania danych lub realizacji praw wynikających z RODO prosimy o kontakt z naszym działem ochrony danych lub obsługi klienta za pośrednictwem dostępnych kanałów kontaktowych.