Ogólne rozporządzenie o ochronie danych, inaczej rozporządzenie o ochronie danych osobowych, OROD lub RODO – rozporządzenie unijne, zawierające przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.

Parlament Europejski oraz Rada Unii Europejskiej przyjęły 24 maja 2016 roku nowe rozporządzenie dotyczące przetwarzania danych osobowych — RODO. Firmy działające na terenie UE, które gromadzą dane na temat osób fizycznych mają czas na wdrożenie zmian do dnia 25 maja 2018 roku.

Kto podlega pod RODO?

Rozporządzenie, nazywane GDPR (od angielskiej nazwy General Data Protection Regulation), a w Polsce znane pod nazwą RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych) stosowane będzie od 25 maja 2018 roku w całej Unii Europejskiej.

Nowe przepisy będą stosowane bezpośrednio (zatem będą wiążące dla każdego przedsiębiorcy) i dotyczyć będą każdej firmy, która świadczy swoje produkty lub usługi osobom prywatnym (fizycznym) w całej Unii Europejskiej.

Uwaga — rozporządzenie RODO dotyczyć będzie też firm, które nie mają swojej siedziby w którymś z krajów UE, ale oferują swoje usługi osobom tam mieszkającym. Mowa tutaj nie tylko o dużych korporacjach, działających globalnie, ale także niewielkich przedsiębiorstwach działających lokalnie — np. niewielkich sklepach internetowych, gromadzących dane swoich klientów w celu realizacji zamówienia.

Najważniejsze zmiany wprowadzone przez RODO

Nowe definicje wprowadzone przez RODO:

• profilowanie — czyli przewidywanie tego, co klient sklepu internetowego kupi następnym razem, bazując na zebranych danych na temat jego preferencji zakupowych, ale także sytuacji zdrowotnej, finansowej, bieżącej lokalizacji i innych;
• pseudonimizacja — proces (spseudonimizowane), po którym można przypisać konkretne dane do określonej osoby; forma zabezpieczenia danych osobowych;
• wyodrębnienie osobnych definicji dotyczących danych na temat zdrowia i danych genetycznych;
• wprowadzenie nowej definicji danych biometrycznych — wraz z generalnym zakazem przetwarzania takich danych;
• nowa definicja jednostki organizacyjnej;
• definicja zgody na przetwarzanie danych osobowych — rozporządzenie określa, że wyrażenie zgody musi mieć formę okazania woli w formie oświadczenia lub wyraźnego działania potwierdzającego.

Procedura oceny skutków (DPIA)

Ocena powinna być przeprowadzana za każdym razem, gdy istnieje ryzyko, że podczas przetwarzania danych osobowych naruszone zostanie prawo lub wolność osób fizycznych. RODO dokładnie określa, w jakich sytuacjach konieczne jest przeprowadzenie takiej procedury, a kiedy Administrator Danych Osobowych może ją pominąć.

Zgłaszanie incydentów bezpieczeństwa

Administratorzy Danych Osobowych, wraz z nadejściem nowego rozporządzenia, będą musieli także zgłaszać wszelkie incydenty związane z naruszeniem bezpieczeństwa danych osobowych, określanych przez RODO jako takie, które “prowadzą do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych”.

Administrator ma 72 godziny na zgłoszenie GIODO faktu zaistnienia takiego incydentu.

Dodatkowo RODO wprowadza obowiązek prowadzenia tak zwanego rejestru naruszeń, w którym powinny się znajdować  wszystkie informacje na temat naruszeń.

Nowe prawa obywateli

Rozporządzenie GDPR wprowadzi też kilka nowych praw dla obywateli, a wśród nich:

• Możliwość żądania przeniesienia danych;
• Obywatel zyska wzmocnione prawo do wglądu i dostępu do swoich danych;
• Możliwość usunięcia danych osobowych obywatela („Prawo do bycia zapomnianym”).

Inspektor Ochrony Danych

Wraz z wejściem w życie RODO w przedsiębiorstwach, które zarówno przetwarzają, jak i kontrolują dane osobowe wymagane będzie wyznaczenie osoby na stanowisko Inspektora Ochrony Danych (IOD) – zastąpi ona Administratora Bezpieczeństwa Informacji.

Współadministrator danych osobowych

Inną nowością, jaką wprowadzi RODO są współadministratorzy danych osobowych. Dzięki temu spółki, które należą do tej samej grupy kapitałowej będą mogły wspólnie zarządzać danymi osobowymi.

Nowe procedury

RODO wprowadza także nowe procedury, wśród których są między innymi privacy by design i privacy by default. Zmiany te wymuszają na Administratorach konieczność wdrożenia zasad prywatności na etapie projektowania oraz to, że zasady prywatności powinny stanowić „domyślny” element składowy każdego projektu zakładającego przetwarzanie danych osobowych.

Rejestr czynności przetwarzania

Administratorzy mają także – określony przez RODO – obowiązek prowadzenia rejestru czynności przetwarzania. Zawierać on powinien informacje na temat administratorów i innych osób zajmujących się przetwarzaniem danych osobowych, cel ich przetwarzania, listę osób, którym dane te zostały udostępnione i sposoby ich zabezpieczenia.

Jak RODO wpłynie na działy w firmach oraz mniejsze przedsiębiorstwa?

Rozporządzenie unijne dotyczące ochrony danych osobowych wprowadzi znaczne zmiany w pracy poszczególnych działów w dużych firmach – w szczególności tych zajmujących się rekrutacją pracowników. Działy HR, w świetle nowych obowiązków, muszą informować kandydatów o tym, w jakim celu oraz jak długo będą przetwarzane podane przez nich dane, oraz kto będzie miał do nich dostęp.

Mniejsze firmy – te, które zatrudniają mniej niż 250 pracowników – mają też pewne przywileje, których nie mają firmy duże. Jest to między innymi brak obowiązku prowadzenia rejestru czynności przetwarzania (o ile przetwarzane nie są dane wrażliwe). Mniejsze przedsiębiorstwa mają też więcej czasu na wdrożenie wszelkich wymagań i jest on dostosowany do ich możliwości.

Podsumowując, RODO wprowadza szereg obowiązków, które mogą być kłopotliwe do wdrożenia dla przedsiębiorców. Jednakże rozporządzenie nakłada też na organy nadzorcze obowiązek edukacyjny, stąd osoby, których dane są przetwarzane będą bardziej świadome tego faktu i będą znać dokładne procedury.

Zbiór danych

Jest to baza zawierająca wszystkie informacje na temat klientów sklepu internetowego i w myśl ustawy o ochronie danych osobowych stanowi ona zbiór danych. Dotychczas GIODO wymagało od właścicieli sklepów internetowych rejestrowania takich zbiorów – co nie zawsze było czynnością łatwą. Wraz z wejściem w życie RODO przedsiębiorcy nie będą musieli rejestrować w GIODO zbioru danych.

Pełen tekst RODO w wersji polskiej

Z pełnym tekstem Rozporządzenia Ogólnego o Ochronie Danych Osobowych można zapoznać się na stronach EUR-Lex, która gromadzi wszystkie akty prawne Unii Europejskiej. Polska wersja dokumentu znajduje się pod tym adresem.