GDPR

1. Wprowadzenie

Od dnia 25 maja 2018 roku na terenie Polski oraz wszystkich państw członkowskich Unii Europejskiej obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, znane jako Ogólne Rozporządzenie o Ochronie Danych Osobowych (GDPR/RODO).

W celu wdrożenia przepisów GDPR Polska dostosowała krajowe przepisy dotyczące ochrony danych osobowych, w szczególności poprzez ustawę o ochronie danych osobowych z dnia 10 maja 2018 roku.

Organem odpowiedzialnym za nadzór nad przestrzeganiem przepisów dotyczących ochrony danych osobowych w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (UODO).

Polski system ochrony danych osobowych pozostaje w pełni zgodny z przepisami GDPR i ma na celu zapewnienie wysokiego poziomu ochrony danych osobowych osób fizycznych.

2. Zakres stosowania

Polskie przepisy wdrażające GDPR mają zastosowanie do:

wszystkich administratorów danych oraz podmiotów przetwarzających posiadających siedzibę na terytorium Polski;

podmiotów spoza Polski, które oferują towary lub usługi osobom przebywającym w Polsce lub monitorują ich zachowanie.

Przepisy mają zastosowanie niezależnie od tego, czy przetwarzanie danych odbywa się na terytorium Polski czy poza nim, jeżeli dotyczy danych osobowych osób znajdujących się w Polsce.

Zakres obejmuje zarówno zautomatyzowane przetwarzanie danych, jak i przetwarzanie niezautomatyzowane stanowiące część uporządkowanego zbioru danych.

Przetwarzanie danych wyłącznie do celów osobistych lub domowych nie podlega przepisom GDPR.

3. Zasady przetwarzania danych

Legalność, rzetelność i przejrzystość

Przetwarzanie danych osobowych musi odbywać się zgodnie z prawem, w sposób rzetelny i przejrzysty wobec osoby, której dane dotyczą.

Ograniczenie celu

Dane osobowe mogą być zbierane wyłącznie w jasno określonych i zgodnych z prawem celach oraz nie mogą być dalej przetwarzane w sposób niezgodny z tymi celami.

Minimalizacja danych

Należy zbierać wyłącznie dane niezbędne do realizacji określonego celu.

Prawidłowość danych

Administrator danych zobowiązany jest zapewnić, aby dane były prawidłowe, kompletne oraz w razie potrzeby aktualizowane.

Ograniczenie przechowywania

Dane osobowe mogą być przechowywane jedynie przez okres niezbędny do realizacji celu przetwarzania. Po jego zakończeniu dane powinny zostać usunięte lub zanonimizowane.

Integralność i poufność

Administratorzy oraz podmioty przetwarzające są zobowiązani stosować odpowiednie środki techniczne i organizacyjne w celu ochrony danych przed utratą, nieuprawnionym dostępem, zmianą lub ujawnieniem.

4. Prawa osób, których dane dotyczą

Zgodnie z GDPR oraz polskimi przepisami osoby fizyczne posiadają następujące prawa:

Prawo do informacji i dostępu

Prawo do uzyskania informacji o przetwarzaniu danych osobowych oraz dostępu do swoich danych.

Prawo do sprostowania danych

Prawo do poprawienia nieprawidłowych lub niekompletnych danych osobowych.

Prawo do usunięcia danych („prawo do bycia zapomnianym”)

Prawo do żądania usunięcia danych osobowych, jeżeli spełnione są warunki określone przepisami prawa.

Prawo do ograniczenia przetwarzania

Prawo do ograniczenia przetwarzania danych w określonych sytuacjach.

Prawo do przenoszenia danych

Prawo do otrzymania danych osobowych w ustrukturyzowanym, powszechnie używanym formacie oraz przekazania ich innemu administratorowi.

Prawo sprzeciwu

Prawo do wniesienia sprzeciwu wobec przetwarzania danych opartego na uzasadnionym interesie administratora lub wykonywanego w interesie publicznym.

Prawo dotyczące zautomatyzowanego podejmowania decyzji

Osoby fizyczne mają prawo do informacji, sprzeciwu oraz uzyskania interwencji człowieka w przypadku decyzji podejmowanych wyłącznie w sposób zautomatyzowany, w tym profilowania.

W przypadku przetwarzania danych dzieci poniżej 16 roku życia wymagana może być zgoda rodzica lub opiekuna prawnego zgodnie z obowiązującymi przepisami.

5. Obowiązki administratorów i podmiotów przetwarzających

Podmioty przetwarzające dane są zobowiązane do działania wyłącznie na podstawie udokumentowanych instrukcji administratora danych.

Administratorzy i podmioty przetwarzające muszą wdrożyć odpowiednie środki techniczne oraz organizacyjne zapewniające bezpieczeństwo danych osobowych.

Podmioty przetwarzające są zobowiązane wspierać administratora w realizacji obowiązków wynikających z GDPR, w tym odpowiadaniu na żądania osób, których dane dotyczą.

W przypadku naruszenia ochrony danych osobowych administrator danych ma obowiązek zgłoszenia incydentu do Prezesa UODO w terminie 72 godzin od jego wykrycia, jeśli istnieje ryzyko naruszenia praw lub wolności osób fizycznych.

Administratorzy danych są zobowiązani prowadzić rejestr czynności przetwarzania oraz przeprowadzać ocenę skutków dla ochrony danych (DPIA) w przypadku operacji wysokiego ryzyka.

W określonych przypadkach organizacje są zobowiązane wyznaczyć Inspektora Ochrony Danych (IOD).

6. Międzynarodowy transfer danych

Przekazywanie danych osobowych poza Europejski Obszar Gospodarczy może odbywać się wyłącznie przy zapewnieniu odpowiedniego poziomu ochrony danych.

Może to nastąpić między innymi poprzez:

decyzję Komisji Europejskiej stwierdzającą odpowiedni stopień ochrony;

stosowanie Standardowych Klauzul Umownych (SCC);

inne mechanizmy zgodne z GDPR.

Po unieważnieniu mechanizmu Privacy Shield organizacje przekazujące dane poza UE są zobowiązane stosować aktualne zgodne z prawem mechanizmy transferu danych.

7. Nadzór i egzekwowanie przepisów

Prezes Urzędu Ochrony Danych Osobowych (UODO) posiada szerokie uprawnienia nadzorcze i egzekucyjne, w tym możliwość:

wydawania ostrzeżeń i nakazów dostosowania działań do przepisów;

ograniczenia lub zakazu przetwarzania danych;

nakładania administracyjnych kar pieniężnych.

Zgodnie z GDPR kary mogą wynosić do 20 milionów euro lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa — w zależności od tego, która kwota jest wyższa.

Polskie przepisy dotyczące ochrony danych mają na celu ochronę praw osób fizycznych, zwiększenie zgodności przedsiębiorstw z przepisami oraz budowanie zaufania w środowisku cyfrowym.

8. Dane kontaktowe

W przypadku pytań dotyczących ochrony danych osobowych lub wykonywania praw wynikających z GDPR prosimy o kontakt z naszym zespołem ds. ochrony danych osobowych za pośrednictwem dostępnych kanałów kontaktu.