Rozporządzenie RODO

Nowe zasady dotyczące ochrony danych osobowych – rozporządzenie RODO

RODO

W dniu 25 maja 2016 roku weszło w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych), (określane powszechnie jako „RODO”). Rozporządzenie RODO zacznie być aktem bezpośrednio stosowanym oraz bezpośrednio skutecznym w polskim porządku prawnym z dniem 25 maja 2018 r. i do tego czasu Polska zobowiązana jest do zapewnienia jego skutecznego stosowania w swoim porządku prawnym poprzez przyjęcia właściwych przepisów wewnętrznych.

W związku z powyższym w celu przybliżenia Państwu zmian jakie RODO zawiera, publikujemy gościnny artykuł p. Beaty Sałdan – Radcy prawnego, która zajmuje się m.in. kwestiami e-commerce i ochroną danych osobowych. Zapraszamy do lektury wszystkich właścicieli e-sklepów. Tekst wskazuje na najistotniejsze kwestie wprowadzane w zakresie danych osobowych przez RODO.

RODO, co to własciwie oznacza dla handlujących w internecie?

info

RODO zostało uchwalone m.in. po to, aby zapewnić spójny stopień ochrony osób fizycznych we wszystkich krajach członkowskich Unii Europejskiej, zapobiegać rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym, zagwarantować podmiotom gospodarczym pewność prawa i przejrzystość, a osobom fizycznym - ten sam poziom prawnie egzekwowalnych praw oraz obowiązków i zadań administratorów i podmiotów przetwarzających, a także by zapewnić równoważne kary oraz skuteczną współpracę organów nadzorczych z różnych państw członkowskich EU.

Ministerstwo Cyfryzacji jako organ upoważniony do implementacji do polskiego porządku prawnego postanowień RODO, na swojej stronie internetowej https://www.gov.pl/cyfryzacja/dokumenty27 udostępnia projekt z dnia 12 września 2017 roku nowej ustawy o ochronie danych osobowych oraz zmian w przepisach sektorowych wprowadzanych projektem ustawy wprowadzającej ustawę o ochronie danych osobowych (zwany dalej „Projektem Ustawy”). Zmiany wprowadzane przez Projekt Ustawy dotyczą zmian przepisów sektorowych obejmujący swoim zakresem ponad 130 ustaw. Jak wskazuje Ministerstwo Cyfryzacji: „projekt pod względem ilości zmienianych aktów prawnych, jest jednym z największych  w ciągu ostatnich lat. Polska stała się tym samym pierwszym państwem w Unii Europejskiej, które wdrażając nowe unijne prawo o ochronie danych osobowych zmienia cały krajowy system prawny.” Będzie to zatem istna rewolucja w materii ochrony danych osobowych.

Projekt Ustawy przewiduje m.in. zastąpienie dotychczasowego Generalnego Inspektora Ochrony Danych Osobowych poprzez Prezesa Urzędu Ochrony Danych Osobowych, który ma pełnić funkcję organu nadzorczego w zakresie przestrzegania przepisów z zakresu ochrony danych osobowych w Polsce.


Co obowiązywanie RODO oznacza w praktyce dla osób prowadzących sprzedaż w sklepach internetowych, i jakie są sankcje za niespełnienie wymogów nałożonych unijnym rozporządzeniem?


pkt1

Kogo dotyczy RODO?

Ma zastosowanie

Zarówno RODO, jak i Projekt Ustawy będą mieć zastosowanie JEDYNIE DO OSÓB FIZYCZNYCH, co oznacza, że ani RODO, ani Projekt Ustawy nie będą zapewniać ochrony przetwarzania danych osobowych dotyczących osób prawnych, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.

Nie ma zastosowania

RODO NIE MA zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej, czyli bez związku z działalnością zawodową lub handlową. Działalność osobista lub domowa może między innymi polegać na korespondencji i przechowywaniu adresów, podtrzymywaniu więzi społecznych oraz działalności internetowej podejmowanej w ramach takiej działalności. Ale RODO ma zastosowanie do administratorów lub podmiotów przetwarzających, którzy udostępniają środki przetwarzania danych osobowych na potrzeby takiej działalności osobistej lub domowej.

pkt2

Warunki wyrażania zgody na przetwarzanie danych:

Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne, a informacje powinny być wyrażane w sposób jasny i przejrzysty, co oznacza, że wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych powinny być łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. W szczególności konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania.

Zgoda na przetwarzanie danych

Zgoda na przetwarzanie danych powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia.

Może to polegać na:

  • zaznaczeniu okienka wyboru podczas przeglądania strony internetowej (check-box), na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego;
  • lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.

Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody na przetwarzanie danych.

Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele.

Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

RODO wymaga także przewidzenia procedury ułatwiającej osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy RODO, w tym mechanizmy żądania i uzyskiwania dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności gdy dane osobowe są przetwarzane drogą elektroniczną. Administrator powinien być zobowiązany udzielić odpowiedzi na żądania osób, których dane dotyczą, bez zbędnej zwłoki – najpóźniej w terminie miesiąca, a jeżeli nie zamierza spełnić takiego żądania – podać tego przyczyny.

Co do zasady odpowiedź administratora danych na żądanie informacji o przetwarzaniu jest bezpłatne. RODO umożliwia jednak pobranie opłaty i to swoista NOWOŚĆ w przepisach o ochronie danych osobowych. Jeśli jednak żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może:

  • pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo
  • odmówić podjęcia działań w związku z żądaniem.

Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.


pkt3

Warunki wyrażania zgody na przetwarzanie danych przez dziecko:

Art. 3. Projektu Ustawy wskazuje, że w przypadku usług świadczonych drogą elektroniczną oferowanych bezpośrednio osobie, która nie ukończyła lat trzynastu i która przebywa na terytorium Rzeczpospolitej Polskiej, gdy podstawą przetwarzania danych osobowych jest zgoda tej osoby, przetwarzanie danych osobowych możliwe jest wyłącznie po uzyskaniu uprzedniej zgody jej przedstawiciela ustawowego albo po niezwłocznym potwierdzeniu przez przedstawiciela ustawowego zgody wyrażonej przez taką osobę.


pkt4

Obowiązki informacyjne przy zbieraniu danych osobowych:

Zgodnie z zapisami RODO, osoba, której dane dotyczą, musi być informowana o prowadzeniu operacji przetwarzania i o jej celach, co oznacza, że administrator powinien podać osobie, której dane dotyczą w szczególności następujące informacje:

  • swoją tożsamość i dane kontaktowe;
  • dane kontaktowe inspektora ochrony danych - jeśli takowy jest powołany u przedsiębiorcy zbierającego dane osobowe;
  • cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą;
  • jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji.

Informacje o przetwarzaniu danych osobowych dotyczących osoby, której dane dotyczą, należy przekazać tej osobie w momencie zbierania danych, a jeżeli danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła – w rozsądnym terminie, zależnie od okoliczności.

RODO wskazuje także szczegółowo, jakie informacje należy podawać w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą.


pkt5

„Prawo do bycia zapomnianym”:

RODO w art. 17. wskazuje konkretne okoliczności, kiedy to osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe.

Są to np. sytuacje, kiedy to dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane, dane osobowe były przetwarzane niezgodnie z prawem, albo też zgoda została cofnięta lub został złożony sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania.


pkt6

Pozostałe obowiązki administratora danych osobowych:

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator zobowiązany jest wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie RODO i aby móc to wykazać.

Są to w szczególności:

  1. obowiązek wdrożenia odpowiednich polityk ochrony danych osobowych;
  2. obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania;
  3. jeżeli przetwarzanie ma być dokonywane w imieniu administratora obowiązek korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą;
  4. obowiązek prowadzenia rejestrów czynności przetwarzania;
  5. obowiązek zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu;
  6. obowiązek zawiadamiania osoby, której dane dotyczą o naruszeniu ochrony danych osobowych.

RODO nie określa jednak minimalnych standardów technicznych mających na celu zabezpieczenie danych. Co istotne od 25 maja 2018 roku przestanie obowiązywać rozporządzenie MSWiA określające warunki techniczne i organizacyjne, jakie muszą spełniać urządzenia i systemy informatyczne wykorzystywane do przetwarzania danych osobowych, a każdy administrator będzie musiał samodzielnie zdecydować, jakie zabezpieczenia, dokumentację i procedury przetwarzania danych wdrożyć.
Pomocne będą na pewno wskazane w RODO instrumenty: tzw. kodeksy postępowania, mechanizm certyfikacji, wytyczne Europejskiej Rady Ochrony Danych lub sugestie inspektora ochrony danych.


pkt7

Inspektor ochrony danych:

Administrator i podmiot przetwarzający mają obowiązek wyznaczenia inspektora ochrony danych, z całą pewnością, gdy:

  1. zatrudniają więcej niż 250 pracowników
  2. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
  3. jeśli główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  4. lub też gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (chodzi o dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie dot. danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Do głównych zadań Inspektora ochrony danych Inspektor ochrony danych należy informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów; monitorowanie przestrzegania przepisów z zakresu ochrony danych osobowych; udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych; współpraca z organem nadzorczym; a także pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.


pkt8

Kary finansowe:

Co grozi za nieprzestrzeganie postanowień RODO, to chyba temat najbardziej interesujący wszystkich, którzy RODO będą musieli stosować.

ODPOWIEDZIALNOŚĆ CYWILNA:

Każda osoba, której dane dotyczą, ma prawo do skutecznego dochodzenia ochrony prawnej przed sądem, jeśli uważa że poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia prawa przysługujące jej na mocy RODO. Oznacza to dla administratora danych osobowych lub podmiotu przetwarzającego nic innego jak OBOWIĄZEK wypłaty odszkodowania za poniesioną szkodę.

ODPOWIEDZIALNOŚĆ ADMINISTRACYJNA:

RODO przewiduje możliwość nałożenia przez organ nadzoru (w Polsce będzie to Prezes Urzędu Ochrony Danych Osobowych) administracyjnej kary pieniężnej w wysokości nawet do 20 milionów euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorcy, którego działania lub zaniechania naruszają przepisy RODO.


pinezka

Podsumowanie:

W dniu wejścia w życie RODO i Projektu Ustawy przedsiębiorcy będą musieli dostosować/zmodyfikować dotychczas wdrożone procedury w zakresie ochrony danych osobowych do nowych wymogów, i to zarówno od strony technicznej (w kwestii pozyskiwania zgód na przetwarzanie danych, czy to przy składaniu zamówień w sklepie internetowym, czy przy zapisywaniu się do newsletterów), ale także przygotować się od strony formalnej poprzez przygotowanie odpowiednich wzorów dokumentów, rejestrów i wykazów, a niektórzy także będą musieli powołać Inspektora ochrony danych.

Wskazane w niniejszym tekście zmiany, jakie czekają na przedsiębiorców przetwarzających dane osobowe, warto prześledzić samemu uważnie czytając tekst unijnego rozporządzenia RODO. Warto także zapoznać się z Projektem Ustawy, a także z finalnym tekstem polskiej ustaw o ochronie danych osobowych, która zapewne w niedługim czasie zostanie uchwalona i wejdzie w życie.

Projekt nowej polskiej ustawy o ochronie danych osobowych, na dzień przygotowywania tegoż artykułu, przeszedł etap konsultacji społecznych i został skierowany do Sejmu RP celem dalszego procedowania legislacyjnego nad projektem.

Z całą pewnością warto odpowiednio wcześnie zadbać o dostosowanie zarówno dokumentów, jak i funkcjonalności stron i sklepów internetowych do wymogów RODO, i z uwagi na obszerność zmian, skorzystać przy tym z pomocy fachowców, gdyż konsekwencje finansowe za niedostosowanie się do wymogów RODO mogą być dotkliwe.

Autorka: Beata Sałdan, Radca prawny, absolwentka Wydziału Prawa i Administracji Uniwersytetu Śląskiego w Katowicach, wpisana na listę radców prawnych w OIRP w Krakowie. Prowadzi własną kancelarię prawną, specjalizuje się w obsłudze podmiotów gospodarczych, w szczególności podmiotów z branży e-commerce oraz z branży budowlanej.

Kancelaria Radcy Prawnego Beaty Sałdan (www.saldan.pl) specjalizuje się w kompleksowej obsłudze podmiotów gospodarczych, doradzając klientom we wszelkich działaniach wymagających znajomości prawa. Kancelaria posiada bogate doświadczenie w obsłudze prawnej. Obecnie Kancelaria proponuje również komunikację i obsługę online poprzez dedykowaną dla przedsiębiorców platformę internetową dostępną pod adresem www.legamo.pl.

Data publikacji: 28-11-2017r.

Przetestuj bezpłatnie AptusShop!×
Oferujemy możliwość bezpłatnego zapoznania się z funkcjonalnością sklepu internetowego AptusShop przez okres 3 tygodni. Bez żadnych zobowiązań z Twojej strony uruchomimy w pełni działający sklep wraz z panelem administracyjnym pod testowym adresem.
Wersja demonstracyjna oprogramowania sklepu internetowego AptusShop

Administratorem danych osobowych jest Aptus.pl Spółka z ograniczoną odpowiedzialnością, Plac Pod Lipami 5, 40-476 Katowice, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy Katowice-Wschód w Katowicach, VIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000348810, NIP: 6342737712, REGON 241453835, kapitał zakładowy: 120.000,00 zł. Więcej informacji nt. ochrony danych osobowych znajduje się w Polityce prywatności.