GDPR

Ochrona danych osobowych – RODO (GDPR) w Polsce

1. Wprowadzenie
Od 25 maja 2018 r. w całej Unii Europejskiej, w tym w Polsce, obowiązuje Rozporządzenie o Ochronie Danych Osobowych (RODO, ang. GDPR – General Data Protection Regulation). W Polsce przepisy te zostały uzupełnione przez ustawę o ochronie danych osobowych.

Nadzór nad przestrzeganiem RODO w Polsce sprawuje Prezes Urzędu Ochrony Danych Osobowych (UODO), który jest odpowiedzialny za kontrolę, doradztwo oraz egzekwowanie przepisów dotyczących ochrony danych osobowych.

Polski system ochrony danych jest w pełni zgodny z RODO i ma na celu zapewnienie wysokiego poziomu ochrony prywatności osób fizycznych.

2. Zakres stosowania
Polskie przepisy RODO mają zastosowanie do:

• podmiotów mających siedzibę w Polsce, które przetwarzają dane osobowe jako administratorzy lub podmioty przetwarzające;
• podmiotów spoza Polski, które oferują towary lub usługi osobom znajdującym się w Polsce lub monitorują ich zachowanie na terenie Polski.

Przepisy dotyczą zarówno przetwarzania automatycznego, jak i częściowo zautomatyzowanego, a także danych stanowiących część systemów archiwizacji. Dane przetwarzane wyłącznie w celach osobistych lub domowych nie podlegają RODO.

3. Zasady przetwarzania danych

Zgodność z prawem, rzetelność i przejrzystość
Dane muszą być przetwarzane zgodnie z prawem, w sposób uczciwy i przejrzysty dla osoby, której dotyczą.

Ograniczenie celu
Dane mogą być zbierane wyłącznie w konkretnych, jasno określonych i legalnych celach.

Minimalizacja danych
Zbierane są wyłącznie dane niezbędne do realizacji danego celu.

Prawidłowość danych
Dane muszą być aktualne i poprawne.

Ograniczenie przechowywania
Dane nie mogą być przechowywane dłużej niż jest to konieczne do realizacji celu ich przetwarzania.

Integralność i poufność
Administratorzy danych muszą stosować odpowiednie środki techniczne i organizacyjne w celu ochrony danych przed utratą, nieuprawnionym dostępem lub zniszczeniem.

4. Prawa osób, których dane dotyczą
Zgodnie z RODO użytkownik ma prawo do:

• dostępu do swoich danych osobowych;
• sprostowania danych;
• usunięcia danych („prawo do bycia zapomnianym”);
• ograniczenia przetwarzania danych;
• przenoszenia danych do innego administratora;
• sprzeciwu wobec przetwarzania danych opartego na uzasadnionym interesie lub interesie publicznym;
• niepodlegania zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu.

W przypadku osób poniżej 16 roku życia przetwarzanie danych wymaga zgody opiekuna prawnego.

5. Obowiązki administratora i podmiotów przetwarzających
Administrator danych zobowiązany jest do:

• przetwarzania danych zgodnie z prawem i udokumentowanymi instrukcjami;
• wdrożenia odpowiednich środków bezpieczeństwa;
• zapewnienia realizacji praw osób, których dane dotyczą;
• zgłaszania naruszeń ochrony danych do UODO w ciągu 72 godzin, jeśli istnieje ryzyko naruszenia praw i wolności osób;
• prowadzenia rejestru czynności przetwarzania;
• przeprowadzania oceny skutków dla ochrony danych (DPIA) w przypadku wysokiego ryzyka;
• wyznaczenia inspektora ochrony danych (IOD), jeśli wymagają tego przepisy.

6. Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG)
Przekazywanie danych osobowych poza EOG jest możliwe wyłącznie pod warunkiem zapewnienia odpowiedniego poziomu ochrony, np. poprzez:

• decyzję Komisji Europejskiej o odpowiednim poziomie ochrony;
• standardowe klauzule umowne (SCC);
• inne mechanizmy zgodne z RODO.

Po unieważnieniu Privacy Shield, przekazywanie danych do USA i innych krajów odbywa się na podstawie aktualnych SCC lub innych zgodnych z prawem mechanizmów.

7. Nadzór i egzekwowanie przepisów
Organ nadzorczy w Polsce (UODO) posiada prawo do:

• wydawania ostrzeżeń i nakazów;
• ograniczania lub zakazywania przetwarzania danych;
• nakładania administracyjnych kar pieniężnych.

Kary mogą wynosić do 20 milionów euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa (w zależności od tego, która kwota jest wyższa).

8. Kontakt
W przypadku pytań dotyczących ochrony danych osobowych lub realizacji praw wynikających z RODO prosimy o kontakt z naszym działem ochrony danych za pośrednictwem wskazanego adresu e-mail lub innych dostępnych kanałów komunikacji.