Wdrożenie regulacji RODO

30 maja 2018 { 905 odsłon }
Od dnia 25 maja 2018 roku we wszystkich państwach należących do Unii Europejskiej obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ("RODO").
Wraz z wejściem w życie nowych przepisów zmieniają się dotychczasowe uwarunkowania prawne w zakresie ochrony oraz przetwarzania danych osobowych, które dotyczą wszystkich przedsiębiorców – niezależnie od skali działania, branży czy modelu biznesowego. Rozporządzenie to nakłada jednoznaczny obowiązek dostosowania się do nowych przepisów z uwagi na fakt, iż na tworzonych przez nas aplikacjach internetowych (strony WWW, serwisy, portale, e-sklepy), wykorzystywane są różnego rodzaju narzędzia służące do bezpośredniego oraz pośredniego zbierania, gromadzenia oraz przetwarzania danych osobowych.

Są to w szczególności:
  1. Pliki "Cookies" (Ciasteczka), służące do zbierania i przetwarzania danych osobowych oraz danych eksploatacyjnych tj. adres IP oraz nazwa hosta, w celu:
    • personalizowania udostępnianych treści,
    • analizowania ruchu na stronie,
  2. Formularze internetowe, służące do zbierania od użytkowników danych niestanowiących szczególnej kategorii danych osobowych. Są to w szczególności dane identyfikacyjne tj: imię i nazwisko, nazwa firmy, NIP, REGON, nazwisko panieńskie matki, miejsce urodzenia, dane adresowe: adres zamieszkania lub adres siedziby, adres oraz dane kontaktowe: adres e-mail, telefon, które zbierane są dla celów:
    • kontaktowych, dotyczących udzielenia odpowiedzi na przesłane zapytanie ofertowe lub wyrażoną opinię,
    • handlowo-usługowych, związanych z realizacją umowy kupna-sprzedaży, zawieraną za pośrednictwem sklepów internetowych lub zawarcia umowy o świadczenie usług,
    • analitycznych, dotyczących tworzenia zestawień, analiz i statystyk, udzielenia odpowiedzi na złożone zapytanie lub wniosek, udzielenia wsparcia technicznego,
    • księgowych, związanych z koniecznością wystawienia dowodów księgowych (faktur),
    • marketingowych, związanych z przedstawianiem ofert, promocją produktów i usług oraz przesyłania powiadomień o aktualizacjach (Newsletter).
Rozporządzenie RODO wprowadza zmiany, dzięki którym dane osobowe klientów oraz podmiotów gospodarczych, pozostawione na Państwa stronie internetowej będą lepiej chronione, a każda osoba będzie miała zapewniony szereg praw, umożliwiających kontrolę nad przekazywanymi danymi osobowymi. Przetwarzanie danych w związku z RODO podlega ścisłym uwarunkowaniom, których wypełnienie oraz przestrzeganie spoczywa na przedsiębiorcy. W szczególności dotyczą one możliwości dobrowolnego i niewymuszonego ich podawania, precyzyjnego określenia celu przetwarzania tych danych oraz wskazania horyzontu czasowego, w którym będą one wykorzystywane. W związku z tą regulacją RODO dodatkowo precyzuje szereg praw przysługujących użytkownikom stron www tj.:
  • prawo żądania dostępu do danych osobowych,
  • prawo sprostowania danych osobowych,
  • prawo do żądania uzupełnienia niekompletnych danych osobowych,
  • prawo do żądania niezwłocznego usunięcia danych osobowych, (prawo do bycia zapomnianym),
  • prawo do żądania ograniczenia przetwarzania danych osobowych,
  • prawo do wniesienia sprzeciwu wobec przetwarzania danych, w tym profilowania,
  • prawo do uzyskania informacji o celach przetwarzania, kategoriach przetwarzanych danych, odbiorcach danych, okresie przechowywania danych,
  • prawo do przeniesienia danych osobowych do innego administratora,
  • prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Kolejnym kluczowym aspektem przy RODO jest rozróżnienie funkcji administratora danych osobowych, który administruje zbiorem we własnym imieniu i dla własnych celów oraz podmiotu przetwarzającego, który zarządza zbiorem w imieniu i na rzecz osoby trzeciej, z którą najczęściej pozostaje w stosunku cywilnoprawnym. Innymi słowy każdy przedsiębiorca jest administratorem danych, ponieważ ustala cele oraz sposoby przetwarzania danych osobowych, np. dla potrzeb wystawienia faktur za usługi. Podmiot przetwarzający z kolei przetwarza dane osobowe w imieniu administratora, czyli dba o ich ochronę, zapewnia dostęp do danych oraz realizuje wszelkie prawa, przysługujące Klientom oraz użytkownikom stron www.

Ustawodawstwo europejskie wprowadza jeszcze pojęcie Inspektora Ochrony Danych (ang. DPO – Data Protection Officer), który czuwa nad wypełnianiem przepisów dotyczących ochrony danych oraz jest gwarantem zgodności działań prowadzonych przez podmiot przetwarzający, w zakresie przetwarzania danych z obowiązującymi przepisami. Inspektor Ochrony Danych pełni swoją rolę w sposób całkowicie autonomiczny i z zachowaniem pełnej neutralności.

Poza nowymi obowiązkami informacyjnymi, wynikającymi z RODO za jedną z najważniejszych zmian należy uznać poszerzenie odpowiedzialności przedsiębiorców za naruszenia przepisów, określających zasady pozyskiwania i przetwarzania przez nich danych osobowych. Rozporządzenie przewiduje wielokrotnie wyższe kary finansowe za naruszenia przepisów – świadome lub nieświadome. Wprowadza dwie kategorie naruszeń, dla których grzywny mogą wynosić odpowiednio:
  • do 10 mln euro lub do 2% wartości globalnego obrotu przedsiębiorstwa (w kategorii pierwszej), lub
  • do 20 mln euro lub do 4% wartości globalnego obrotu (w kategorii drugiej naruszeń).
Pełna informacja, dotycząca przetwarzania danych osobowych jest dostępna w tym miejscu.