Rozporządzenie RODO ma bardzo szeroki zasięg. Obejmuje wszystkie państwa członkowskie Unii Europejskiej, w tym także Wielką Brytanię po Brexicie. W przeciwieństwie do zasad dotyczących ochrony danych osobowych zawartych w Dyrektywie 95/46, RODO ma także wpływ na przedsiębiorstwa spoza UE oferujące towary lub usługi na rzecz osób fizycznych w UE lub monitorujące ich zachowanie na terenie UE.

Implikacje RODO są bardzo szerokie; można powiedzieć, że obejmują większość firm na całym świecie oferujących swoje towary i usługi na terenie UE. Niektóre z tych firm będą musiały zatrudnić Inspektora Ochrony Danych, wszystkie zaś wprowadzić dodatkowe procedury i zabezpieczenia, gdyż nieprzestrzeganie przepisów RODO może pociągać za sobą dotkliwe kary administracyjne w wysokości do 4% rocznych globalnych obrotów firmy lub 20 milionów euro. Oto najważniejsze obszary regulowane przez RODO.

Prawa osoby fizycznej oraz sposób informowanie o nich

Obecnie obowiązujące w UE prawodawstwo w zakresie ochrony danych osobowych (Dyrektywa 95/46) daje osobom fizycznym prawo do dysponowania swoimi danymi osobowymi oraz opisuje, w jaki sposób przedsiębiorstwa są zobowiązane informować osoby fizyczne o przysługujących im prawach i zamiarach przedsiębiorcy w odniesieniu do ich danych osobowych. Dotychczas informacje i wyjaśnienia tego typu przyjmowały formę dostępnych na stronach internetowych oświadczeń lub powiadomień o ochronie prywatności danych. RODO znacznie rozszerza te wymagania, określając dodatkowe prawa, o których należy poinformować osoby fizyczne.

W szczególności osoby fizyczne muszą zostać poinformowane o posiadaniu następujących praw (poniższy wykaz nie jest pełny):

1. Do złożenia skargi do organów nadzorczych – w Polsce jest to Generalny Inspektor Ochrony Danych Osobowych (GIODO), a od 25 maja 2018 r. Urząd Ochrony Danych Osobowych.

2. Do wycofania zgody na przetwarzanie swoich danych osobowych (patrz niżej).

3. Do uzyskania dostępu do swoich danych osobowych oraz ich sprostowania lub usunięcia („prawo do bycia zapomnianym”) przez firmę, a także wszelkie strony trzecie, które uzyskały do nich dostęp.

4. Do uzyskania informacji o zastosowaniu do danych osobowych automatycznych systemów przetwarzania (w tym do profilowania).

5. Do sprzeciwu wobec określonych rodzajów przetwarzania, np. do celów marketingu bezpośredniego lub do podejmowania decyzji opierających się wyłącznie na zautomatyzowanym przetwarzaniu.

6. Do uzyskania informacji o tym, jak długo dane będą przechowywane.

7. Do uzyskania informacji na temat wyznaczonego inspektora danych osobowych (patrz niżej); ponadto osoby fizyczne mają prawo do zwrócenia się do organizacji non-profit o wykonanie praw i wniesienie roszczeń w ich imieniu, na zasadach podobnych do pozwu zbiorowego w USA.

Zgoda na gromadzenie i przetwarzanie danych osobowych

[tweet]W przypadku gromadzenia i przetwarzania danych na podstawie zgody osoby fizycznej przepisy RODO wymagają uzyskania dobrowolnej, świadomej zgody odnoszącej się do określonej sytuacji. [/tweet]Zgoda musi zostać potwierdzona w formie oświadczenia lub innej jednoznacznej czynności potwierdzającej. Innymi słowy, domyślnie zaznaczone pola lub milczenie/brak działania ze strony osoby fizycznej po zapoznaniu się z oświadczeniem o ochronie prywatności nie będą jednoznaczne z wyrażeniem przez nią zgody.

Ponadto zgoda nie może mieć charakteru uniwersalnego, a więc nie można wykorzystać jednej zgody udzielonej przez osobę fizyczną na określonym etapie relacji biznesowych jako zgody na przetwarzanie danych osobowych w inny sposób lub w innym celu. Dla różnych operacji przetwarzania danych wymagane są osobne zgody. Co więcej, osoba fizyczna nie tylko musi zostać poinformowana o przysługującym jej prawie do wycofania zgody w każdej chwili, ale wycofanie zgody musi być równie łatwe jak jej udzielenie.

W świetle RODO dotychczasowe zgody udzielone przez osoby fizyczne muszą być przez firmy ponownie zweryfikowane w celu upewnienia się, że spełniają nowe wymogi. W razie sprzeczności lub niejednoznaczności przedsiębiorstwa będą musiały ustanowić nowe, zgodne z prawem podstawy do przetwarzania danych, uzyskać nową zgodę lub zaprzestać przetwarzania danych osobowych.

Podstawowe zasady RODO

Oprócz wyżej przedstawionych nowych wymogów, RODO – podobnie jak Dyrektywa 95/46 – zestawia zasady dotyczące postępowania z danymi osobowymi w trzy zasadnicze grupy. Zasady dotyczące ochrony danych: dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą; muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne; muszą być prawidłowe i w razie potrzeby aktualizowane.

Należy podjąć wszelkie zasadne działania, aby nieprawidłowe dane osobowe zostały niezwłocznie usunięte lub sprostowane; dane muszą być przechowywane w formie umożliwiającej identyfikację osoby fizycznej, przez okres nie dłuższy niż jest to potrzebne oraz przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo – w tym ochronę przed nieuprawnionym lub niezgodnym z prawem dostępem oraz utratą, zniszczeniem lub uszkodzeniem.

Zasady dotyczące przetwarzania danych zgodnie z prawem

Przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadkach, gdy spełniony jest co najmniej jeden z poniższych warunków:

• dana osoba fizyczna wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
• przetwarzanie jest lub wkrótce będzie niezbędne do wykonania umowy, której stroną jest dana osoba fizyczna; przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego (np. złożenie dokumentacji podatkowej przez przedsiębiorstwo);
• przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub wymaganego przez organ publiczny;
• przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez przedsiębiorstwo (lub przez stronę trzecią), z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby fizycznej.

Zasady dotyczące międzynarodowego przekazywania danych

RODO podtrzymuje ogólny zakaz przekazywania danych osobowych poza terytorium Europejskiego Obszaru Gospodarczego do krajów niezapewniających odpowiedniej ochrony.