close
Share with your friends

10 najważniejszych rzeczy, które musisz wiedzieć o nowym ogólnym rozporządzeniu o ochronie danych osobowych (GDPR; RODO)

10 najważniejszych rzeczy o GDPR; RODO

Przybliżamy GDPR – wskazujemy na 10 najważniejszych rzeczy, które musisz wiedzieć o nowym rozporządzeniu o ochronie danych osobowych.

Kontakt

Kontakt

Powiązane treści

Aktualizacja: 2018-01-20

10 najważniejszych rzeczy, które musisz wiedzieć o nowym ogólnym rozporządzeniu o ochronie danych osobowych (GDPR)

1. Kilka tygodni na zmiany. Nowe przepisy nie wymagają wdrożenia.

4 maja 2016 r. ogłoszono tekst Rozporządzenia Parlamentu Europejskiej i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/45/WE („GDPR”).

Nowe przepisy będą stosowane bezpośrednio, nie będą wymagały żadnej implementacji, choć na gruncie krajowym możemy spodziewać się własnych regulacji szczególnych w niektórych kwestiach.

GDPR weszło już w życie, jednakże zgodnie z przepisem przejściowym będzie mieć zastosowanie od 25 maja 2018 r.

2. Szerszy zakres podmiotowy zobowiązanych do przestrzegania GDPR

GDPR będzie stosowane nie tylko do administratorów czy przetwarzających mających siedzibę w państwie członkowskim UE (niezależnie czy przetwarzanie odbywa się w UE), ale także do podmiotów spoza UE przetwarzających dane osób, jeżeli oferują im towary i usługi w UE (nawet nieodpłatnie), lub monitorują ich zachowania (w UE).

3. Zasada przejrzystości - jasne i zrozumiałe informacje.

Jednym z filarów GDPR, jest zasada przejrzystości w stosunku do osób fizycznych, których dane osobowe są przetwarzane. Przejrzystość przejawiać się będzie w wielu obowiązkach związanych z przetwarzaniem danych osobowych (przede wszystkie w zakresie obowiązków informacyjnych). Wszelkie informacje i komunikaty mają być łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.

4. Wymogi dot. zgody na przetwarzanie danych

GDPR stawia określone wymagania w stosunku do zgody i wprowadza definicję tego pojęcia. Co najważniejsze administrator ma obowiązek wykazania , iż zgoda została wyrażona.

Zgoda musi być dobrowolna, może być udzielona w dowolnej formie, istotniej jednak jest to, by administrator mógł wykazać fakt jej wyrażenia. GDPR przewiduje system uzyskiwania zgód wyłącznie na zasadzie opt – in (świadoma, dobrowolna, samodzielna zgoda na udostępnienie danych).

GDPR jasno stanowi, że na przetwarzanie w różnych celach, potrzebna jest zgoda na wszystkie te cele.

5. Prawo do bycia zapomnianym (usunięcie danych).

GDPR gwarantuje każdej osobie fizycznej prawo do „bycia zapomnianym”, czyli do tego, by dane osobowe zostały usunięte i przestały być przetwarzane, jeżeli nie są one już niezbędne do celów, w których były zbierane lub w inny sposób przetwarzane, a osoba, której dane dotyczą, cofnęła zgodę lub wniosła sprzeciw wobec przetwarzania danych osobowych jej dotyczących, lub też przetwarzanie jej danych osobowych nie jest z innego powodu zgodne z GDPR. Rozporządzenie wprowadza jednak pewne wyjątki od tej zasady.

W odniesieniu do bycia zapomnianym w sieci, GDPR formułuje szczególne obowiązki dla administratorów.

6. Zasada ochrony prywatności by design.

Zgodnie z zasadą ochrony prywatności by design (tzw. zasada prywatności „w fazie projektowania”) administrator już na etapie projektowania danego rozwiązania związanego z przetwarzaniem danych osobowych ma uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, a następnie przy określaniu sposobów przetwarzania ma wdrożyć odpowiednie środki techniczne i organizacyjne.

7. Zasada ochrony prywatności by default.

Zasada ochrony prywatności by default obliguje z kolei administratora, aby w/w środki zapewniały, iż domyślnie przetwarzane będą tylko te dane osobowe, które są niezbędnie dla osiągnięcia konkretnego celu przetwarzania, odnosząc to także do ilości zbieranych danych, zakresu ich przetwarzania, okresu i ich przechowywania, jak i dostępności.

8. Ocena ryzyka i zgłaszanie naruszeń.

GDPR nakłada obowiązek stosowania podejścia opartego na ryzyku ( tzw. risked based approach) pod kątem oceny skutków i zagrożeń (ryzyka) wynikających z przetwarzania dla ochrony danych osobowych. Administrator ma oceniać jakie dane przetwarza i jakie zagrożenie może mieć miejsce przy przetwarzaniu danych. Ma to także prowadzić do oceny, jakie środki należy podjąć w celu ochrony danych w ramach ich przetwarzania.

Zupełną nowością jest obowiązek zgłaszania organowi nadzoru zaistnienia zdarzenia skutkującego naruszeniem ochrony danych osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Obowiązek ten ma dotyczyć zarówno administratorów (ci informują w Polsce GIODO), ale i przetwarzających (ci informują administratora). Co najważniejsze, o niektórych naruszeniach (z wysokim ryzykiem) należy także zawiadomić podmiot, którego dane zostały zagrożone czy naruszone.

9. Obowiązek wyznaczenia inspektora ochrony danych (zastąpienie ABI).

Zgodnie z art. 37 zarówno administrator jak i podmiot przetwarzający, będą mieć obowiązek wyznaczenia inspektora ochrony danych we wskazanych przypadkach (np. gdy przetwarzanie wiąże się z regularnym i systematycznym monitorowaniem osób, których dane dotyczą, na dużą skalę). Obowiązek wyznaczenia inspektora, może nałożyć także prawo krajowe.

10. Odszkodowanie i wysokie kary.

GDPR przewiduje surowe kary administracyjne za jego naruszenie – za jedną grupę naruszeń do 10.000.000 EUR, a w przypadku przedsiębiorców do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, bądź w ramach drugiej grupy naruszeń do 20.000.000 EUR, a w przypadku przedsiębiorców w ramach grup naruszeń do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym w obu przypadkach zastosowanie ma kwota wyższa).

Poza tym GDPR reguluje prawo do dochodzenia odszkodowania od administratora lub podmiotu przetwarzającego za szkodę majątkową lub niemajątkową w wyniku naruszenia GDPR.

Autor: Katarzyna Wojciechowaska, Radca prawny, Associate w kancelarii D.Dobkowski stowarzyszonej z KPMG w Polsce

© 2020 KPMG Sp. z o.o. jest polską spółką z ograniczoną odpowiedzialnością i członkiem sieci KPMG składającej się z niezależnych spółek członkowskich stowarzyszonych z KPMG International Cooperative (“KPMG International”), podmiotem prawa szwajcarskiego. Wszelkie prawa zastrzeżone.

Bądź z nami w kontakcie

 

Want to do business with KPMG?

 

loading image Zapytanie ofertowe (RFP)