Ogólne rozporządzenie o ochronie danych (RODO)

STRESZCZENIE DOKUMENTU:

Rozporządzenie (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych

JAKIE SĄ CELE ROZPORZĄDZENIA?

Ogólne rozporządzenie o ochronie danych (RODO) chroni osoby fizyczne w związku z przetwarzaniem ich danych przez podmioty prywatne oraz przez większość podmiotów publicznych. Przetwarzanie danych przez właściwe organy ścigania do celów egzekwowania prawa podlega jednak nie przepisom RODO, ale dyrektywie o ochronie danych w sprawach karnych (zob. streszczenie).
Umożliwia ono osobom fizycznym lepszą kontrolę nad ich danymi osobowymi. Zapewnia modernizację i ujednolicenie przepisów, umożliwiając przedsiębiorstwom ograniczenie biurokracji i korzystanie ze zwiększonego zaufania klientów.
Ustanawia ono całkowicie niezależne organy nadzorcze odpowiedzialne za monitorowanie stosowania i egzekwowanie przestrzegania przepisów.
Stanowi ono część pakietu Unii Europejskiej (UE) dotyczącego reformy przepisów o ochronie danych, w skład którego wchodzi też dyrektywa o ochronie danych w sprawach karnych i rozporządzenie (UE) 2018/1725 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne UE (zob. streszczenie).

KLUCZOWE ZAGADNIENIA

Prawa osób fizycznych

RODO wzmacnia istniejące prawa osób fizycznych, uwzględnia nowe prawa i daje osobom fizycznym większą kontrolę nad ich danymi osobowymi. Rozporządzenie zawiera poniższe elementy.

Łatwiejszy dostęp do danych. Oznacza to zapewnienie większej liczby informacji na temat sposobu przetwarzania danych i zapewnienie, aby informacje były dostępne w przejrzysty i zrozumiały sposób.
Nowe prawo do przenoszenia danych. Ułatwia ono przesyłanie danych osobowych pomiędzy dostawcami usług.
Jaśniejsze prawo do usunięcia danych (prawo do bycia zapomnianym). Gdy dana osoba nie chce, aby jej dane były dalej przetwarzane i nie są już one niezbędne, takie dane zostaną usunięte.
Prawo do bycia poinformowanym w razie naruszenia ochrony danych osobowych. Przedsiębiorstwa i organizacje są zobowiązane niezwłocznie zawiadomić odpowiednie organy nadzorcze ds. ochrony danych, a w przypadku poważnych naruszeń danych – także osoby, których te dane dotyczą.

Przepisy dotyczące przedsiębiorstw

RODO gwarantuje równe warunki działania dla wszystkich przedsiębiorstw prowadzących działalność na rynku wewnętrznym UE, przyjmuje podejście neutralne pod względem technicznym i pobudza innowacyjność za pośrednictwem szeregu środków, takich jak wymienione poniżej.

Jeden zbiór ogólnounijnych przepisów. Jedno ogólnounijne prawo dotyczące ochrony danych zwiększa pewność prawną i zmniejsza obciążenie administracyjne.
Inspektor ochrony danych. Osoba odpowiedzialna za ochronę danych musi być wyznaczana przez organy publiczne oraz przez przedsiębiorstwa, które przetwarzają dane na dużą skalę lub których główna działalność polega na przetwarzaniu szczególnych kategorii danych, takich jak dane dotyczące zdrowia.
Kompleksowa obsługa. Przedsiębiorstwa kontaktują się tylko z jednym organem nadzorczym (w państwie członkowskim UE, w którym posiadają główną jednostkę organizacyjną); w przypadkach o charakterze transgranicznym właściwe organy nadzorcze współpracują ze sobą w ramach Europejskiej Rady Ochrony Danych.
Przepisy unijne dla przedsiębiorstw spoza UE. Firmy z siedzibą poza UE stosują te same przepisy przy oferowaniu towarów i usług osobom w UE lub przy monitorowaniu zachowania osób na terytorium UE.
Przepisy sprzyjające innowacji. Gwarancja, że zabezpieczenia chroniące dane są wbudowane w produkty i usługi od najwcześniejszego etapu rozwoju (ochrona danych w fazie projektowania oraz domyślna ochrona danych).
Technologie sprzyjające prywatności. Zaleca się techniki, takie jak pseudonimizacja (gdy wartości identyfikujące w danym wpisie zastępowane są jednym lub wieloma sztucznymi identyfikatorami) oraz szyfrowanie (gdy dane są kodowane w sposób umożliwiający ich odczytanie tylko osobom upoważnionym), w celu ograniczenia ingerencyjnego charakteru przetwarzania.
Usunięcie powiadomień. Na mocy RODO zniesiono większość obowiązków zawiadamiania i koszty z nimi związane. Jednym z celów jest usunięcie przeszkód utrudniających swobodny przepływ danych osobowych w UE. Ułatwi to rozwój przedsiębiorstw w ramach jednolitego rynku cyfrowego.
Ocena skutków dla ochrony danych. Organizacje będą zobowiązane do przeprowadzania oceny skutków, gdy przetwarzanie danych może rodzić duże ryzyko naruszenia praw i swobód osób.
Rejestrowanie. Małe i średnie przedsiębiorstwa nie są zobowiązane do rejestrowania czynności związanych z przetwarzaniem danych, chyba że takie przetwarzanie ma regularny charakter lub może skutkować ryzykiem naruszenia praw i swobód osób, których dane są przetwarzane, lub dotyczy kategorii danych wrażliwych.
Nowoczesny zestaw narzędzi do międzynarodowej wymiany danych. RODO oferuje wiele różnych instrumentów przekazywania danych poza UE, takich jak decyzje stwierdzające odpowiedni stopień ochrony przyjmowane przez Komisję Europejską w przypadku państw trzecich, które zapewniają odpowiedni stopień ochrony, jak również wcześniej zatwierdzone (standardowe) klauzule umowne, wiążące reguły korporacyjne, kodeksy postępowania oraz mechanizm certyfikacji.

Przegląd

W czerwcu 2020 r. Komisja przedłożyła sprawozdanie z oceny i przeglądu rozporządzenia. Kolejna ocena zostanie przeprowadzona w 2024 r.

OD KIEDY ROZPORZĄDZENIE MA ZASTOSOWANIE?

RODO obowiązuje od 25 maja 2018 r.

KONTEKST

Więcej informacji:

Reforma unijnych przepisów o ochronie danych (Komisja Europejska)
Ochrona danych osobowych w UE (Komisja Europejska)
Sprawozdanie Komisji: Unijne przepisy o ochronie danych wzmacniają pozycję obywateli i są dostosowane do potrzeb ery cyfrowej – komunikat prasowy (Komisja Europejska)
Reforma przepisów o ochronie danych – komunikat prasowy (Komisja Europejska)
Ochrona danych osobowych (Komisja Europejska).

W związku z wybuchem epidemii COVID-19 i wprowadzeniem środków w celu łagodzenia skutków kryzysu Komisja przyjęła:

zalecenie Komisji (UE) 2020/518 z dnia 8 kwietnia 2020 r. w sprawie wspólnego unijnego zestawu instrumentów ułatwiającego wykorzystanie technologii i danych w celu zwalczania kryzysu wywołanego przez COVID-19 i wyjścia z niego, w szczególności w odniesieniu do aplikacji mobilnych i wykorzystywania zanonimizowanych danych dotyczących mobilności.

GŁÓWNY DOKUMENT

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1–88).

Kolejne zmiany rozporządzenia (UE) 2016/679 zostały włączone do tekstu pierwotnego. Tekst skonsolidowany ma jedynie wartość dokumentacyjną.

DOKUMENTY POWIĄZANE

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89–131).

Zobacz tekst skonsolidowany.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39–98).

Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37–47).

Zobacz tekst skonsolidowany.

Ostatnia aktualizacja: 07.01.2022