RODO cóż to takiego?
RODO!
No cóż muszę przypsieszyć tempo dodawania postów, ponieważ termin oddania bloga to 26 stycznia ;).
No więc postaram się wam unaocznić czym jest RODO. Nie ukrywam, że będę posiłkować się wikipedią.
Cóż to takiego ciekawego jest?
Ogólne rozporządzenie o ochronie danych, inaczej rozporządzenie o ochronie danych osobowych, RODO (ang. General Data Protection Regulation, GDPR) – rozporządzenie unijne, zawierające przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.
Celem rozporządzenia jest doprowadzenie do pełnej harmonizacji prawa w ramach UE i swobodnego przepływu danych osobowych[1]. W założeniu ma pozwolić mieszkańcom Unii Europejskiej na lepszą kontrolę ich danych osobowych oraz stanowić modernizację i ujednolicenie przepisów umożliwiających firmom ograniczanie biurokracji i korzystanie ze zwiększonego zaufania klientów[2]. Rozporządzenie ma też na celu zaktualizować przepisy, by te spełniały swoję funkcję w XXI wieku i odpowiadały na zagrożenia wynikające z użycia w przetwarzaniu danych osobowych nowoczesnych technologii[3]. Ogólne rozporządzenie o ochronie danych jest częścią pakietu UE dotyczącego reformy ochrony danych[4], razem z dyrektywą o ochronie danych w obszarze policji i wymiaru sprawiedliwości[5][2].
Rozporządzenie zostało przyjęte 27 kwietnia 2016. W momencie wejścia w życie (od 25 maja 2018), po dwuletnim okresie przejściowym, zaczęło obowiązywać w krajach członkowskich UE bezpośrednio, bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego. Zastąpiło wówczas dyrektywę 95/46/WE.
Rozporządzenie dopuszcza pewne zmiany wprowadzane w ustawodawstwach krajów członkowskich. Nad polskimi przepisami pracowało Ministerstwo Cyfryzacji[8]. Zaproponowało ono likwidację urzędu Generalnego Inspektora Ochrony Danych Osobowych i zastąpienie go Prezesem Urzędu Ochrony Danych Osobowych[9]. 10 maja 2018 roku Sejm VIII kadencji uchwalił nową ustawę o ochronie danych osobowych, która zapewnia stosowanie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 o ochronie danych osobowych na terytorium Polski oraz ustanawia nowy organ właściwy w sprawie ochrony danych osobowych – Prezesa Urzędu Ochrony Danych Osobowych[11]. Ustawa weszła w życie 25 maja 2018 roku. Ministerstwo Spraw Wewnętrznych i Administracji opracowało w 2018 roku projekt ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości[12].
Nowe prawo wprowadza m.in.:
łatwiejszy dostęp do danych (zapewnienie większej liczby informacji na temat sposobu przetwarzania danych i zapewnienie, aby informacje były dostępne w przejrzysty i zrozumiały sposób),
nowe prawo do przenoszenia danych (ułatwia przesyłanie danych osobowych pomiędzy dostawcami usług),
jaśniejsze prawo do usunięcia danych („prawo do bycia zapomnianym”),
prawo do bycia niezwłocznie poinformowanym w razie ataku hakerskiego na dane (firmy będą także zobligowane zawiadomić odpowiednie organy nadzorcze ds. ochrony danych),
technologie takie jak pseudonimizacja oraz szyfrowanie.
Według szacunków Unii Europejskiej, ujednolicone na całym kontynencie prawo ma przynieść 2,3 miliarda euro oszczędności rocznie[2]. Komisja Europejska ma złożyć sprawozdanie z oceny i przeglądu tego rozporządzenia do 25 maja 2020
Skutki
Facebook utworzył nowe centrum ochrony prywatności (Privacy Basics), które będzie zawierało wszystkie główne ustawienia prywatności w jednym miejscu. Ze względu na europejskie przepisy, w irlandzkim oddziale Facebooka w Dublinie (Facebook Ireland Limited, to druga obok Facebook Inc spółka Facebooka) miał zostać zatrudniony Deputy Chief Privacy Officer. Osoba, która będzie na tym stanowisku ma mieć pełen dostęp do wszystkich zasobów przedsiębiorstwa, a jej działania mają być nadzorowane bezpośrednio przez Marka Zuckerberga. Jednocześnie ma pozostawać w ciągłym kontakcie z lokalnym organem nadzorczym. Aby wdrożyć GDPR, Facebook zatrudnił setki ludzi (inżynierów, analityków, prawników oraz specjalistów od polityk prywatności i bezpieczeństwa danych), którzy oceniają każdą poszczególną funkcję portalu pod kątem zgodności z jego wymaganiami. Implementacja koncentruje się wokół dwóch kluczowych kwestii: transparentności przetwarzania oraz kontroli użytkownika nad swoimi danymi.
Amazon rozpoczął ulepszanie szyfrowania danych w swojej usłudze przechowywania w chmurze i uprościł umowę z klientami dotyczącą sposobu przetwarzania ich informacji. Google musiało przeprojektować wiele umów dot. zgody, a także zmienić podstawową technologię, aby ułatwić usuwanie danych.
Japonia w 2017 powołała niezależną agencję zajmującą się skargami dotyczącymi prywatności, aby dostosować się do europejskich standardów (podczas negocjacji w sprawie nowej umowy handlowej między Japonią a UE). Izrael i Nowa Zelandia należą do kilku międzynarodowych partnerów, którzy zawarli umowy z UE, potwierdzając, że ich przepisy dotyczące ochrony danych są równe tym obowiązującym w Europie. Inne kraje, od Kolumbii, przez Koreę Południową, po Bermudy, podobnie dostosują prawo krajowe. W niektórych przypadkach ma to się odbyć dosłownie.
No i myk ustawa z 10 maja 2018, która weszła w życie:
Rozdział 1
Przepisy ogólne
Art. 1. 1. Ustawę stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i art. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1), zwanego dalej „rozporządzeniem 2016/679”. 2. Ustawa określa: 1) podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania o jego wyznaczeniu;
2) warunki i tryb akredytacji podmiotu uprawnionego do certyfikacji w zakresie ochrony danych osobowych, akredytowanego przez Polskie Centrum Akredytacji, zwanego dalej „podmiotem certyfikującym”, podmiotu monitorującego kodeks postępowania oraz certyfikacji; 3) tryb zatwierdzenia kodeksu postępowania; 4) organ właściwy w sprawie ochrony danych osobowych; 5) postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych; 6) tryb europejskiej współpracy administracyjnej; 7) kontrolę przestrzegania przepisów o ochronie danych osobowych; 8) odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobowych i postępowanie przed sądem; 9) odpowiedzialność karną i administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.
Art. 2. 1. Do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu ustawy z dnia 26 stycznia 1984 r. − Prawo prasowe (Dz. U. poz. 24, z późn. zm.4) ), a także do wypowiedzi w ramach działalności literackiej lub artystycznej nie stosuje się przepisów art. 5–9, art. 11, art. 13–16, art. 18–22, art. 27, art. 28 ust. 2–10 oraz art. 30 rozporządzenia 2016/679. 2. Do wypowiedzi akademickiej nie stosuje się przepisów art. 13, art. 15 ust. 3 i 4, art. 18, art. 27, art. 28 ust. 2–10 oraz art. 30 rozporządzenia 2016/679.
Art. 3. 1. Administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 13 ust. 3 rozporządzenia 2016/679, jeżeli zmiana celu przetwarzania służy realizacji zadania publicznego i niewykonanie obowiązku, o którym mowa w art. 13 ust. 3 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 tego rozporządzenia, oraz przekazanie tych informacji: 1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub 2) naruszy ochronę informacji niejawnych. 2. W przypadku, o którym mowa w ust. 1, administrator zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą. 3. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie nieprzekazania informacji, o których mowa w art. 13 ust. 3 rozporządzenia 2016/679.
Art. 4. 1. W zakresie nieuregulowanym w art. 14 ust. 5 rozporządzenia 2016/679 administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679, jeżeli służy to realizacji zadania publicznego i niewykonanie obowiązku, o którym mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 tego rozporządzenia, oraz przekazanie tych informacji: 1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub 2) naruszy ochronę informacji niejawnych. 2. W przypadku, o którym mowa w ust. 1, administrator zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą. 3. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie nieprzekazania informacji, o których mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679.
Art. 5. 1. Administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 15 ust. 1–3 rozporządzenia 2016/679, jeżeli służy to realizacji zadania publicznego i niewykonanie obowiązków, o których mowa w art. 15 ust. 1–3 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 tego rozporządzenia, oraz wykonanie tych obowiązków: 1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub 2) naruszy ochronę informacji niejawnych. 2. W przypadku gdy wykonanie obowiązków, o których mowa w art. 15 ust. 1 i 3 rozporządzenia 2016/679, wymaga niewspółmiernie dużego wysiłku związanego z wyszukaniem danych osobowych, administrator wykonujący zadanie publiczne wzywa osobę, której dane dotyczą, do udzielenia informacji pozwalających na wyszukanie tych danych. Przepis art. 64 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 oraz z 2018 r. poz. 149 i 650) stosuje się odpowiednio. 3. W przypadkach, o których mowa w ust. 1 i 2, administrator zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą. 4. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie niewykonania obowiązków, o których mowa w art. 15 ust. 1–3 rozporządzenia 2016/679.
Art. 6. Ustawy oraz rozporządzenia 2016/679 nie stosuje się do: 1) przetwarzania danych osobowych przez jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1, 3, 5, 6 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2017 r. poz. 2077 oraz z 2018 r. poz. 62 i 1000), w zakresie, w jakim przetwarzanie to jest konieczne do realizacji zadań mających na celu zapewnienie bezpieczeństwa narodowego, jeżeli przepisy szczególne przewidują niezbędne środki ochrony praw i wolności osoby, której dane dotyczą; 2) działalności służb specjalnych w rozumieniu art. 11 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (Dz. U. z 2017 r. poz. 1920 i 2405 oraz z 2018 r. poz. 138, 650, 723 i 730).
Art. 7. 1. W sprawach nieuregulowanych w ustawie do postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych, zwanym dalej „Prezesem Urzędu”, o których mowa w rozdziałach 4–7 i 11, stosuje się ustawę z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego. 2. Postępowanie przed Prezesem Urzędu jest postępowaniem jednoinstancyjnym. 3. Do postanowień wydanych w postępowaniach, o których mowa w ust. 1, na które zgodnie z ustawą z dnia 14 czerwca 1960 r. − Kodeks postępowania administracyjnego służy zażalenie, przepisów o zażaleniu nie stosuje się. 4. Na postanowienia, o których mowa w ust. 3, służy skarga do sądu administracyjnego.
Tak przykładowo wygląda pierwszy rozdizał po resztę zapraszam na stronę sejmu.