GDPR

1. Wprowadzenie
Od 25 maja 2018 r. Rozporządzenie Ogólne o Ochronie Danych (RODO / GDPR) obowiązuje bezpośrednio we wszystkich państwach członkowskich Unii Europejskiej, w tym w Polsce. W celu dostosowania krajowego porządku prawnego Polska zaktualizowała przepisy, w szczególności ustawę o ochronie danych osobowych z dnia 10 maja 2018 r.

Organem nadzorczym odpowiedzialnym za ochronę danych osobowych w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (PUODO), który pełni funkcję niezależnego organu kontrolnego, monitorującego zgodność przetwarzania danych z RODO oraz przepisami krajowymi.

Polski system ochrony danych osobowych jest w pełni zgodny z RODO i stanowi jego krajowe uzupełnienie.

2. Zakres stosowania
Przepisy RODO w Polsce mają zastosowanie do:

• podmiotów mających siedzibę na terytorium Polski, które przetwarzają dane osobowe jako administratorzy lub podmioty przetwarzające;
• podmiotów spoza Polski oferujących towary lub usługi osobom przebywającym na terytorium Polski lub monitorujących ich zachowanie.

Przepisy obejmują zarówno zautomatyzowane przetwarzanie danych, jak i dane znajdujące się w systemach archiwalnych. Wyjątek stanowi przetwarzanie danych wyłącznie w celach osobistych lub domowych.

3. Zasady przetwarzania danych

• Zgodność z prawem, rzetelność i przejrzystość – dane muszą być przetwarzane na podstawie ważnej podstawy prawnej i w sposób zrozumiały dla osoby, której dane dotyczą.
• Ograniczenie celu – dane mogą być wykorzystywane wyłącznie w jasno określonych celach.
• Minimalizacja danych – zbierane są tylko dane niezbędne do realizacji celu.
• Prawidłowość danych – dane muszą być aktualne i poprawne.
• Ograniczenie przechowywania – dane przechowywane są tylko przez okres niezbędny do realizacji celu.
• Integralność i poufność – dane muszą być odpowiednio zabezpieczone przed utratą, modyfikacją lub nieuprawnionym dostępem.

4. Prawa osób, których dane dotyczą

Zgodnie z RODO osoby fizyczne mają prawo do:

• dostępu do danych;
• sprostowania danych;
• usunięcia danych („prawo do bycia zapomnianym”);
• ograniczenia przetwarzania;
• przenoszenia danych;
• sprzeciwu wobec przetwarzania danych;
• niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu.

W przypadku dzieci poniżej 16 roku życia przetwarzanie danych wymaga zgody rodzica lub opiekuna prawnego.

5. Obowiązki administratorów i podmiotów przetwarzających

Administrator danych jest zobowiązany do:

• przetwarzania danych zgodnie z instrukcjami i przepisami prawa;
• wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych;
• współpracy z organem nadzorczym;
• zgłaszania naruszeń ochrony danych w ciągu 72 godzin, jeśli mogą stanowić ryzyko dla osób fizycznych;
• prowadzenia rejestru czynności przetwarzania;
• przeprowadzania oceny skutków dla ochrony danych (DPIA) w przypadku wysokiego ryzyka.

W określonych przypadkach wymagane jest wyznaczenie Inspektora Ochrony Danych (IOD / DPO).

6. Przekazywanie danych do państw trzecich

Przekazywanie danych poza Europejski Obszar Gospodarczy jest możliwe wyłącznie pod warunkiem zapewnienia odpowiedniego poziomu ochrony, m.in. poprzez:

• decyzję Komisji Europejskiej o odpowiednim poziomie ochrony;
• standardowe klauzule umowne (SCC);
• inne mechanizmy zgodne z RODO.

Po unieważnieniu Privacy Shield, transfer danych do USA i innych krajów odbywa się na podstawie zaktualizowanych standardowych klauzul umownych lub innych zgodnych mechanizmów prawnych.

7. Nadzór i egzekwowanie przepisów

Organ nadzorczy w Polsce (PUODO) posiada prawo do:

• wydawania ostrzeżeń i nakazów;
• ograniczania lub zakazywania przetwarzania danych;
• nakładania administracyjnych kar pieniężnych.

Kary mogą wynosić do 20 milionów euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa (w zależności od tego, która wartość jest wyższa).

RODO w Polsce ma na celu zapewnienie wysokiego poziomu ochrony danych osobowych, zwiększenie odpowiedzialności przedsiębiorstw oraz budowanie zaufania w środowisku cyfrowym.

8. Kontakt
W sprawach dotyczących ochrony danych osobowych prosimy o kontakt z naszym działem obsługi klienta lub inspektorem ochrony danych (jeśli został wyznaczony), za pośrednictwem dostępnych kanałów komunikacji.