Podstawy prawne

Ogólne Rozporządzenie o Ochronie Danych (RODO), znane w UE jako GDPR (General Data Protection Regulation), obowiązuje w Polsce bezpośrednio od 25 maja 2018 roku. Uzupełnia je krajowa ustawa o ochronie danych osobowych z 2018 roku oraz sektorowe regulacje branżowe.

RODO ustanawia zasady przetwarzania danych osobowych na podstawie art. 5: zgodność z prawem, rzetelność i przejrzystość; ograniczenie celu; minimalizacja danych; prawidłowość; ograniczenie przechowywania; integralność i poufność; rozliczalność.

Role i odpowiedzialność

RODO wprowadza wyraźny podział ról podmiotów uczestniczących w przetwarzaniu danych:

  • Administrator danych — podmiot określający cele i sposoby przetwarzania danych. Odpowiada za zgodność przetwarzania z RODO i za zawieranie umów z podmiotami przetwarzającymi.
  • Podmiot przetwarzający — przetwarza dane w imieniu administratora na podstawie umowy powierzenia (art. 28 RODO). Dostawcy oprogramowania, hostingu i usług chmurowych często pełnią tę rolę.
  • Inspektor Ochrony Danych (IOD) — obowiązkowy w podmiotach publicznych oraz organizacjach prowadzących regularne i systematyczne monitorowanie na dużą skalę lub przetwarzających dane wrażliwe na dużą skalę.

Wymagania techniczne

Artykuł 32 RODO nakłada obowiązek stosowania odpowiednich środków technicznych i organizacyjnych, uwzględniając stan wiedzy technicznej, koszt wdrożenia i ryzyko. W kontekście systemów IT obejmuje to:

  • szyfrowanie danych osobowych w spoczynku i podczas transmisji,
  • pseudonimizację danych tam, gdzie jest to możliwe,
  • zapewnienie trwałej poufności, integralności, dostępności i odporności systemów,
  • zdolność do szybkiego przywrócenia dostępu do danych po incydencie,
  • regularne testowanie, mierzenie i ocenianie skuteczności środków.

Zasada privacy by design (art. 25) wymaga uwzględniania ochrony danych już na etapie projektowania systemów informatycznych, nie jedynie jako element wdrożenia.

Dokumentacja

Kluczowe dokumenty wymagane przez RODO dla podmiotów zarządzających systemami IT:

  • Rejestr czynności przetwarzania (RCP) — obowiązkowy dla administratorów, którzy nie spełniają warunków wyłączenia (art. 30 RODO).
  • Umowy powierzenia przetwarzania — zawierane z każdym podmiotem przetwarzającym.
  • Ocena Skutków dla Ochrony Danych (DPIA) — wymagana przy przetwarzaniu stwarzającym wysokie ryzyko (art. 35 RODO).
  • Polityka bezpieczeństwa i procedury — opis stosowanych środków technicznych i organizacyjnych.

Naruszenia danych

Artykuł 33 RODO nakłada obowiązek zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego (w Polsce: Urząd Ochrony Danych Osobowych, UODO) w ciągu 72 godzin od ich stwierdzenia, chyba że naruszenie nie powoduje ryzyka dla praw i wolności osób.

Gdy naruszenie może skutkować wysokim ryzykiem, konieczne jest również powiadomienie osób, których dane dotyczą (art. 34 RODO).

Articles published on this website summarize publicly available information, industry research and educational materials.

Najczęstsze pytania

Czy RODO dotyczy wyłącznie dużych organizacji?
Nie. RODO stosuje się do każdego podmiotu przetwarzającego dane osobowe osób fizycznych w UE, niezależnie od wielkości, z nielicznymi wyjątkami dla działalności czysto osobistej lub domowej.
Jakie kary grożą za naruszenie RODO?
RODO przewiduje dwa poziomy kar: do 10 mln EUR lub 2% rocznego obrotu za mniej poważne naruszenia oraz do 20 mln EUR lub 4% rocznego obrotu za naruszenia podstawowych zasad. Organ nadzorczy może też nakładać inne środki naprawcze.
Czy chmura publiczna jest zgodna z RODO?
Korzystanie z usług chmurowych jest dozwolone pod warunkiem zawarcia umowy powierzenia przetwarzania z dostawcą, oceny zabezpieczeń oraz, w przypadku dostawcy spoza EOG, weryfikacji podstawy prawnej transferu (np. standardowe klauzule umowne).
Jak długo można przechowywać dane osobowe?
Dane osobowe można przechowywać nie dłużej, niż jest to niezbędne do celów, dla których zostały zebrane. Okres retencji powinien być określony w rejestrze czynności przetwarzania i uzasadniony konkretną podstawą prawną lub wymogami prawnymi.