Co to jest RODO? Prosty przewodnik po ochronie danych w Unii Europejskiej

Jeśli Twoja organizacja gromadzi, wykorzystuje lub śledzi dane osobowe ludzi przebywających na terenie Unii Europejskiej, ma do niej zastosowanie Ogólne rozporządzenie o ochronie danych (RODO). Nie ma znaczenia, gdzie znajduje się siedziba Twojej firmy: to europejskie prawo dotyczące prywatności ma zasięg globalny, jednoznacznie definiując sposób, w jaki przedsiębiorstwa mają się obchodzić z danymi osobowymi.

Przyjęte w 2016 roku i wprowadzone powszechnie od maja 2018 roku, RODO określa jasne zasady dotyczące tego, co zalicza się do danych osobowych, w jaki sposób można ich używać oraz jakie prawa przysługują osobom fizycznym w odniesieniu do ich prywatnych informacji.

W tym przewodniku wyjaśniamy, czym jest RODO, kogo dotyczy oraz co firmy muszą wiedzieć, aby działać w pełnej zgodności z przepisami.

RODO w kilku słowach

RODO (GDPR) to unijne prawo o ochronie prywatności, które chroni dane osobowe ludzi przebywających w UE. Obejmuje to wszelkie informacje, które pozwalają bezpośrednio lub pośrednio zidentyfikować tożsamość danej osoby, takie jak imiona i nazwiska, adresy e-mail, adresy IP czy pliki cookie.

RODO daje ludziom większą kontrolę nad swoimi danymi. Wymaga ono również od przedsiębiorstw rzetelnego przetwarzania tych danych, wyjaśniania celu ich gromadzenia oraz zapewnienia ich bezpieczeństwa. Rozporządzenie zostało wprowadzone w życie 25 maja 2018 roku, zastępując starsze unijne przepisy o ochronie danych.

Dlaczego wprowadzono RODO

Przed RODO ochrona danych w UE opierała się na dyrektywie o ochronie danych z 1995 roku. W tamtym czasie internet był nowością, a firmy przetwarzały znacznie mniej danych osobowych. W miarę postępu technologicznego i przenikania usług online do życia codziennego stało się jasne, że te stare zasady nie są już wystarczające.

W 2012 roku Komisja Europejska zaproponowała wprowadzenie nowych przepisów w celu wzmocnienia praw obywateli do prywatności i dostosowania się do wymogów gospodarki cyfrowej. Po kilku latach dyskusji w 2016 roku RODO zostało przyjęte i oficjalnie weszło w życie w roku 2018.

W przeciwieństwie do poprzedniej dyrektywy, jest ono stosowane bezpośrednio w każdym kraju Unii, ustanawiając spójne standardy i dając obywatelom silniejsze prawa do kontrolowania ich danych osobowych.

Prywatność ma dziś większe znaczenie niż kiedykolwiek w świecie pełnym wzajemnych połączeń, a przepisy takie jak RODO mają na celu przywrócenie użytkownikom pełnej kontroli nad ich danymi.

Kogo dotyczy RODO

RODO ma zastosowanie do każdej organizacji, która gromadzi, wykorzystuje lub przechowuje dane osobowe osób przebywających w Unii Europejskiej, niezależnie od tego, czy siedziba firmy znajduje się wewnątrz, czy poza Europejskim Obszarem Gospodarczym (EOG lub EEA – European Economic Area). Prawo podąża za danymi, a nie za lokalizacją firmy.

Rozporządzenie definiuje dwie kluczowe role:

• Administrator danych: Decyduje o celach i sposobach przetwarzania danych osobowych,
• Podmiot przetwarzający: Przetwarza dane w imieniu administratora; są to na przykład dostawcy usług chmurowych lub operatorzy płatności.

Przedsiębiorstwa w EOG

Europejski Obszar Gospodarczy obejmuje 27 państw członkowskich UE oraz Islandię, Liechtenstein i Norwegię. Każda organizacja posiadająca jednostkę organizacyjną w EOG/EEA musi przestrzegać RODO podczas przetwarzania danych osobowych, nawet jeśli samo przetwarzanie odbywa się poza Europą. Na przykład firma z siedzibą w Polsce, która korzysta z serwerów zlokalizowanych w Stanach Zjednoczonych, nadal ma obowiązek stosować się do zasad RODO.

Przedsiębiorstwa spoza EOG

Przebywanie poza EOG/EEA również nie zwalnia organizacji z przestrzegania RODO. Jeśli Twoja firma wchodzi w interakcję z danymi osobowymi rezydentów Unii Europejskiej w którykolwiek z poniższych sposobów, przepisy te nadal mają zastosowanie:

• Oferuje towary lub usługi osobom w UE, bez względu na to, czy są one odpłatne, czy darmowe.
• Monitoruje zachowanie osób w UE, na przykład poprzez śledzenie aktywności online za pomocą plików cookie lub profilowanie.

Przykładowo, platforma edukacyjna z siedzibą w USA, ale kierująca swoją ofertę do studentów uczelni w Polsce, musi zachować zgodność z RODO. Każda firma spoza Europejskiego Obszaru Gospodarczego, która działa jako podmiot przetwarzający dane dla firmy z EOG, również musi przestrzegać tych przepisów.

Jeśli dana usługa jest dostępna z terenu Unii jedynie incydentalnie, bez wyraźnego kierowania jej do użytkowników w UE lub przetwarzania ich danych osobowych, może ona wykraczać poza zakres stosowania RODO. Jeśli jednak firma ją oferująca nie podejmuje wyraźnych starań, aby wykluczyć rezydentów UE, organy regulacyjne nadal mogą uznać, że RODO ma zastosowanie.

Istnieje również kilka specyficznych rodzajów danych, które są wyłączone z rozporządzenia, w tym dane gromadzone na potrzeby bezpieczeństwa narodowego, działalności organów ścigania lub wyłącznie do celów osobistych i domowych.

Co w świetle RODO uznaje się za dane osobowe?

Zgodnie z RODO dane osobowe to wszelkie informacje dotyczące żyjącej osoby fizycznej, które pozwalają bezpośrednio lub pośrednio ją zidentyfikować. Przykłady obejmują:

• Imiona i nazwiska
• Adresy zamieszkania
• Adresy e-mail zawierające nazwisko danej osoby
• Numery dowodów osobistych lub paszportów
• Adresy IP
• Identyfikatory plików cookie
• Identyfikatory reklamowe w urządzeniach
• Dokumentację medyczną

RODO rozróżnia również dane pseudonimizowane, które wciąż można przypisać do konkretnej osoby, oraz dane zanonimizowane w pełni, w przypadku których jest to niemożliwe. Tylko te ostatnie wykraczają poza zakres stosowania rozporządzenia.

Dodatkowo RODO wyróżnia szczególne kategorie danych osobowych, takie jak pochodzenie rasowe lub etniczne, przekonania religijne, poglądy polityczne oraz dane biometryczne. Przetwarzanie tego rodzaju informacji jest zabronione, z wyjątkiem bardzo ściśle określonych okoliczności, ze względu na wiążące się z tym wyższe ryzyko.

Jakie są podstawy prawne przetwarzania danych osobowych?

RODO nie pozwala organizacjom na przetwarzanie danych osobowych tylko dlatego, że tego chcą. Musi istnieć wyraźny powód prawny, a rozporządzenie definiuje w tym zakresie sześć możliwości:

• Zgoda: Gdy dana osoba wyraziła jednoznaczne przyzwolenie na wykorzystanie jej danych. Zgoda musi być dobrowolna, konkretna i łatwa do wycofania. Akceptacja milczenia lub domyślnie zaznaczone pola są niedopuszczalne jako formy wyrażania zgody.
• Umowa: Przetwarzanie danych jest niezbędne do wykonania umowy z osobą fizyczną (na przykład przetwarzanie danych płatniczych w celu sfinalizowania zakupu).
• Obowiązek prawny: Niekiedy samo prawo wymaga od organizacji przetwarzania danych osobowych, na przykład w przypadku szpitali, które są zobowiązane do prowadzenia dokumentacji medycznej.
• Żywotne interesy: Przetwarzanie danych jest niezbędne do ochrony czyjegoś życia, na przykład w nagłych przypadkach medycznych.
• Zadania publiczne: Przetwarzanie danych jest niezbędne do wykonania oficjalnego obowiązku lub zadania realizowanego w interesie publicznym (często dotyczy to organów państwowych).
• Prawnie uzasadnione interesy: W tym przypadku rozporządzenie zezwala organizacjom przetwarzać dane osobowe, jeśli mają ku temu ważny powód, który nie narusza praw jednostki, jak na przykład wykorzystywanie danych do utrzymania systemów cyberbezpieczeństwa.

7 głównych zasad RODO

RODO opiera się na siedmiu kluczowych zasadach, które dokładnie określają sposób postępowania z danymi osobowymi. Zasady te wyznaczają standardy rzetelności, bezpieczeństwa i odpowiedzialności podczas przetwarzania danych.

1. Zgodność z prawem, rzetelność i przejrzystość

Zasada ta nakazuje, aby dane były gromadzone i wykorzystywane wyłącznie z uzasadnionych powodów dopuszczonych przez RODO, takich jak zgoda danej osoby lub konieczność posiadania danych w celu świadczenia usługi. Oznacza to również rzetelne wykorzystywanie danych, bez wprowadzania ludzi w błąd i bez używania ich informacji w sposób, którego by się nie spodziewali. Wreszcie, kluczowa jest przejrzystość: organizacje muszą wyjaśniać w prostych słowach, jakie dane gromadzą, w jakim celu oraz jak planują je wykorzystać.

2. Ograniczenie celu

Zgodnie z RODO dane osobowe mogą być gromadzone wyłącznie w konkretnym, wyraźnie nakreślonym celu. Organizacje muszą informować osoby o celu zbierania ich danych w momencie ich pozyskiwania. Raz pozyskane dane nie mogą być wykorzystywane do żadnych celów, które byłyby niezgodne z tym pierwotnym założeniem.

3. Minimalizacja danych

RODO wymaga od organizacji gromadzenia wyłącznie tych danych osobowych, które są niezbędne do realizacji konkretnego celu. Zasada ta pomaga ograniczyć ilość przechowywanych informacji o danej osobie, zmniejszając ryzyko w przypadku ich utraty lub niewłaściwego wykorzystania. Dzięki niej proces zbierania danych pozostaje celowy i adekwatny.

4. Prawidłowość

Dane osobowe muszą być poprawne. Jeśli organizacja przechowuje informacje o danej osobie, musi dopilnować, aby były one dokładne i w razie potrzeby aktualizowane. Jeśli dane ulegną zmianie lub zostaną w nich wykryte błędy, organizacja jest odpowiedzialna za ich naprawienie. Dbanie o prawidłowość danych pomaga unikać pomyłek, które mogłyby wpłynąć na sytuację osób fizycznych, zwłaszcza gdy informacje te służą do podejmowania decyzji na ich temat.

5. Ograniczenie przechowywania

Organizacje nie powinny przechowywać danych osobowych dłużej, niż jest to konieczne. Gdy dane spełnią już swój cel, powinny zostać usunięte lub zanonimizowane. Zasada ta gwarantuje, że dane nie są trzymane „na wszelki wypadek” bez wyraźnego powodu. Pomaga to również zmniejszyć ryzyko związane z niepotrzebnym przechowywaniem informacji, takie jak wycieki danych czy naruszenia prywatności.

6. Integralność i poufność

Zapewnienie bezpieczeństwa danym osobowym jest niezbędnym elementem procesu ich przetwarzania. Organizacje muszą chronić dane przed wglądem, kradzieżą lub zmianą przez kogokolwiek, kto nie powinien mieć do nich dostępu. Wiąże się to z wdrażaniem odpowiednich zabezpieczeń w zakresie technologii oraz procedur obsługi danych.

7. Odpowiedzialność

Odpowiedzialność oznacza, że od organizacji oczekuje się nie tylko przestrzegania zasad RODO, ale także umiejętności udowodnienia tego faktu. Obejmuje to wykazanie, że podjęto stosowne kroki w celu ochrony danych osobowych, takie jak prowadzenie rejestrów czynności przetwarzania, szkolenie personelu oraz wdrażanie odpowiednich polityk prywatności.

Prawa użytkowników związane z danymi w ramach RODO

Prawo do bycia informowanym

Masz prawo wiedzieć, kiedy organizacja gromadzi Twoje dane osobowe i dlaczego to robi. Oznacza to, że firmy muszą od samego początku jasno określić, jakie dane zbierają, jak planują je wykorzystać i komu mogą je udostępnić.

Informacje te powinny być łatwe do zrozumienia, abyś mógł podjąć świadomą decyzję, czy zgadzasz się na udostępnienie swoich danych.

Prawo dostępu

Oznacza to, że możesz zapytać dowolną organizację, jakie dane osobowe na Twój temat posiada. Możesz zażądać kopii tych danych wraz ze szczegółami dotyczącymi sposobu ich wykorzystania oraz podmiotów, którym są udostępniane. Organizacje są zobowiązane do dostarczenia tych informacji w rozsądnym terminie.

Prawo to nie jest jednak bezwzględne; nie może ono negatywnie wpływać na prawa i wolności innych osób, w tym na tajemnice handlowe czy własność intelektualną.

Prawo do sprostowania

Jeśli jakiekolwiek Twoje dane osobowe przechowywane przez organizację są błędne lub niekompletne, masz prawo żądać ich poprawienia. Niezależnie od tego, czy chodzi o literówkę w nazwisku, nieaktualny adres czy brakujące informacje, organizacja ma obowiązek to naprawić.

Prawo do usunięcia danych (prawo do bycia zapomnianym)

Możesz poprosić organizację o usunięcie Twoich danych osobowych, gdy nie ma już uzasadnionego powodu, aby je przechowywała. Jest to często nazywane „prawem do bycia zapomnianym”. Ma ono zastosowanie, gdy dane nie są już potrzebne do celu, w którym zostały zebrane, lub gdy organizacja przetwarzała Twoje dane niezgodnie z prawem.

Jednak to prawo również nie jest bezwzględne, ponieważ firmy mogą zachować dane, jeśli mają prawny obowiązek ich przechowywania lub istnieją ku temu inne ważne przesłanki.

Prawo do ograniczenia przetwarzania

Prawo to pozwala Ci żądać od organizacji ograniczenia sposobu wykorzystania Twoich danych osobowych. Możesz o to poprosić, jeśli uważasz, że dane są nieprawidłowe, były przetwarzane niezgodnie z prawem lub jeśli organizacja już ich nie potrzebuje, ale chcesz, aby zostały zachowane na potrzeby roszczeń prawnych. W czasie obowiązywania ograniczenia organizacja może przechowywać dane, ale nie może ich wykorzystywać do innych celów, chyba że wyrazisz na to zgodę lub istnieją ku temu powody prawne.

Prawo do przenoszenia danych

Prawo to pozwala Ci otrzymać kopię Twoich danych osobowych w dostępnym formacie. Możesz również poprosić o przesłanie tych danych bezpośrednio do innej organizacji, jeśli jest to technicznie możliwe. Ideą tego rozwiązania jest zapewnienie Ci większej kontroli nad Twoimi informacjami, co ułatwia np. zmianę usługodawcy lub przeniesienie danych w inne miejsce bez konieczności zaczynania od zera.

Prawo do sprzeciwu

Masz prawo wnieść sprzeciw wobec sposobu wykorzystywania Twoich danych osobowych, zwłaszcza gdy odbywa się to w celach marketingu bezpośredniego. Jeśli zgłosisz sprzeciw, organizacja musi przestać używać Twoich danych, chyba że wykaże, iż ma ważny, prawnie uzasadniony powód, aby kontynuować ich przetwarzanie.

Prawa związane ze zautomatyzowanym podejmowaniem decyzji

Masz również prawo do zakwestionowania decyzji dotyczących Twojej osoby, które zostały podjęte wyłącznie w procesach zautomatyzowanych, zwłaszcza jeśli decyzja ta ma istotny skutek, np. w przypadku ubiegania się o kredyt lub pracę. W takich przypadkach RODO daje Ci prawo do żądania udziału człowieka w procesie przetwarzania; możesz poprosić, aby decyzję zweryfikował żywy pracownik, zamiast pozostawiać ją wyłącznie algorytmom lub systemom zautomatyzowanym.

Czym jest zgoda w świetle RODO i w jaki sposób jest uzyskiwana?

W świetle RODO zgoda musi spełniać rygorystyczne standardy, aby była ważna. Aby została uznana, Twoja zgoda musi być:

• Dobrowolna: musisz mieć realny wybór, bez presji czy negatywnych konsekwencji w przypadku odmowy;
• Konkretna i świadoma: organizacja musi Cię poinformować, kim jest, jakie dane gromadzi, dlaczego ich potrzebuje i jak będą one wykorzystywane;
• Jednoznaczna: zgoda musi wynikać z wyraźnego, potwierdzającego działania, takiego jak zaznaczenie pola wyboru lub podpisanie formularza. Milczenie lub domyślnie zaznaczone pola wyboru nie są wiążące.

Osoby fizyczne mają również prawo do wycofania zgody w dowolnym momencie, a powinno to być tak samo łatwe, jak jej wyrażenie. Po wycofaniu zgody firma musi przestać wykorzystywać Twoje dane we wcześniej określonym celu.

W przypadku usług skierowanych do użytkowników poniżej 16. roku życia zazwyczaj wymagana jest zgoda rodziców, choć niektóre kraje Unii Europejskiej obniżyły ten próg do 13 lat.

W jaki sposób firmy mogą zachować zgodność z wymogami RODO

Istnieją konkretne kroki, które każda organizacja powinna podjąć, aby zachować zgodność z RODO i odpowiednio chronić prywatność.

Rejestry czynności przetwarzania (RCP/RoPA)

Artykuł 30 RODO wymaga od firm dokumentowania sposobu, w jaki postępują z danymi osobowymi. Rejestr czynności przetwarzania (RCP lub Records of Processing Activities – RoPA) powinien wyszczególniać cele przetwarzania, rodzaje gromadzonych danych, podmioty, którym są one udostępniane, okresy przechowywania oraz wdrożone środki bezpieczeństwa.

Choć małe firmy mogą być zwolnione z tego obowiązku, jeśli w ich przypadku przetwarzanie danych osobowych jest sporadyczne i obarczone niskim ryzykiem, prowadzenie tych rejestrów jest kluczowe dla wykazania zgodności z RODO na żądanie organów nadzorczych.

Ocena skutków dla ochrony danych (Data Protection Impact Assessment – DPIA)

Jeśli firma planuje przetwarzać dane osobowe w sposób, który może powodować wysokie ryzyko dla praw i wolności osób fizycznych, musi przeprowadzić ocenę skutków dla ochrony danych (DPIA). Jest to obowiązkowe w przypadkach takich jak stosowanie nowych technologii, monitorowanie miejsc publicznych na dużą skalę lub rozległe przetwarzanie szczególnych kategorii danych.

Celem DPIA jest zidentyfikowanie i ograniczenie potencjalnych zagrożeń przed rozpoczęciem jakiegokolwiek przetwarzania danych. Jeśli mimo podjętych środków nadal utrzymuje się wysokie ryzyko, firma musi przed podjęciem działań skonsultować się z organem nadzorczym – instytucją zlokalizowaną w każdym państwie UE odpowiedzialną za egzekwowanie zgodności z RODO.

Wyznaczenie inspektora ochrony danych (IOD)

Niektóre organizacje są zobowiązane do wyznaczenia IOD na mocy RODO. Osoba ta jest odpowiedzialna za monitorowanie sposobu obsługi danych osobowych w firmie i zapewnienie przestrzegania wymogów RODO.
Wyznaczenie IOD jest niezbędne, jeżeli:

• Organizacja regularnie lub systematycznie monitoruje użytkowników na dużą skalę, np. śledząc ich zachowanie w internecie;
• Organizacja przetwarza na dużą skalę szczególne kategorie danych, takie jak dane dotyczące zdrowia, dane genetyczne lub biometryczne;
• Organizacja jest organem lub podmiotem publicznym (z wyjątkiem sądów wykonujących czynności w ramach wymiaru sprawiedliwości).

Inspektor ochrony danych może być pracownikiem tej samej firmy lub ekspertem zewnętrznym zatrudnionym na podstawie umowy o świadczenie usług. W obu przypadkach musi on działać niezależnie, doradzając personelowi, nadzorując środki ochrony danych i pełniąc funkcję głównego punktu kontaktowego dla organów nadzorczych.

Zabezpieczenia w zakresie transferu danych

W przypadku przekazywania danych osobowych poza UE, RODO wymaga od przedsiębiorstw zapewnienia, że na każdym etapie jest zachowywany ten sam poziom ochrony. Firmy muszą stosować odpowiednie zabezpieczenia, aby chronić dane i zachować zgodność ze standardami RODO.

Istnieje kilka zatwierdzonych sposobów ochrony transferu danych:

• Decyzje stwierdzające odpowiedni stopień ochrony: Dane mogą być przesyłane do krajów, w odniesieniu do których UE stwierdziła, że zapewniają one odpowiedni poziom ochrony danych.
• Umowne środki ochrony: Przedsiębiorstwa mogą włączać specjalne klauzule do umów z odbiorcami spoza UE, aby zagwarantować ochronę danych.
• Odstępstwa: W niektórych przypadkach transfery są dozwolone, jeśli osoba fizyczna wyraziła jednoznaczną zgodę lub jeśli jest to niezbędne ze względów umownych.

Kontrola bezpieczeństwa i szyfrowanie w ramach RODO

Organizacje muszą również wdrażać silne mechanizmy kontroli bezpieczeństwa, aby chronić dane osobowe przed nieuprawnionym dostępem, zmianą lub utratą. Mechanizmy te obejmują środki techniczne, takie jak szyfrowanie, oraz kroki organizacyjne, takie jak ograniczenie dostępu wyłącznie do upoważnionego personelu.

Szyfrowanie odgrywa kluczową rolę w ochronie prywatności i wolności w otwartych społeczeństwach i pozostaje jednym z najskuteczniejszych narzędzi przeciwko wyciekom danych.

Zgłaszanie naruszeń bezpieczeństwa danych

Jeśli naruszenie ochrony danych stwarza ryzyko dla praw lub wolności osób fizycznych, przedsiębiorstwa mają obowiązek powiadomić właściwy organ nadzorczy w ciągu 72 godzin. Jeśli ryzyko jest wysokie, należy również poinformować osoby, których dane dotyczą.

Niezgłoszenie naruszenia w wymaganym terminie może prowadzić do nałożenia kar, dlatego ważne jest, aby firmy posiadały jasne procesy wykrywania, oceniania i sprawnego reagowania na naruszenia bezpieczeństwa danych.

Świadomość i szkolenie pracowników

Zgodność z RODO zależy nie tylko od założonych polityk, ale także od tego, na ile dobrze pracownicy je rozumieją i stosują. Personel potrzebuje jasnych wytycznych i regularnych szkoleń, aby przetwarzać dane osobowe w sposób odpowiedzialny i szanować prawa osób fizycznych. Budowanie tej świadomości w całej organizacji pomaga zapobiegać naruszeniom i wspiera bieżące działania na rzecz zachowania zgodności.

Egzekwowanie RODO i kary za naruszenia

Każdy kraj należący do EOG posiada organ nadzorczy, który kontroluje, w jaki sposób poszczególne organizacje przestrzegają zasad ochrony danych. Organy te mogą prowadzić dochodzenia, żądać dokumentacji, a nawet przeprowadzać inspekcje, aby upewnić się, że przedsiębiorstwa wywiązują się ze swoich obowiązków.

Jeśli zostanie stwierdzone, że firma naruszyła RODO, kary mogą być dotkliwe. Najpoważniejsze naruszenia mogą prowadzić do nałożenia administracyjnych kar pieniężnych w wysokości do 20 milionów euro lub 4% całkowitego rocznego globalnego obrotu przedsiębiorstwa. Oprócz kar finansowych organy mogą również wymagać wdrożenia środków naprawczych; mogą np. nakazać firmie zaprzestać przetwarzania określonych danych lub usprawnić procesy ochrony danych.

Te uprawnienia do egzekwowania przepisów gwarantują, że zgodność z RODO nie jest opcjonalna. Firmy przetwarzające dane osobowe muszą poważnie traktować swoje obowiązki, w przeciwnym razie narażają się na kosztowne konsekwencje.

Czy RODO obowiązuje w USA?

RODO jest rozporządzeniem unijnym, ale nie zatrzymuje się na granicach Europy. Amerykańskie przedsiębiorstwa mogą podlegać jego zakresowi, jeśli przetwarzają dane osobowe ludzi przebywających w UE. Oznacza to, że nawet bez fizycznej obecności w Europie, firmy w USA mogą nadal być zobowiązane do przestrzegania RODO, jeśli ich działalność spełnia określone kryteria.

Zgodność z RODO dla firm z USA

Zgodnie z Artykułem 3 RODO, firmy zlokalizowane w Stanach Zjednoczonych muszą przestrzegać przepisów, jeśli posiadają jednostkę organizacyjną w UE lub jeśli oferują towary lub usługi osobom w UE, nawet jeśli dana usługa jest bezpłatna. Monitorowanie zachowań osób z UE w internecie, na przykład poprzez pliki cookie, narzędzia śledzące lub reklamę ukierunkowaną, również sprawia, że amerykańska firma zostaje objęta zakresem stosowania RODO.

Aby zachować zgodność z rozporządzeniem, amerykańskie przedsiębiorstwa muszą:

• przeprowadzić audyt rodzajów gromadzonych danych osobowych;
• ustanowić jasną podstawę prawną przetwarzania każdego rodzaju danych, taką jak zgoda lub niezbędność do wykonania umowy;
• dokonać oceny wszelkich transferów danych z UE do USA, zapewniając odpowiednie zabezpieczenia, takie jak standardowe klauzule umowne (Standard Contractual Clauses – SCCs);
• wyznaczyć przedstawiciela ds. RODO na terenie UE, jeśli nie posiadają tam fizycznej siedziby;
• uzyskać uprzednią zgodę na gromadzenie danych w witrynie internetowej i stosowanie plików cookie;
• zaktualizować polityki prywatności, aby odzwierciedlały obowiązki wynikające z RODO i prawa osób, których dane dotyczą.

RODO a CCPA i CPRA

Podczas gdy RODO wymaga wyraźnej zgody przed rozpoczęciem przetwarzania danych osobowych, kalifornijska ustawa o ochronie prywatności konsumentów (California Consumer Privacy Act – CCPA) oraz jej nowelizacja, kalifornijska ustawa o prawach do prywatności (California Privacy Rights Act – CPRA), przyjmują nieco inne podejście, opierając się na modelu „opt-out”.

W Kalifornii przedsiębiorstwa zazwyczaj nie potrzebują uprzedniej zgody na gromadzenie lub przetwarzanie danych osobowych, z wyjątkiem określonych przypadków, takich jak sprzedaż lub udostępnianie informacji, obsługa danych osób małoletnich lub przetwarzanie informacji wrażliwych.

Zamiast tego, przepisy te kładą nacisk na przejrzystość, wymagając od firm powiadamiania użytkowników o praktykach dotyczących danych oraz zapewnienia łatwych sposobów rezygnacji (opt-out) ze sprzedaży lub udostępniania ich danych osobowych. Ogólnie rzecz biorąc, w Kalifornii główny nacisk kładziony jest na kontrolę i widoczność dla użytkownika, a nie na uprzednią zgodę.

Dla firm z USA wyznacza to istotną różnicę: surowe wymogi RODO dotyczące zgody nie mają swojego odzwierciedlenia w USA, więc przedsiębiorstwa działające w obu regionach muszą odpowiednio dostosowywać swoje praktyki.

Jaka jest rola plików cookie w świetle RODO?

Zgodnie z RODO pliki cookie („ciasteczka”), które mogą zidentyfikować osobę fizyczną lub śledzić jej zachowanie w internecie, są uznawane za dane osobowe. Obejmuje to techniki wykraczające poza tradycyjne pliki cookie, takie jak  fingerprinting przeglądarki, który pozwala na unikalną identyfikację użytkowników na podstawie ustawień ich urządzenia i przeglądarki.

Strony internetowe muszą umożliwiać użytkownikom wybór rodzajów akceptowanych plików cookie, co jest znane jako „zgoda granularna” (czyli szczegółowa). Tylko pliki cookie niezbędne do działania witryny nie wymagają zgody.

Podczas gdy RODO określa sposób uzyskiwania zgody, stosowanie plików cookie w UE reguluje również dyrektywa o prywatności i łączności elektronicznej (ePrivacy Directive), która uzupełnia zapisy RODO poprzez szczegółowe uregulowanie technologii śledzenia online, do których należą także pliki cookie. Właśnie dlatego wiele stron internetowych wyświetla osobom odwiedzającym je z terenu UE banery dotyczące plików cookie, prosząc o wskazanie swoich preferencji przed ustawieniem jakichkolwiek opcjonalnych plików cookie.

Jeśli chcesz zminimalizować śledzenie podczas przeglądania sieci, korzystanie z wirtualnej sieci prywatnej (VPN) może również pomóc Ci przeglądać internet w sposób bardziej prywatny poprzez maskowanie Twojego adresu IP i szyfrowanie ruchu.

Powszechne mity na temat RODO

Mimo że przepisy te obowiązują od lat, wciąż istnieje szereg błędnych przekonań dotyczących tego, co RODO tak naprawdę oznacza dla przedsiębiorstw. Uporządkujmy nieco te informacje.

RODO dotyczy tylko firm z Unii Europejskiej

Często zakłada się, że RODO odnosi się wyłącznie do firm z siedzibą w UE, ale w rzeczywistości rozporządzenie to ma znacznie szerszy zasięg. Każda firma zlokalizowana poza Unią, w tym w Stanach Zjednoczonych, musi przestrzegać przepisów, jeśli oferuje towary lub usługi osobom w UE lub monitoruje ich zachowanie online, na przykład za pomocą technologii śledzących.

Zgoda jest zawsze wymagana

Kolejnym powszechnym nieporozumieniem jest przekonanie, że RODO zawsze wymaga zgody na przetwarzanie danych osobowych. W rzeczywistości zgoda jest tylko jedną z kilku podstaw prawnych. Firmy mogą w tym zakresie polegać również na umowie, obowiązku prawnym, żywotnym interesie, zadaniu publicznym lub prawnie uzasadnionym interesie, wszystko to pod warunkiem, że prawa osób fizycznych są respektowane. Zgoda staje się niezbędna dopiero wtedy, gdy nie ma zastosowania żadna inna podstawa prawna.

RODO służy wyłącznie do nakładania kar

Wiele osób postrzega RODO jedynie jako system nakładania wysokich grzywien, podczas gdy głównym celem rozporządzenia jest wzmocnienie praw do prywatności i promowanie odpowiedzialnego obchodzenia się z danymi osobowymi. Choć kary rzeczywiście mogą być dotkliwe, główny nacisk kładziony jest na zapewnienie, aby organizacje przetwarzały dane osobowe w sposób przejrzysty, bezpieczny i zgodny z prawami obywateli.

RODO blokuje marketing

Istnieje również błędne przekonanie, że RODO uniemożliwia prowadzenie wszelkich działań marketingowych. Rozporządzenie na pewno nie blokuje marketingu całkowicie; zamiast tego wyznacza granice, aby zapewnić, że dane osobowe są wykorzystywane rzetelnie. Posiadając odpowiednią podstawę prawną – czy to zgodę, czy prawnie uzasadniony interes – przedsiębiorstwa mogą kontynuować działania marketingowe skierowane do osób w UE, o ile przestrzegane są ich prawa do prywatności.