RODO – najważniejsze informacje
Marek Ryszkowski
Od 25 maja br. we wszystkich krajach członkowskich Unii Europejskiej obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119, s. 1).
Rozporządzenie określa w sposób jednolity spójne zasady ochrony danych osobowych w całej Unii Europejskiej. To ujednolicenie przede wszystkim można określić rewolucyjnym, ponieważ z mocy przepisów GDPR/RODO wszystkie kraje członkowskie UE obowiązują od 25 maja br. takie same zasady, określające:
- kiedy dane osobowe mogą być przetwarzane;
- jakie prawa przysługują osobom, których dane są przetwarzane;
- jakie obowiązki spoczywają na administratorze przetwarzającym dane osobowe;
- zasady organizacji zabezpieczenia przetwarzanych danych osobowych przed dostępem osób nieuprawnionych.
Na wprowadzenie w życie postanowień przywołanego wyżej aktu prawa UE państwa członkowskie tej organizacji miały dwa lata. O czym więc jednostki organizacyjne (np. podmioty prawa handlowego), przetwarzające dane osobowe powinny powiadomić osoby, których dane przetwarzają? Poniżej przedstawiono enumeratywną specyfikację tych informacji, które muszą zostać przekazane ww. osobom.
1. Dane administratora danych osobowych
– pełna nazwa jednostki organizacyjnej, w wersji wpisanej do rejestru przedsiębiorców prowadzonego przez właściwy terytorialnie sąd rejonowy lub inny organ rejestracji działalności gospodarczej;
– dane adresowe administratora (kod pocztowy, nazwa miejscowości, nazwa ulicy i numer nieruchomości, w której ma
on siedzibę);
– nr KRS-u administratora i jego nr NIP-u;
– wysokość kapitału zakładowego (z informacją, czy wpłacono go w całości, czy w części).
Te same dane należy przekazać osobom, których dane są przetwarzane przez administratora nie bezpośrednio, lecz przez podmiot zewnętrzny, np. na zasadach outsourcingu.
2. Dane kontaktowe administratora danych osobowych:
– numer(y) telefonu(ów);
– adres e-mail;
– adres do korespondencji, jeżeli jest inny niż podany w pkt 1;
– adres www. elektronicznego formularza kontaktowego, jeżeli administrator takowy posiada.
3. Dane kontaktowe inspektora ochrony danych osobowych:
– imię i nazwisko;
– jego służbowe adresy: e-mail, a także adres pocztowy do korespondencji (zapewne jeden z tych, o których mowa w pkt 1 i 2).
4. Cele przetwarzania danych osobowych:
– podstawa prawna (odnośny przepis z GDPR/RODO);
– prawnie uzasadnione interesy administratora, np. zawarcie i wykonanie umowy(ów), zawartej(ych) z osobą, której dane osobowe będą lub są przetwarzane przez administratora;
– marketing bezpośredni produktów lub usług;
– prowadzenie analiz i profilowanie strony umowy w celu ustalenia, jakimi produktami lub usługami osoba ta może być zainteresowana;
– badanie satysfakcji z produktów lub usług oferowanych przez administratora oraz badanie oceny jakości obsługi lub produktów i usług oferowanych przez administratora;
– ustalenie, dochodzenie lub obrona przed roszczeniami: ten cel przetwarzania danych osobowych wiąże się z realizacją prawnie uzasadnionego interesu administratora;
– spełnianie ciążących na administratorze obowiązków prawnych: ten cel przetwarzania danych osobowych wynika z prawa polskiego lub europejskiego i wiąże się z koniecznością wypełniania obowiązków prawnych, którym administrator podlega (skarbowych, podatkowych i innych).
5. Kategorie odbiorców danych osobowych:
– podmioty z grupy kapitałowej administratora (jeżeli istnieje);
– nabywcy wierzytelności;
– organy i instytucje upoważnione na podstawie odnośnych przepisów prawa, np. sądy i organy administracji publicznej;
– biura informacji gospodarczej;
– podmioty pośredniczące w zawieraniu umów cywilnoprawnych; podmioty świadczące usługi administratorowi: z zakresu doręczania korespondencji i przesyłek, drukarskie i archiwizacyjne, informatyczne i nowych technologii, marketingu i komunikacyjne, obsługi telefonicznej i/lub elektronicznej, płatnicze i księgowo-finansowe, audytorskie i kontrolne oraz prawne i windykacyjne;
– firmy współpracujące, np. agencje pracy tymczasowej, operatorzy systemów dystrybucyjnych administratora itd.
6. Przekazywanie danych osobowych poza Europejski Obszar Gospodarczy (EOG):
– tylko, gdy administrator zleca wykonanie poszczególnych usług podmiotom mającym siedzibę poza EOG, po uzyskaniu decyzji Komisji Europejskiej, stwierdzającej wymagany stopień ochrony takich danych przez ww. podmiot. Osoba, której dane przekazano, ma prawo zażądać od administratora informacji zabezpieczenia jej danych osobowych w formie kopii opisu tych zabezpieczeń.
7. Okres przechowywania danych osobowych:
– do chwili wykonania umowy, jej rozwiązania lub wygaśnięcia;
– do momentu przedawnienia roszczeń z tytułu umowy lub roszczeń związanych z przetwarzaniem danych osobowych albo do momentu wniesienia sprzeciwu co do dalszego ich przetwarzania;
– do momentu rozwiązania lub wygaśnięcia umowy jako czasu, w którym występuje uzasadniony interes administratora w przetwarzaniu danych osobowych w celu marketingu bezpośredniego albo do momentu wniesienia sprzeciwu co do dalszego ich przetwarzania;
– do miesiąca od momentu rozwiązania lub wygaśnięcia umowy, jako czasu, w którym występuje uzasadniony interes prawny administratora w przetwarzaniu tych danych dla realizacji badania satysfakcji z współpracy właściciela danych z administratorem lub jego partnerami albo badania zapotrzebowania na produkty lub usługi administratora bądź do wniesienia sprzeciwu co do dalszego przetwarzania tych danych;
– do momentu wygaśnięcia obowiązku administratora danych osobowych przechowywania tych danych, wynikającego z przepisów prawa polskiego lub unijnego.
8. Właścicielowi danych osobowych przysługują prawa:
– dostępu do treści danych osobowych zgromadzonych przez administratora, ich sprostowania, ograniczenia ich przetwarzania lub usunięcia ze zbioru tych danych;
– przenoszenia swoich danych osobowych np. do innego administratora lub żądania – jeżeli to technicznie możliwe – by dokonał tego dotychczasowy ich administrator;
– wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych w przypadku, gdy właściciel tych danych uzna, że ich przetwarzanie przez administratora narusza przepisy GDPR/RODO.
9. Właściciel danych osobowych ma ponadto prawo, bez względu na przyczynę, wniesienia w dowolnym momencie sprzeciwu wobec przetwarzania jego danych osobowych na potrzeby marketingu bezpośredniego, a także profilowania, badania satysfakcji, badania preferencji oraz ustalania, dochodzenia lub obrony przed roszczeniami. W celu skorzystania z prawa sprzeciwu wystarczy skontaktować się z administratorem lub inspektorem ochrony danych osobowych. Dane kontaktowe podano wyżej.
Przekazanie danych osobowych administratorowi jest generalnie dobrowolne. Jednak wiele przepisów polskiego prawa powszechnego wymaga ich podania w określonym zakresie, np. do zawarcia umów cywilnoprawnych, sporządzenia aktu notarialnego, założenia księgi wieczystej itd.
Obowiązek informacyjny
Przed wejściem w życie postanowień GDPR/RODO wiele osób fizycznych, zwłaszcza tych, które są usługobiorcami dostaw energii elektrycznej i gazu oraz np. sygnału telewizji kablowej, telefonii stacjonarnej lub mobilnej, usług przewodowego lub bezprzewodowego Internetu, a także innych usług wszelkiego rodzaju, otrzymywali informacje od dostawców wspomnianych usług.
Jeżeli przed 25 maja br. informacje te nie zostały wspomnianym usługobiorcom dostarczone przez ich usługodawców, można to zakwalifikować jako niewywiązanie się przez nich z obowiązku nałożonego na nich jednym z przepisów GDPR/RODO.
Marek Ryszkowski
dr inż., ekspert KSOIN, autor licznych artykułów i kilku książek z zakresu prawa ochrony informacji niejawnych, były pełnomocnik ochrony informacji niejawnych w kilku podmiotach prawa handlowego.