GDPR

Polityka ochrony danych osobowych (GDPR – Polska)

1. Wprowadzenie
W dniu 10 maja 2018 roku Polska przyjęła ustawę o ochronie danych osobowych w celu wdrożenia Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, czyli ogólnego rozporządzenia o ochronie danych (GDPR).
Ustawa ta zastąpiła wcześniejsze przepisy i dostosowała polski system prawny do wymogów Unii Europejskiej. Organem nadzorczym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (UODO), który odpowiada za kontrolę, doradztwo oraz egzekwowanie przepisów dotyczących ochrony danych.
W efekcie Polska zapewnia system ochrony danych zgodny ze standardami UE.

2. Zakres stosowania
Polskie przepisy GDPR mają zastosowanie do:
wszystkich administratorów i podmiotów przetwarzających dane mających siedzibę w Polsce,
oraz podmiotów spoza Polski, które oferują towary lub usługi osobom znajdującym się w Polsce lub monitorują ich zachowanie.
Przepisy obowiązują niezależnie od miejsca przetwarzania danych, jeśli dotyczą osób przebywających w Polsce.
Obejmują zarówno przetwarzanie zautomatyzowane, jak i niezautomatyzowane (jeśli stanowi część uporządkowanego zbioru danych).
Działalność o charakterze czysto osobistym lub domowym nie podlega tym przepisom.

3. Zasady przetwarzania danych
Zgodność z prawem, rzetelność i przejrzystość: dane muszą być przetwarzane zgodnie z prawem i w sposób przejrzysty dla osoby, której dotyczą.
Ograniczenie celu: dane mogą być zbierane wyłącznie w określonych, zgodnych z prawem celach.
Minimalizacja danych: należy zbierać tylko dane niezbędne do realizacji celu.
Prawidłowość: dane powinny być aktualne i dokładne.
Ograniczenie przechowywania: dane przechowywane są tylko przez czas niezbędny do realizacji celu.
Integralność i poufność: należy stosować odpowiednie środki techniczne i organizacyjne w celu ochrony danych przed naruszeniami.

4. Prawa osób, których dane dotyczą
Zgodnie z GDPR użytkownik ma prawo do:
dostępu do swoich danych oraz uzyskania informacji o ich przetwarzaniu,
sprostowania nieprawidłowych lub niekompletnych danych,
usunięcia danych („prawo do bycia zapomnianym”), jeśli spełnione są określone warunki,
ograniczenia przetwarzania w określonych sytuacjach,
przenoszenia danych w ustrukturyzowanym formacie do innego administratora,
wniesienia sprzeciwu wobec przetwarzania danych, szczególnie w celach marketingowych.

W przypadku osób poniżej 16 roku życia przetwarzanie danych wymaga zgody rodzica lub opiekuna prawnego, a informacje powinny być przekazywane w sposób zrozumiały.

5. Obowiązki administratorów i podmiotów przetwarzających
Podmioty przetwarzające dane muszą działać zgodnie z instrukcjami administratora.
Należy wdrożyć odpowiednie środki bezpieczeństwa w celu ochrony danych.
Podmioty przetwarzające wspierają administratora w realizacji obowiązków prawnych, w tym w odpowiadaniu na żądania użytkowników.
W przypadku naruszenia ochrony danych administrator musi zgłosić incydent do UODO w ciągu 72 godzin.
Administratorzy powinni prowadzić rejestr czynności przetwarzania oraz przeprowadzać ocenę skutków dla ochrony danych (DPIA) w przypadku wysokiego ryzyka.
W określonych przypadkach konieczne jest wyznaczenie Inspektora Ochrony Danych (IOD).

6. Przekazywanie danych poza UE
W przypadku przekazywania danych osobowych poza Europejski Obszar Gospodarczy należy zapewnić odpowiedni poziom ochrony danych.
Można to osiągnąć poprzez:
decyzję Komisji Europejskiej o odpowiednim poziomie ochrony,
lub zastosowanie standardowych klauzul umownych (SCC).
Po unieważnieniu mechanizmu Privacy Shield w 2020 roku, wymagane jest stosowanie nowych standardowych klauzul umownych lub innych zgodnych mechanizmów transferu danych.

7. Nadzór i egzekwowanie przepisów
Prezes UODO posiada szerokie uprawnienia kontrolne i sankcyjne, w tym:
wydawanie ostrzeżeń i nakazów dostosowania,
ograniczanie lub zakazywanie przetwarzania danych,
nakładanie kar finansowych do 20 milionów euro lub 4% rocznego globalnego obrotu przedsiębiorstwa (w zależności od tego, która kwota jest wyższa).

Prawo polskie umożliwia również określenie zasad przetwarzania danych po śmierci osoby. W przypadku braku takich wskazań dane są przetwarzane zgodnie z obowiązującymi przepisami.

8. Kontakt
W przypadku pytań dotyczących ochrony danych osobowych prosimy o kontakt z naszym zespołem ds. ochrony danych za pośrednictwem poczty elektronicznej lub telefonicznie.