GDPR

1. Wprowadzenie
W Polsce ochrona danych osobowych została dostosowana do przepisów Unii Europejskiej poprzez wdrożenie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, znanego jako RODO (GDPR). Uzupełnieniem tych przepisów jest ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.
Organem nadzorczym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (UODO), który odpowiada za monitorowanie i egzekwowanie przepisów dotyczących ochrony danych.

2. Zakres stosowania
Przepisy mają zastosowanie do:
wszystkich administratorów i podmiotów przetwarzających dane z siedzibą w Polsce;
podmiotów spoza Unii Europejskiej, które oferują towary lub usługi osobom przebywającym w Polsce lub monitorują ich zachowanie.

Regulacje obejmują zarówno przetwarzanie danych w sposób zautomatyzowany, jak i niezautomatyzowany (np. w systemach archiwizacji), z wyłączeniem działalności o charakterze czysto osobistym lub domowym.

3. Zasady przetwarzania danych
Polskie przepisy, zgodne z RODO, opierają się na następujących zasadach:
zgodność z prawem, rzetelność i przejrzystość;
ograniczenie celu przetwarzania;
minimalizacja danych;
prawidłowość i aktualność danych;
ograniczenie przechowywania;
integralność i poufność danych.

Administrator danych jest zobowiązany zapewnić istnienie podstawy prawnej dla przetwarzania oraz pełną przejrzystość wobec osób, których dane dotyczą.

4. Prawa osób, których dane dotyczą
Osoby fizyczne mają prawo do:
dostępu do swoich danych oraz uzyskania informacji o ich przetwarzaniu;
sprostowania nieprawidłowych danych;
usunięcia danych („prawo do bycia zapomnianym”);
ograniczenia przetwarzania;
przenoszenia danych;
wniesienia sprzeciwu, w szczególności wobec przetwarzania w celach marketingowych.

W przypadku dzieci poniżej 16 roku życia (lub niższego wieku określonego przepisami krajowymi), przetwarzanie danych wymaga zgody rodzica lub opiekuna prawnego.
Informacje dotyczące przetwarzania danych powinny być przekazywane w sposób jasny i zrozumiały.

5. Obowiązki administratorów i podmiotów przetwarzających
Administrator danych jest zobowiązany do zapewnienia zgodności przetwarzania z RODO oraz przepisami krajowymi.
Podmiot przetwarzający może działać wyłącznie na polecenie administratora.
Należy wdrożyć odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo danych.
Naruszenia ochrony danych należy zgłaszać do UODO w ciągu 72 godzin.
W przypadku operacji wysokiego ryzyka należy przeprowadzić ocenę skutków dla ochrony danych (DPIA).
W określonych przypadkach konieczne jest powołanie Inspektora Ochrony Danych (IOD).

6. Międzynarodowy transfer danych
Przekazywanie danych osobowych poza Europejski Obszar Gospodarczy musi być zgodne z rozdziałem V RODO.
Podstawą transferu mogą być:
decyzje Komisji Europejskiej stwierdzające odpowiedni poziom ochrony;
standardowe klauzule umowne (SCC).

Administratorzy są zobowiązani do zapewnienia odpowiedniego poziomu ochrony danych oraz przejrzystości transferów międzynarodowych.

7. Nadzór i egzekwowanie przepisów
Prezes UODO posiada uprawnienia kontrolne, doradcze oraz sankcyjne. Może:
wydawać ostrzeżenia i nakazy;
ograniczać lub zakazywać przetwarzania danych;
nakładać administracyjne kary pieniężne do 20 milionów euro lub 4% rocznego światowego obrotu przedsiębiorstwa.

Polskie przepisy przewidują również możliwość dochodzenia roszczeń przez osoby fizyczne w przypadku naruszenia ich praw.

8. Dane kontaktowe
W przypadku pytań dotyczących przetwarzania danych osobowych lub realizacji praw użytkownika prosimy o kontakt z naszym zespołem ds. ochrony danych za pośrednictwem poczty elektronicznej.