Podstawowe wymagania RODO:
- Zasady przetwarzania danych osobowych:
- Zgodność z prawem, rzetelność i przejrzystość: Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą.
- Ograniczenie celu: Dane osobowe muszą być zbierane w określonych, wyraźnych i prawnie uzasadnionych celach i nie mogą być przetwarzane w sposób niezgodny z tymi celami.
- Minimalizacja danych: Dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co jest niezbędne w związku z celami, w jakich są przetwarzane.
- Dokładność: Dane osobowe muszą być dokładne i w razie potrzeby uaktualniane.
- Ograniczenie przechowywania: Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do celów, w jakich dane te są przetwarzane.
- Integralność i poufność: Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
- Prawa osób, których dane dotyczą:
- Prawo do informacji: Osoby, których dane dotyczą, mają prawo być informowane o przetwarzaniu ich danych.
- Prawo dostępu: Osoby mają prawo dostępu do swoich danych osobowych oraz do uzyskania informacji o ich przetwarzaniu.
- Prawo do sprostowania: Osoby mają prawo żądać sprostowania nieścisłych danych osobowych.
- Prawo do usunięcia danych (prawo do bycia zapomnianym): Osoby mają prawo żądać usunięcia swoich danych osobowych w określonych okolicznościach.
- Prawo do ograniczenia przetwarzania: Osoby mają prawo żądać ograniczenia przetwarzania swoich danych osobowych w określonych okolicznościach.
- Prawo do przenoszenia danych: Osoby mają prawo do przenoszenia swoich danych osobowych do innego administratora.
- Prawo do sprzeciwu: Osoby mają prawo wnieść sprzeciw wobec przetwarzania swoich danych osobowych w określonych sytuacjach.
- Prawo niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu: Osoby mają prawo nie podlegać decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywołują wobec nich skutki prawne lub w podobny sposób istotnie na nie wpływają.
- Obowiązki administratorów danych:
- Rejestr czynności przetwarzania: Prowadzenie rejestru czynności przetwarzania danych osobowych.
- Środki ochrony danych: Wdrażanie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych.
- Ocena skutków dla ochrony danych (DPIA): Przeprowadzanie oceny skutków dla ochrony danych przed rozpoczęciem przetwarzania, które może skutkować wysokim ryzykiem naruszenia praw i wolności osób fizycznych.
- Zgłaszanie naruszeń ochrony danych: Informowanie organu nadzorczego o naruszeniu ochrony danych osobowych bez zbędnej zwłoki.
- Inspektor Ochrony Danych (IOD): W przypadku niektórych organizacji, wyznaczenie inspektora ochrony danych (DPO) odpowiedzialnego za monitorowanie zgodności z RODO.
- Przepływ danych do krajów trzecich:
- Transfer danych do krajów trzecich: Przepływ danych osobowych poza Europejski Obszar Gospodarczy jest dozwolony tylko wtedy, gdy odpowiedni poziom ochrony danych jest zapewniony, na przykład poprzez decyzję o odpowiedniej ochronie, odpowiednie zabezpieczenia lub wiążące reguły korporacyjne.
- Kary za nieprzestrzeganie przepisów RODO:
- Kary finansowe: Nieprzestrzeganie przepisów RODO może skutkować nałożeniem kar finansowych, które mogą sięgać do 20 milionów euro lub 4% rocznego globalnego obrotu przedsiębiorstwa, w zależności od tego, która kwota jest wyższa.
Podsumowanie
Aby spełnić wymagania RODO, organizacje muszą:
- Wdrożyć polityki i procedury zapewniające zgodność z zasadami przetwarzania danych.
- Zapewnić osobom, których dane dotyczą, prawa dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu oraz ochrony przed zautomatyzowanymi decyzjami.
- Prowadzić rejestr czynności przetwarzania, wdrażać środki ochrony danych, przeprowadzać oceny skutków dla ochrony danych, zgłaszać naruszenia ochrony danych oraz, w określonych przypadkach, wyznaczyć inspektora ochrony danych.
- Zapewnić odpowiedni poziom ochrony danych przy przepływie danych do krajów trzecich.
- Być gotowym na ewentualne kary finansowe za nieprzestrzeganie przepisów RODO.