GDPR

1. Wprowadzenie

W Polsce ochrona danych osobowych opiera się przede wszystkim na Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679, powszechnie znanym jako RODO (GDPR), które obowiązuje od dnia 25 maja 2018 r.

W celu dostosowania polskiego porządku prawnego do wymogów RODO uchwalono Ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych.

Organem odpowiedzialnym za nadzór nad przestrzeganiem przepisów dotyczących ochrony danych osobowych w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (UODO). Organ ten monitoruje zgodność przetwarzania danych z przepisami prawa oraz podejmuje działania mające na celu ochronę praw osób, których dane dotyczą.

2. Zakres stosowania

Przepisy RODO oraz polskiej ustawy o ochronie danych osobowych mają zastosowanie do:

  • wszystkich administratorów i podmiotów przetwarzających dane osobowe prowadzących działalność na terytorium Polski;
  • podmiotów mających siedzibę poza Unią Europejską, jeżeli oferują towary lub usługi osobom znajdującym się w Polsce albo monitorują ich zachowanie.

Przepisy obejmują zarówno zautomatyzowane, jak i niezautomatyzowane przetwarzanie danych osobowych, jeżeli dane te są przechowywane w uporządkowanych zbiorach danych.

Regulacje nie mają zastosowania do czynności wykonywanych wyłącznie w celach osobistych lub domowych.

3. Zasady przetwarzania danych

Polskie przepisy, zgodnie z RODO, wymagają przestrzegania następujących zasad przetwarzania danych osobowych:

  • zgodność z prawem, rzetelność i przejrzystość;
  • ograniczenie celu przetwarzania;
  • minimalizacja danych;
  • prawidłowość i aktualność danych;
  • ograniczenie przechowywania;
  • integralność i poufność danych;
  • rozliczalność administratora.

Administrator danych jest zobowiązany do zapewnienia odpowiedniej podstawy prawnej dla każdego procesu przetwarzania danych oraz do przejrzystego informowania osób, których dane dotyczą.

4. Prawa osób, których dane dotyczą

Osoby fizyczne korzystające z ochrony przewidzianej przez RODO posiadają między innymi następujące prawa:

  • prawo dostępu do danych osobowych;
  • prawo do uzyskania informacji o sposobie przetwarzania danych;
  • prawo do sprostowania danych;
  • prawo do usunięcia danych („prawo do bycia zapomnianym”);
  • prawo do ograniczenia przetwarzania;
  • prawo do przenoszenia danych;
  • prawo do wniesienia sprzeciwu wobec przetwarzania danych, w tym wobec marketingu bezpośredniego;
  • prawo do cofnięcia zgody w dowolnym momencie;
  • prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (UODO).

W przypadku usług społeczeństwa informacyjnego kierowanych bezpośrednio do dzieci, polskie przepisy przewidują, że zgoda dziecka na przetwarzanie danych jest skuteczna od ukończenia 16 roku życia. W przypadku młodszych osób wymagana jest zgoda rodzica lub opiekuna prawnego.

Administratorzy danych powinni przekazywać informacje dotyczące prywatności w sposób jasny, zrozumiały i łatwo dostępny.

5. Obowiązki administratorów i podmiotów przetwarzających

Administratorzy danych są zobowiązani do:

  • zapewnienia zgodności przetwarzania danych z RODO oraz przepisami krajowymi;
  • wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych;
  • prowadzenia dokumentacji dotyczącej przetwarzania danych, jeżeli jest wymagana;
  • zapewnienia odpowiedniej ochrony danych już na etapie projektowania procesów i systemów;
  • przeprowadzania oceny skutków dla ochrony danych (DPIA) w przypadku operacji wysokiego ryzyka.

Podmioty przetwarzające mogą przetwarzać dane wyłącznie zgodnie z instrukcjami administratora.

W przypadku naruszenia ochrony danych osobowych administrator jest zobowiązany do zgłoszenia incydentu do UODO bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od jego stwierdzenia, chyba że jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem dla praw i wolności osób fizycznych.

W określonych przypadkach konieczne jest również wyznaczenie Inspektora Ochrony Danych (IOD).

6. Międzynarodowy transfer danych

Przekazywanie danych osobowych poza Europejski Obszar Gospodarczy (EOG) jest dozwolone wyłącznie zgodnie z wymogami rozdziału V RODO.

Administratorzy mogą korzystać między innymi z:

  • decyzji Komisji Europejskiej stwierdzających odpowiedni stopień ochrony;
  • standardowych klauzul umownych (SCC);
  • innych mechanizmów przewidzianych przez RODO.

Podmioty przekazujące dane za granicę są zobowiązane do zapewnienia odpowiedniego poziomu ochrony danych oraz przejrzystości wobec osób, których dane dotyczą.

7. Nadzór i egzekwowanie przepisów

Prezes Urzędu Ochrony Danych Osobowych (UODO) posiada szerokie uprawnienia nadzorcze, kontrolne i egzekucyjne.

Organ może między innymi:

  • przeprowadzać kontrole;
  • wydawać ostrzeżenia i upomnienia;
  • nakazywać dostosowanie procesów przetwarzania do przepisów;
  • ograniczać lub zakazywać określonych operacji przetwarzania danych;
  • nakładać administracyjne kary pieniężne.

Zgodnie z RODO maksymalna wysokość kary administracyjnej może wynosić do 20 milionów euro lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa za poprzedni rok obrotowy, w zależności od tego, która kwota jest wyższa.

Polski system ochrony danych osobowych łączy wymogi RODO z krajowymi regulacjami prawnymi, zapewniając wysoki poziom ochrony prywatności oraz odpowiedzialności podmiotów przetwarzających dane.

8. Kontakt

W przypadku pytań dotyczących ochrony danych osobowych, przetwarzania danych lub realizacji praw wynikających z RODO prosimy o kontakt:

E-mail:info@lumxidor.com

Telefon do Biura Obsługi Klienta:+1 (262) 349-5344

Adres:1017 N 29th St,Milwaukee,WI 53208,United States

Godziny dostępności: od poniedziałku do piątku w godzinach 9:00–12:00 oraz 14:00–18:00 (czas środkowoeuropejski – CET)