RODO i GDPR to nazwy określające to samo rozporządzenie. RODO to polski skrót Rozporządzenia ochrony danych osobowych, a GDPR – angielski skrót The General Data Protection Regulation. Jest to rozporządzenie Parlementu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Tak, musi w kontekście wykorzystywania danych osobowych swoich klientów czy też pracowników. Nie stosuje jednak RODO do danych przetwarzanych w celach czysto prywatnych, np. do danych adresatów kartek świątecznych.

Inspektorzy Ochrony Danych muszą być wyznaczeni w przypadku:
• władz publicznych;
• podmiotów dokonujących operacji przetwarzania, które wiążą się z monitorowaniem osób, których dane dotyczą;
• podmiotów dokonujących operacji przetwarzania, które wiążą się z przetwarzaniem danych wrażliwych (szczególnych kategorii danych) na dużą skalę.

W przypadku usług online, zgoda rodzica będzie wymagana do przetwarzana danych osobowych dziecka poniżej 16 roku życia. Państwo członkowskie może obniżyć ten wiek, jednak nie niżej, niż do 13 roku życia.

Administrator jest podmiotem, który określa cele, warunki i środki służące przetwarzaniu danych osobowych.
Procesor jest podmiotem, który przetwarza dane osobowe w imieniu i na rzecz administratora danych.

Dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to taka, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takich danych, jak:
• imię i nazwisko,
• numer identyfikacyjny,
• dane o lokalizacji,
• identyfikator internetowy (np. adres IP),
• jeden bądź kilka szczególnych czynników, określających: fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Dodatkowo warto wiedzieć, że RODO wprowadza szerszy zakres danych osobowych, nazywanych szczególnymi kategoriami danych (porównywalne z danymi wrażliwymi), do których należą:
• pochodzenie rasowe lub etniczne, poglądy polityczne,
• przekonania religijne lub światopoglądowe,
• przynależność do związków zawodowych,
• dane genetyczne oraz dane biometryczne, niezbędne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
Całkiem osobno traktowane są informacje o wyrokach skazujących oraz naruszeniach prawa (gdzie jednoznacznie stwierdzono, że można je przetwarzać wyłącznie pod nadzorem władz publicznych lub jeżeli prawo UE lub państwa członkowskiego przewidzi taką możliwość).

Tak, ale należy pamiętać, że możliwość usunięcia wszystkich danych osobowych osoby wnioskującej o to musi pozostać w zgodzie z innymi przepisami. Na przykład, jeżeli klient sklepu zażądał usunięcia swoich danych osobowych, a wcześniej coś zakupił i poprosił o fakturę, to przedsiębiorca nie może usunąć jego danych osobowych, gdyż stałoby to w niezgodzie z przepisami o rachunkowości (konieczność przechowywania danych 5 lat).
By skorzystać z prawa do bycia zapomnianym, musi być spełniony jeden z następujących warunków:
• dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane; 4.5.2016 L 119/43 Dziennik Urzędowy Unii Europejskiej PL;
• osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) i nie ma innej podstawy prawnej przetwarzania;
• osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne, prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
• dane osobowe były przetwarzane niezgodnie z prawem; e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego, przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
• dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.
Istnieją także sytuacje, w których nie będzie możliwości skorzystania z prawa do bycia zapomnianym. Wymienione wyżej warunki nie będą miały zastosowania w zakresie, w jakim przetwarzanie jest niezbędne przy:
• skorzystaniu z prawa do wolności wypowiedzi i informacji,
• wywiązywaniu się z prawnego obowiązku, wymagającego przetwarzania na mocy prawa UE lub prawa państwa członkowskiego lub do wykonania zadania realizowanego w interesie publicznym czy w ramach sprawowania władzy publicznej,
• uwzględnieniu względów interesu publicznego w dziedzinie zdrowia publicznego,
• celach archiwalnych w interesie publicznym, celach badań naukowych lub historycznych lub celach statystycznych, gdy prawo do usunięcia danych uniemożliwi lub utrudni realizację takiego celu,
• ustaleniu, dochodzeniu lub obronie roszczeń.

Obowiązek informacyjny to czytelne zaprezentowanie zgód oraz udzielenie odpowiednich informacji osobie udzielającej zgody.
Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu lub zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania, dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, musi ono być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.
Dodatkowo, jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania. W szczególności w przypadku pisemnego oświadczenia, składanego w innej sprawie, powinny istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia zgody oraz jej zakresu. Zgodnie z dyrektywą Rady 93/13/EWG (1), oświadczenie o wyrażeniu zgody, przygotowane przez administratora, powinno mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnym i prostym językiem i nie powinno zawierać nieuczciwych warunków. Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych. Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.
Kolejnymi informacjami, które należy przekazać osobie udostępniającej dane osobowe, są jej prawa, a w szczególności prawo do dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec dalszego przetwarzania, prawo do wycofania udzielonej zgody, prawo do przenoszenia danych osobowych.

Obowiązek informacyjny spoczywa na Administratorze danych osobowych. Jeśli ADO powołał Inspektora ochrony danych (IOD), to powinien on zadbać o takie przygotowanie informacji, aby kontakt z IOD był łatwy (np. adres e-mail).

Prowadzenie rejestru czynności przetwarzania danych osobowych należy do zadań administratora danych osobowych (ADO) oraz podmiotu przetwarzającego dane osobowe.
Rejestr może być prowadzony zarówno w formie papierowej, jak i elektronicznej.
Rejestru czynności przetwarzania danych osobowych nie muszą prowadzić przedsiębiorcy zatrudniający mniej niż 250 osób, z następującymi wyjątkami:
• przetwarzanie może naruszać prawa lub wolności osób, których dane dotyczą,
• przetwarzanie obejmuje szczególne kategorie danych osobowych (tzw. dane wrażliwe; pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych) lub dane dotyczące wyroków skazujących,
• przetwarzanie nie ma charakteru sporadycznego.