Podmioty prowadzące działalność elektroniczną (e-działalność) w Polsce są zobowiązane do przestrzegania przepisów dotyczących ochrony danych osobowych, głównie wynikających z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) oraz krajowej ustawy o ochronie danych osobowych z 10 maja 2018 r.
Dotychczasowe obowiązki (stan na 2024 rok):
- Zasady przetwarzania danych osobowych:
- Zasada legalności, rzetelności i przejrzystości: Dane muszą być przetwarzane zgodnie z prawem, w sposób rzetelny i przejrzysty dla osoby, której dotyczą.
- Zasada ograniczenia celu: Dane powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
- Zasada minimalizacji danych: Przetwarzane dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne w związku z celami ich przetwarzania.
- Zasada prawidłowości: Dane powinny być prawidłowe i w razie potrzeby uaktualniane.
- Zasada ograniczenia przechowywania: Dane muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, nie dłużej niż jest to niezbędne do celów, w których dane te są przetwarzane.
- Zasada integralności i poufności: Dane muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych.
- Zasada rozliczalności: Administrator musi być w stanie wykazać przestrzeganie powyższych zasad.
- Obowiązki informacyjne:
- Administratorzy danych są zobowiązani informować osoby, których dane dotyczą, o celach i podstawach prawnych przetwarzania, odbiorcach danych, okresie przechowywania oraz prawach przysługujących tym osobom.
- Uzyskiwanie zgody:
- W przypadkach, gdy przetwarzanie danych opiera się na zgodzie, musi być ona dobrowolna, konkretna, świadoma i jednoznaczna.
- Powołanie Inspektora Ochrony Danych (IOD):
- Obowiązkowe w przypadku, gdy główna działalność administratora polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób na dużą skalę lub przetwarzaniu na dużą skalę szczególnych kategorii danych.
- Prowadzenie rejestru czynności przetwarzania:
- Administratorzy są zobowiązani prowadzić rejestr czynności przetwarzania danych osobowych, obejmujący m.in. cele przetwarzania, kategorie osób, których dane dotyczą, oraz opis technicznych i organizacyjnych środków bezpieczeństwa.
- Zgłaszanie naruszeń:
- W przypadku naruszenia ochrony danych osobowych, administrator ma obowiązek zgłoszenia tego faktu organowi nadzorczemu (Prezesowi Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od stwierdzenia naruszenia.
Planowane zmiany od 2025 roku:
Na dzień 29 grudnia 2024 r. brak jest oficjalnych informacji o konkretnych zmianach w przepisach dotyczących ochrony danych osobowych dla podmiotów prowadzących e-działalność, które miałyby wejść w życie w 2025 roku.
Należy jednak zwrócić uwagę na ogólne zmiany w przepisach dotyczących działalności gospodarczej, które mogą pośrednio wpływać na e-działalność.
Przykładowo, od 1 stycznia 2025 roku planowane są zmiany w przepisach podatkowych i obowiązkach raportowych dla dużych firm i fundacji rodzinnych.
Zaleca się regularne monitorowanie komunikatów Urzędu Ochrony Danych Osobowych oraz Ministerstwa Cyfryzacji w celu uzyskania aktualnych informacji na temat ewentualnych zmian w przepisach dotyczących ochrony danych osobowych.
Podsumowanie:
Obecnie podmioty prowadzące e-działalność są zobowiązane do przestrzegania przepisów RODO oraz krajowej ustawy o ochronie danych osobowych.
Na chwilę obecną brak jest potwierdzonych informacji o planowanych zmianach w tych przepisach, które miałyby wejść w życie w 2025 roku.
Niemniej jednak, ze względu na dynamiczny charakter regulacji w obszarze ochrony danych, zaleca się bieżące śledzenie oficjalnych źródeł informacji w celu zapewnienia zgodności z obowiązującymi przepisami.