Co warto wiedzieć o RODO?

RODO to potoczna nazwa rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r., w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Przepisy rozporządzenia stały się z dniem 25 maja 2018 r., częścią polskiego systemu prawnego, a co za tym idzie są prawem powszechnie obowiązującym i są stosowane bezpośrednio.

Również 25 maja 2018 r., weszła w życie ustawa z dnia 10 maja 2018 r., o ochronie danych osobowych (Dz. U. ; dalej: ustawa o ochronie danych osobowych), która zastąpiła ustawę z dnia 29 sierpnia 1997 r., o ochronie danych osobowych.

Ustawa o ochronie danych osobowych służy stosowaniu rozporządzenia RODO, a ponadto wdraża dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r., w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW.

 

Kto jest zobowiązany do wdrożenia RODO?

Do wdrożenia przepisów rozporządzenia zobowiązany jest każdy przedsiębiorca, który prowadzi działalność gospodarczą na obszarze Unii Europejskiej, przy czym nie ma znaczenia, w jakiej formie działalność ta jest wykonywana (spółka, działalność gospodarcza, oddział przedsiębiorstwa lub spółki itp.). W tym miejscu należy wyraźnie zaznaczyć, że osoby prowadzące jednoosobową działalność gospodarczą również są zobowiązane do wdrożenia RODO. Obowiązek wdrożenia RODO istnieje niezależnie od narodowości osób, których dane są przetwarzane a także niezależnie od miejsca przetwarzania danych.

Z powyższego wynika, że przepisy RODO nie dotyczą działalności osobistej lub domowej.

Podstawa prawna: art. 3 RODO

 

Co to są dane osobowe?

Dane osobowe są to informacje, które odnoszą się do zidentyfikowanej lub możliwej do zweryfikowania osoby fizycznej. Osoba zidentyfikowana to taka, którą znamy, lub możemy wskazać spośród innych osób. Dane osobowe to informacje o osobach fizycznych.

Podstawa prawna: art. 4 pkt 1

 

Jakie są kategorie danych osobowych?

Wyróżniamy dwie kategorie danych osobowych:

  • zwykłe – należą do nich dane takie jak imię, nazwisko, numer weryfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników, określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową bądź społeczną tożsamość osoby fizycznej;
  • zaliczające się do szczególnych kategorii danych (w poprzednio obowiązującej ustawie określane były mianem danych osobowych wrażliwych) – należą do nich dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące zdrowia, seksualności, orientacji seksualnej.

Podstawa prawna: art. 9, art. 10 RODO

 

Na czym polega przetwarzanie danych osobowych?

Przetwarzane danych osobowych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, udostępnianie i usuwanie, a zwłaszcza te [operacje], które wykonuje się w systemach informatycznych.

Podstawa prawna: art. 3, art. 4 pkt 2 RODO

 

Kto może przetwarzać dane osobowe?

Osoby przetwarzające dane osobowe dzielimy na dwie kategorie:

  • administratorzy danych osobowych – podmioty decydujące o celach i sposobach przetwarzania danych osobowych (np. pracodawca w stosunku do danych swoich pracowników, adwokat w stosunku do klientów, sprzedawca w sklepie internetowym w stosunku do danych swoich klientów). Należy pamiętać, że administratorem danych osobowych jest zawsze podmiot a nie jego pracownik (np. spółka – nie prezes zarządu; osoba prowadząca jednoosobową działalność gospodarczą)
  • podmioty przetwarzające dane – działają na podstawie umowy z administratorem danych, nie decydują o celach sposobach przetwarzania danych.

W tym miejscu warto zaznaczyć, że administrator danych osobowych nie musi ich przetwarzać samodzielnie, może powierzyć przetwarzanie innym podmiotom (biuro rachunkowe przetwarza na zlecenie dane przekazane przez klientów). Podmioty przetwarzające na zlecenie dane osobowe powinny zawrzeć (w formie pisemnej) z administratorem danych osobowych umowę powierzenia, w której zostaną określone zasady przetwarzania danych osobowych.

Osoby przetwarzające dane osobowe, będące pracownikami lub współpracownikami administratora danych, powinny posiadać upoważnienie do przetwarzania danych osobowych (pisemne).

Podstawa prawna: art. 4 pkt 7 i 8 RODO

 

Jakie warunki trzeba spełnić aby przetwarzać dane osobowe?

Dane osobowe mogą być przetwarzane tylko wtedy, gdy istnieje podstawa prawna dla ich przetwarzania.

W przypadku danych zwykłych taką podstawę stanowi zazwyczaj:

  • zgoda osoby, której dane dotyczą;
  • przetwarzanie jest niezbędne do wykonania umowy z osobą, której dane dotyczą lub do podjęcia działań poprzedzających zawarcie umowy, na żądanie tej osoby;
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego, ciążącego na administratorze;
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów, realizowanych przez administratora danych lub przez osobę trzecią.

W przypadku szczególnych kategorii danych taką podstawę stanowi zazwyczaj:

  • wyraźna zgoda osoby, której dane dotyczą;
  • przetwarzanie danych jest niezbędne do wykonania zadań związanych z zatrudnieniem, ubezpieczeniem społecznym pracowników;
  • przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy;
  • przetwarzanie danych jest niezbędne w celu dochodzenia praw przed sądem.

Należy pamiętać, że administrator, jako podmiot przetwarzający dane jest zobowiązany wykazać, że dysponuje podstawą prawną przetwarzania danych. Obowiązek ten wynika z tzw. zasady rozliczalności.

Warto wiedzieć, że w pewnych okolicznościach administrator może przetwarzać dane osobowe bez uzyskania zgody osoby, której dotyczą. Taka sytuacja ma miejsce w szczególności gdy:

  • przetwarzanie danych jest niezbędne do wykonania umowy (np. sklep internetowy prowadzący sprzedaż wysyłkową nie musi prosić o zgodę na przetwarzanie danych klientów, bowiem przetwarzanie jest niezbędne do wykonania umowy – wysyłki towaru);
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (np. przetwarzanie związane z prowadzeniem ksiąg rachunkowych nie wymaga uzyskania zgody osoby której dane dotyczą, jego podstawą są przepisy ustawy o rachunkowości);
  • przetwarzanie danych jest niezbędne do celów wynikających z prawnie uzasadnionych interesów, realizowanych przez administratora lub przez stronę trzecią (np. skierowanie do sądu pozwu o zapłatę nie wymaga uzyskania zgody na przetwarzanie danych od osoby pozwanej).

Nie ulega wątpliwości, że prawnie uzasadnionym interesem, realizowanym przez administratora danych jest także marketing jego produktów i usług. Przetwarzanie danych w celach marketingowych w stosunku do produktów i usług administratora danych nie wymaga uzyskania zgody na przetwarzanie danych osobowych. Należy jednakże pamiętać, że pewne formy kontaktu z osobami, których dane dotyczą wymaga uzyskania takiej zgody (np. przesyłanie informacji handlowych za pośrednictwem środków komunikacji elektronicznej).

Podstawa prawna: art. 6, 9, 12, 13 RODO

 

Na czy polega zasada minimalizacji?

Jest to zasada wprowadzona przez RODO. Zgodnie z nią można przetwarzać wyłącznie dane, które są niezbędne do osiągnięcia celu przetwarzania danych. Co za tym idzie, przetwarzanie danych powinno być ograniczone wyłącznie do danych, bez których nie można osiągnąć celu przetwarzania danych.

Podstawa prawna: art. 5 ust. 1 pkt c) RODO.

 

Co to jest profilowanie?

Profilowanie, to zgodnie z RODO szczególny rodzaj przetwarzania danych osobowych, który:

  • odbywa się w sposób automatyczny;
  • ma na celu ocenę osoby fizycznej lub przewidywanie jej zachowania.

Należy pamiętać, że profilowane wymaga zawsze poinformowania o tym osób, które są profilowane.

Jako przykłady profilowania można wskazać automatyczny dobór reklam na stronach internetowych, automatyczne obliczenie składki w oparciu o dane podane na stronie internetowej.

Czy można odwołać zgodę na przetwarzanie danych osobowych?

Zgodna przetwarzanie danych osobowych może być odwołana w każdym czasie. Odwołanie zgody powinno być tak samo łatwe, jak jej udzielenie. Odwołanie zgody na przetwarzanie danych osobowych jest jednym z uprawnień wynikających z prawa do bycia zapomnianym.

Podstawa prawna: art. 7 ust. 3 RODO

 

Co to jest prawo do bycia zapomnianym?

Jest to nowe uprawnienie, przyznane przez RODO osobom, których dane dotyczą. Składa ją się na nie dwa elementy:

  • możliwość żądania przez osobę, której dane dotyczą usunięcia jej danych osobowych przez administratora danych;
  • możliwość żądania, aby administrator danych poinformował innych administratorów danych, którym upublicznił dane osobowe, że osoba, której dane dotyczą żąda, by administratorzy ci usunęli wszelkie łącza do tych danych lub ich kopie.

Prawo do bycia zapomnianym można wykonać, jeżeli zostanie spełniona jedna z poniżej wskazanych przesłanek:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  • osoba, której dane dotyczą wycofała zgodę na przetwarzanie danych osobowych i nie istnieje inna podstawa przetwarzania danych;
  • osoba, której dane dotyczą zgłosiła sprzeciw wobec przetwarzania swoich danych w związku ze swoją szczególna sytuacja albo wobec przetwarzania danych dla celów marketingowych;
  • dane osobowe były przetwarzane niezgodnie z prawem;
  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator;
  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego bezpośrednio dziecku.

Najczęściej spotykanym przypadkiem jest cofnięcie zgody na przetwarzanie danych osoby, której dane dotyczą.

Należy również pamiętać, że w przypadku wykonania prawa do bycia zapomnianym, administrator danych powinien poinformować innych administratorów danych, którym upublicznił dane osobowe, że osoba, której dane dotyczą żąda by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

Obowiązek ten może być ograniczony przez:

  • dostępną technologię;
  • koszty;
  • konieczność ograniczenia do rozsądnych działań.

Podstawa prawna: art. 17 RODO

 

Co to jest prawo do przenoszenia danych?

Prawo do przenoszenia danych to prawo do:

  • otrzymania przez osobę, której dane dotyczą, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, danych osobowych jej dotyczących, które dostarczyła administratorowi;
  • prawo przesłania przez osobę, której dane dotyczą danych osobowych jej dotyczących, które dostarczyła administratorowi, bez przeszkód ze strony administratora danych.

Prawo przenoszenia danych może być wykonywane wyłącznie wtedy gdy:

  • przetwarzanie danych odbywa się na podstawie zgody lub w celu wykonania umowy;
  • przetwarzanie danych odbywa się w sposób zautomatyzowany.

Należy pamiętać, że prawo przenoszenia danych obejmuje tylko dane osobowe przetwarzane za pomocą systemów informatycznych i nie obejmują tradycyjnych, papierowych zbiorów danych.

Co istotne, prawo do przenoszenia danych obejmuje dane osobowe dotyczące osoby, która wykonuje to prawo i która dostarcza dane administratorowi. Zdarza się, że dane objęte prawem do przeniesienia będą obejmować również dane innych osób. Jako przykład można wskazać historię konta bankowego, czy rejestry połączeń telefonicznych.

Podstawa prawna: art. 20 RODO

 

Jak zabezpieczyć dane osobowe?

RODO nie wskazuje żadnych konkretnych środków zabezpieczenia danych osobowych, które powinny zostać wdrożone przez administratora lub podmiot przetwarzający dane. Rozporządzenie wprowadza natomiast tzw. podejście oparte na ryzyku.

Istota tego pojęcia sprowadza się do tego, że każdy podmiot przetwarzający dane osobowe powinien samodzielnie określić, jakie konkretne środki zabezpieczenia danych należy wdrożyć. Dobór środków zabezpieczenia winien być oparty o:

  • charakter, zakres, kontekst i cele przetwarzania;
  • ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia;
  • stan wiedzy technicznej;
  • koszt wdrażania.

Co za tym idzie, każdy podmiot przetwarzający dane osobowe powinien:

  • ustalić, jakie dane osobowe, w jakim charakterze, po co i w jakim środowisku przetwarza;
  • określić ryzyko naruszenia praw lub wolności osób fizycznych, związane z takim przetwarzaniem;
  • dobrać odpowiednie środki zabezpieczenia danych, uwzględniając istniejące możliwości techniczne i własne możliwości finansowe.

Rozporządzenie wskazuje przykładowe środki techniczne i organizacyjne, które mogą służyć zapewnieniu stopnia bezpieczeństwa odpowiadającego ryzyku. Zaliczają się do nich w szczególności:

  • pseudonimizacja i szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Podejście oparte na ryzyku zakłada, że każdy podmiot, który przetwarza dane osobowe podejmie decyzję o stosowanych środkach zabezpieczenia w sposób świadomy. Ma to zasadnicze znaczenie, bowiem każdy podmiot przetwarzający dane ponosi odpowiedzialność w wypadku naruszenia bezpieczeństwa danych osobowych.

Podstawa prawna: art. 32 RODO

 

Na czym polega obowiązek rejestrowania czynności przetwarzania danych?

Rejestr przetwarzania danych osobowych stanowi jeden z elementów dokumentacji ochrony danych. Powinien być prowadzony odrębnie dla każdego procesu przetwarzania danych.

Obowiązek prowadzenia rejestru dotyczy administratora danych oraz podmiotu przetwarzającego dane.

Administrator danych odnotowuje w rejestrze:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także, gdy ma to zastosowanie – przedstawiciela administratora oraz IOD;
  • cele przetwarzania,
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
  • gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego;
  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych.

Podmiot przetwarzający dane odnotowuje natomiast w rejestrze:

  • imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających;
  • każdego administratora, w imieniu którego działa podmiot przetwarzający;
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
  • gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego,
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych.

Rejestr może być prowadzony w formie pisemnej bądź elektronicznej.

Rejestr czynności nie musi być prowadzony przez przedsiębiorców zatrudniających mniej niż 250 osób, chyba że:

  • przetwarzanie może naruszać prawa lub wolności osób, których dane dotyczą;
  • przetwarzanie obejmuje szczególne kategorie danych lub dane dotyczące wyroków skazujących;
  • przetwarzanie nie ma charakteru sporadycznego.

Postawa prawna: art. 25 RODO

 

Kiedy należy wyznaczyć Inspektora Ochrony Danych?

Inspektor Ochrony Danych (IOD) to następca Administratora Bezpieczeństwa Informacji (ABI). Wyznaczenie IOD jest obowiązkowe gdy:

  • dane są przetwarzane przez podmioty z sektora publicznego;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania;
  • które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących.

Główną działalnością będzie działalność kluczowa z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane. Nie każdy podmiot, którego główną działalnością jest przetwarzanie danych, musi jednak powołać IOD – a tylko taki, którego działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.

Działalność główną należy rozumieć włączając w to działalność nierozerwalnie związaną z działalnością główną.

Zaleca się, aby za przetwarzanie na dużą skalę uznawać np.:

  • przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności;
  • przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności;
  • przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki.

Podstawa prawna: art. 37 RODO.

 

Co oznacza obowiązek zgłaszania naruszeń ochrony danych?

RODO nakłada na podmioty przetwarzające dane osobowe prawny obowiązek informowania o incydentach bezpieczeństwa dotyczących danych osobowych.

Incydent bezpieczeństwa zwany jest w przepisach RODO naruszeniem ochrony danych osobowych i może polegać na:

  • naruszeniu bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania danych osobowych
  • naruszeniu bezpieczeństwa prowadzącym do nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

O wystąpieniu incydentu należy poinformować organ nadzorczy (PUODO). Informacja powinna zostać przekazania niezwłocznie, lecz nie później, niż w ciągu 72 godzin od stwierdzenia naruszenia. W pewnych przypadkach należy również informować o incydencie osoby, których dane dotyczą – będzie tak wtedy, gdy naruszenie może powodować wysokie ryzyko naruszenia praw i wolności osoby, której dane dotyczą.

Zawiadamianie osób, których dane dotyczą, nie jest jednak wymagane, gdy zostały wdrożone odpowiednie środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie danych.

Podstawa prawna: art. 34 RODO

Dodano: 24.08.2018, do Aktualności