RODO - czy przygotowałeś się do nowych przepisów o ochronie danych osobowych?


Data publikacji: 18.05.2018 |


Do wejścia w życie RODO, czyli Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), został dokładnie tydzień. W internecie można zauważyć istną RODO-histerię. Widziałam nawet reklamę szafek przystosowanych do RODO, cokolwiek to oznacza. Wszędzie o tym mówią, wszędzie o tym piszą. Ale czy RODO jest takie straszne? Wydaje się, że nie. Na pewno nowe przepisy zmieniają podejście do ochrony danych osobowych, co wymagało przygotowania się do unijnych regulacji przez Państwa Członkowskie i poszczególne podmioty przetwarzające dane, stąd 2-letni okres vacatio legis, czyli czas na przygotowanie się do wejścia w życie nowych przepisów.

 

Generalnie RODO nie narzuca ścisłych, konkretnych, określonych sposobów mających na celu ochronę danych osobowych. Każdy podmiot, który przetwarza dane osobowe musi dokonać tzw. analizy ryzyka i zadecydować o odpowiednich środkach prawnych, technicznych i organizacyjnych, które w ramach jego przedsiębiorstwa doprowadzą do należytej ochrony danych osobowych. Właściwe przygotowanie do RODO wymaga zatem nie tylko konsultacji prawnej i przygotowania stosownej dokumentacji (np. rejestr czynności przetwarzania danych osobowych, umowa o powierzenie przetwarzania danych osobowych z biurem rachunkowym czy serwisem IT), ale również współpracy ze specjalistami z zakresu IT, którzy odpowiednio zabezpieczą nasze komputery, strony internetowe oraz skrzynki pocztowe.

 

Myślę, że dla osób, które jeszcze nigdy nie zgłębiały tematyki ochrony danych osobowych i zagadnień związanych z RODO, warto wytłumaczyć podstawowe pojęcia.

 

Co to są dane osobowe?

 

Dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”).

 

Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

 

Myślę, że każdy zdaje sobie sprawę z tego, że nasze imię i nazwisko, adres zamieszkania, numer PESEL to nasze dane osobowe, gdyż niewątpliwie takie informacje pozwalają nas zidentyfikować.

 

Dane osobowe to również nasz adres IP czy pliki cookies, gdyż pozwalają zidentyfikować poszczególnych użytkowników internetu.

 

Istnieją również dane, które w określonych sytuacjach stanowią dane osobowe, a w innych nie. Adres mailowy zawierający imię i nazwisko stanowi dane osobowe, natomiast adres na zasadzie stokrotka@.... już może takich danych nie stanowić. Podobnie numer rachunku bankowego cz numer rejestracyjny samochodu w niektórych sytuacjach mogą stanowić dane osobowe w innych już nie.

 

Co to jest przetwarzanie danych?

 

Przetwarzanie danych oznacza wszelkie operacje wykonywane na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, a w szczególności:

1/ zbieranie, pobieranie i utrwalanie danych;

2/ organizowanie, porządkowanie, przechowywanie danych;

3/ adaptowanie lub modyfikowanie danych;

4/ przeglądanie danych;

5/ wykorzystywanie danych;

6/ ujawnianie danych poprzez ich przesłanie;

7/ rozpowszechnianie lub inne udostępnianie danych;

8/ dopasowywanie lub łączenie danych;

9/ ograniczenie, usuwanie lub niszczenie danych.

 

Podsumowując, każdy podmiot, który otrzymuje od osoby fizycznej, jakiekolwiek jej dane, przetwarza te dane, bo je zbiera, a potem dokonuje różnych operacji na tych danych, np. je przechowuje.

 

Kim jest administrator danych?

 

Administrator danych to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

 

Przykład: pracodawca jest administratorem danych osobowych swoich pracowników.

 

Kim jest podmiot przetwarzający?

 

Podmiot przetwarzający to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

 

Przykład: księgowa jest podmiotem przetwarzającym, gdyż ona przetwarza dane klientów administratora danych w celu prawidłowego rozliczenia podatkowego administratora danych osobowych.

 

Kiedy przetwarzanie danych jest zgodne z prawem?

 

Przetwarzanie jest zgodne z prawem wyłącznie, gdy:

1/ osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych w określonym celu;

2/ przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie tej osoby przed zawarciem umowy;

3/ przetwarzanie jest konieczne do wykonania obowiązku prawnego ciążącego na administratorze danych;

4/ przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

5/ przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

6/przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

 

Najczęściej wykorzystywanymi podstawami będzie oczywiście zgoda osoby, której dane dotyczą oraz konieczność wykonania zawartej umowy. Pozostałe podstawy będą raczej wyjątkiem.

 

Co oznacza zgoda na przetwarzanie danych osobowych?

 

Zgoda osoby której dane dotyczą na ich przetwarzanie to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli przez osobę której dane dotyczą w formie oświadczenia lub wyraźnego działania potwierdzającego lub przyzwalającego na przetwarzanie dotyczących jej danych osobowych.

 

Przykład: dokonując zamówienia w sklepie internetowym zaznaczmy okienko wyrażenia zgody na przetwarzanie naszych danych osobowych w celu wykonania zamówienia. Niewłaściwa będzie sytuacja, gdy na stronie sklepu automatycznie będzie zaznaczana zgoda na przetwarzanie danych osobowych w celach marketingowych bez pozostawienia klientowi opcji wyboru, czy chce to okienko zaznaczyć.

 

O jakich zasadach przetwarzania danych musimy pamiętać?

 

1/ zasada zgodności z prawem, rzetelności i przejrzystości przetwarzania danych;

2/ zasada ograniczenia celu przetwarzania danych osobowych;

3/ zasada minimalizacji przetwarzania danych osobowych;

4/ zasada prawidłowości przetwarzanych danych osobowych;

5/ zasada ograniczenia przechowywania danych osobowych;

6/ zasada integralności i poufności danych;

7/ zasada rozliczalności.

 

Postaram się omówić poszczególne zasady w kolejnym wpisie.

 

Jakie prawa przysługują osobom, których dane dotyczą?

 

1/ prawo dostępu do swoich danych;

2/ prawo do sprostowania danych;

3/ prawo do usunięcia danych, czyli inaczej prawo do bycia zapomnianym;

4/ prawo do ograniczenia przetwarzania danych;

5/ prawo do przenoszenia danych;

6/ prawo do sprzeciwu odnośnie przetwarzania danych;

7/ prawo do nie podlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu.

 

Postaram się omówić poszczególne prawa w kolejnym wpisie.

 

Jakie obowiązki ciążą na administratorze danych?

 

1/ obowiązek przetwarzania danych zgodnie z prawem;

2/ obowiązek informacyjny w stosunku do osoby, której dane dotyczą;

3/ obowiązek uwzględnienia ochrony danych w fazie projektowania oraz domyślna ochrona danych;

4/ obowiązek rejestrowania czynności przetwarzania;

5/ obowiązek współpracy z organem nadzorczym;

6/ obowiązek zapewnienia stopnia bezpieczeństwa przetwarzania odpowiadającego ryzyku naruszenia praw i wolności osób fizycznych;

7/ obowiązek zgłoszenia naruszenia danych osobowych i oceny skutków dla ochrony danych;

8/ obowiązek wyznaczenia inspektora ochrony danych.

 

Postaram się omówić poszczególne obowiązki w kolejnym wpisie.

 

Rozporządzenie przewiduje również kary za nieprzestrzeganie obowiązków wynikających z Rozporządzenia, ale o tym również napiszę innym razem.

 

< powrót do listy wpisów


Wybrana tematyka porad prawnych

Aktualności

więcej aktualności >

Strona korzysta z plików Cookies do celów analitycznych i w celu zapewnienia większej wygody korzystania ze strony. Więcej szczegółów na temat Cookies w Polityce Prywatności

X