RODO – w praktyce

RODO – w praktyce

Ochrona danych osobowych to ochrona informacji dotyczących osób fizycznych przez podmioty, które nimi dysponują. Chodzi tutaj zarówno o pojedyncze informacje stanowiące dane osobowe, jak również o całe zbiory danych. Obowiązek ten wynika z zapisu przepisów, gdyż każda osoba ma prawo do ochrony swoich danych osobowych.

Zgodnie z treścią rozporządzenia RODO danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Za osobą możliwą do zidentyfikowania uważa się osobę, której tożsamość można określić na podstawie numeru identyfikacyjnego lub też ze względu na unikalne czynniki określające jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Kiedy nie stosuje się ogólnego rozporządzenia o ochronie danych (RODO)?

RODO nie stosuje się, gdy:

  • osoba, której dane dotyczą, nie żyje
  • osoba, której dane dotyczą, jest osobą prawną
  • dane są przetwarzane w celach niezwiązanych z działalnością handlową, gospodarczą lub zawodową osoby przetwarzającej dane.

Co to są dane osobowe?

Dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie, zwanej także podmiotem danych. Dane osobowe obejmują następujące informacje:

  • imię i nazwisko
  • adres
  • numer dowodu tożsamości/paszportu
  • dochody
  • cechy kulturowe
  • adres IP
  • dane będące w posiadaniu szpitala lub lekarza (jednoznacznie identyfikujące daną osobę w celach medycznych).

Szczególne kategorie danych

Zabronione jest przetwarzanie danych osobowych dotyczących:

  • pochodzenia rasowego lub etnicznego
  • orientacji seksualnej
  • poglądów politycznych
  • przekonań religijnych lub filozoficznych
  • przynależności do związków zawodowych
  • danych genetycznych, biometrycznych i zdrowotnych, poza szczególnymi przypadkami (np. gdy uzyskano wyraźną zgodę na ich przetwarzanie lub gdy przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym zgodnie z prawem unijnym lub krajowym)
  • danych osobowych dotyczących wyroków skazujących i naruszeń prawa, chyba że pozwala na to prawo unijne lub krajowe.

Kto przetwarza dane osobowe?

Podczas przetwarzania dane trafiają niekiedy do wielu różnych przedsiębiorstw lub organizacji. W cyklu tym występują dwa główne podmioty zajmujące się przetwarzaniem danych osobowych:

  • Administrator danych – decyduje o celu i sposobie przetwarzania danych.
  • Przetwarzający – przechowuje i przetwarza dane w imieniu administratora danych.

Kto monitoruje sposób przetwarzania danych osobowych wewnątrz przedsiębiorstwa?

Inspektor ochrony danych, którego przedsiębiorstwo może wyznaczyć, jest odpowiedzialny za monitorowanie sposobu przetwarzania danych osobowych oraz informowanie pracowników przetwarzających dane osobowe o ich obowiązkach i doradzanie im w tym zakresie. Inspektor ochrony danych współpracuje także z organem ochrony danych, służąc jako punkt kontaktowy dla tego organu i osób fizycznych.

Kiedy należy wyznaczyć inspektora ochrony danych?

Twoja firma musi wyznaczyć inspektora ochrony danych, jeśli:

  • regularnie lub systematycznie monitorujesz osoby fizyczne lub przetwarzasz szczególne kategorie danych
  • przetwarzanie danych stanowi główny przedmiot Twojej działalności
  • przetwarzasz dane na dużą skalę.

Masz na przykład obowiązek wyznaczyć inspektora ochrony danych, jeśli przetwarzasz dane osobowe w celu kierowania reklam do konkretnych konsumentów za pośrednictwem wyszukiwarek internetowych w oparciu o zachowania konsumentów w sieci. Jeśli jednak jedynie wysyłasz swoim klientom raz w roku materiały promocyjne, inspektor ochrony danych nie jest Ci potrzebny. Podobnie jeśli jako lekarz gromadzisz dane na temat stanu zdrowia pacjentów, prawdopodobnie nie potrzebujesz inspektora ochrony danych. Jeśli jednak przetwarzasz dane genetyczne lub dotyczące stanu zdrowia dla szpitala, wyznaczenie inspektora będzie niezbędne.

Inspektorem ochrony danych może być pracownik Twojej organizacji lub osoba z zewnątrz zatrudniona na podstawie umowy o świadczenie usług. Inspektorem może być osoba fizyczna lub część organizacji.

Przetwarzanie danych dla innego przedsiębiorstwa

Administrator danych może korzystać wyłącznie z usług podmiotu przetwarzającego oferującego wystarczające gwarancje. Powinny one być uwzględnione w pisemnej umowie pomiędzy stronami. W umowie musi się także znaleźć szereg obowiązkowych zapisów, takich jak ten, że przetwarzający będzie przetwarzał dane osobowe tylko na polecenie administratora danych.

Przekazywanie danych poza Unię

Za każdym razem, gdy dane osobowe są przekazywane poza UE, muszą być chronione na podstawie RODO. Oznacza to, że jeśli eksportujesz dane za granicę, Twoja firma musi spełnić jeden z poniższych warunków (lub upewnić się, że jest on spełniony):

  • Unia Europejska uznaje środki ochrony danych obowiązujące w kraju docelowym niebędącym członkiem Unii za odpowiednie.
  • Twoja firma podejmuje niezbędne działania, aby zapewnić odpowiednie zabezpieczenia takie jak włączenie konkretnych klauzul do umowy z podmiotem spoza Unii będącym odbiorcą danych.
  • Twoja firma przekazuje dane w oparciu o szczególne podstawy (wyjątki), takie jak zgoda osoby fizycznej, której dane dotyczą.

Kiedy dozwolone jest przetwarzanie danych?

Unijne przepisy dotyczące ochrony danych wymagają, aby dane były przetwarzane uczciwie i zgodnie z prawem, w konkretnym, prawnie uzasadnionym celu – i tylko takie dane, które są potrzebne do tego celu. Aby móc przetwarzać dane osobowe, musisz spełnić jeden z następujących warunków; jeżeli:

  • otrzymasz zgodę osoby, której dane dotyczą
  • potrzebujesz danych osobowych do wypełnienia zobowiązania umownego względem osoby, której dane dotyczą
  • potrzebujesz danych osobowych do spełnienia obowiązku prawnego
  • potrzebujesz danych osobowych, aby chronić żywotne interesy osoby, której dane dotyczą
  • przetwarzasz dane osobowe, aby wykonać zadanie leżące w interesie publicznym
  • działasz w uzasadnionym interesie swojej firmy, o ile nie wpływa to istotnie na podstawowe prawa i wolności osoby, której dane są przetwarzane. Nie możesz przetwarzać danych osoby, której prawa są nadrzędne wobec interesów Twojej firmy.

Zgoda na przetwarzanie danych

W RODO przewidziano ścisłe zasady przetwarzania danych na podstawie zgody. Ich celem jest zapewnienie, by osoba fizyczna rozumiała, na co wyraża zgodę. Oznacza to, że zgoda powinna być dobrowolna, konkretna, świadoma i jednoznaczna, a zapytanie o zgodę musi być wyrażone jasnym i prostym językiem. Zgoda powinna być wyrażona w formie działania potwierdzającego, np. przez zaznaczenie pola wyboru na stronie internetowej lub podpisanie formularza.

Jeśli otrzymasz zgodę na przetwarzanie danych osobowych, możesz przetwarzać je tylko w celach, na które wyrażono zgodę. Musisz także umożliwić wycofanie zgody.

Udzielanie przejrzystych informacji

Musisz poinformować w sposób zrozumiały osoby fizyczne o tym, kto i dlaczego przetwarza dane osobowe na ich temat. Musisz przekazać co najmniej następujące informacje:

  • kim jesteś
  • dlaczego przetwarzasz dane osobowe
  • na jakiej podstawie prawnej
  • kto otrzyma dane (w stosownych przypadkach).

W niektórych przypadkach musisz także:

  • podać dane kontaktowe inspektora ochrony danych (w stosownych przypadkach)
  • wskazać uzasadniony interes firmy, jeśli przetwarzanie danych opiera się na takiej podstawie prawnej
  • wskazać środki stosowane przy przekazywaniu danych do kraju spoza UE
  • podać okres przechowywania danych
  • poinformować o prawach osoby fizycznej związanych z ochroną jej danych (tj. prawo dostępu do danych, do ich poprawienia, usunięcia, do ograniczenia ich przetwarzania, cofnięcia zgody na ich przetwarzanie, prawa do sprzeciwu, prawa do przenoszenia danych itd.).
  • wskazać sposób cofnięcia zgody (jeśli zgoda stanowi podstawę prawną przetwarzania danych)
  • wskazać ewentualne zobowiązania ustawowe lub umowne przewidujące przekazanie danych
  • w przypadku zautomatyzowanego podejmowania decyzji poinformować o zasadach podejmowania decyzji, jej znaczeniu i konsekwencjach.

Informacje te powinny być przedstawione jasnym i prostym językiem.

Szczególne zasady dotyczące dzieci

Jeśli gromadzisz dane osobowe dziecka na podstawie zgody, na przykład przy użyciu konta w mediach społecznościowych lub konta do pobierania materiałów z internetu, musisz najpierw uzyskać zgodę rodziców, np. przesyłając powiadomienie rodzicowi lub opiekunowi. Wiek osoby uznawanej za dziecko zależy od jej miejsca zamieszkania; jest to od 13 do 16 lat.

Prawo dostępu do danych i do przenoszenia danych

Musisz zapewnić osobom fizycznym prawo bezpłatnego dostępu do ich danych osobowych. Jeśli wystąpią z takim żądaniem, masz obowiązek:

  • poinformować je, czy przetwarzasz ich dane osobowe
  • poinformować je o procesie przetwarzania (celu, kategoriach danych osobowych, odbiorcach itd.)
  • przekazać im kopię przetwarzanych danych osobowych (w przystępnym formacie).

W przypadku przetwarzania danych na podstawie zgody lub umowy osoba fizyczna może także poprosić o zwrócenie jej danych osobowych lub przekazanie ich innemu przedsiębiorstwu. Jest to tzw. prawo do przenoszenia danych. Powinieneś przekazać dane w powszechnie używanym formacie nadającym się do odczytu maszynowego.

Prawo do poprawienia danych i prawo do sprzeciwu

Osoba fizyczna, która uważa, że jej dane osobowe są nieprawidłowe, niekompletne lub niedokładne, ma prawo do ich niezwłocznego sprostowania lub uzupełnienia.

Jeśli zmieniłeś lub usunąłeś dane osobowe, które uprzednio udostępniłeś innym, powinieneś poinformować o tym wszystkich odbiorców takich danych. W przypadku udostępnienia nieprawidłowych danych osobowych masz także obowiązek poinformować o tym każdego, kto widział takie dane, chyba że wymagałoby to nieproporcjonalnego wysiłku.

Osoba fizyczna może także w każdej chwili sprzeciwić się przetwarzaniu swoich danych osobowych w konkretnym celu, gdy podstawą prawną przetwarzania danych jest uzasadniony interes lub zadanie wykonywane w interesie publicznym. Jeżeli Twój uzasadniony interes nie jest nadrzędny wobec interesu osoby fizycznej, musisz zaprzestać przetwarzania danych osobowych.

Osoba fizyczna może również poprosić o ograniczenie zakresu przetwarzania swoich danych osobowych na czas ustalania, czyj interes jest nadrzędny. W przypadku marketingu bezpośredniego jesteś jednak zawsze zobowiązany do zaprzestania przetwarzania danych osobowych na prośbę osoby fizycznej.

Prawo do usunięcia danych (prawo do bycia zapomnianym)

W pewnych okolicznościach, np. gdy dane nie są już potrzebne do celu ich przetwarzania, osoba fizyczna może poprosić administratora danych o usunięcie swoich danych osobowych. Niemniej Twoja firma nie musi tego robić, jeśli:

  • przetwarzanie jest konieczne do poszanowania wolności wypowiedzi i informacji
  • obowiązek przechowywania danych osobowych ciąży na Tobie z mocy prawa
  • dane muszą być przechowywane z innych względów związanych z interesem publicznym, takich jak zdrowie publiczne lub badania naukowe i historyczne
  • przechowywanie danych osobowych jest niezbędne do ustalenia roszczenia.

Zautomatyzowane podejmowanie decyzji oraz profilowanie

Osoby fizyczne mają prawo nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu. Istnieją jednak pewne wyjątki od tej zasady, np. udzielenie wyraźnej zgody przez osobę, która podlega takiej decyzji. Z wyjątkiem sytuacji, gdy zautomatyzowane podejmowanie decyzji wynika z przepisów prawa, Twoja firma ma obowiązek:

  • poinformować osobę fizyczną o zautomatyzowanym podejmowaniu decyzji
  • przyznać osobie fizycznej prawo do zażądania zweryfikowania automatycznej decyzji przez człowieka
  • umożliwić osobie fizycznej zakwestionowanie zautomatyzowanej decyzji.

Przykładowo, jeśli bank podejmuje w sposób zautomatyzowany decyzję, czy udzielić pożyczki danej osobie, osoba ta powinna zostać o tym poinformowana oraz mieć możliwość zakwestionowania takiej decyzji oraz zażądania ingerencji człowieka.

Naruszenia ochrony danych – właściwe powiadomienie

Naruszenie ochrony danych to przypadkowe lub niezgodne z prawem ujawnienie nieupoważnionym odbiorcom danych, za które jesteś odpowiedzialny, a także spowodowanie czasowej niedostępności takich danych lub ich zmiana.

Jeśli dojdzie do naruszenia ochrony danych i zagraża to prawom i wolnościom osoby fizycznej, powinieneś w ciągu 72 godzin od stwierdzenia naruszenia poinformować o tym swój organ ochrony danych.

W zależności od tego, czy naruszenie ochrony danych stanowi wysokie ryzyko dla osób, których dane dotyczą, Twoja firma może także mieć obowiązek odpowiedniego poinformowania wszelkich takich osób.

Odpowiadanie na wnioski dotyczące ochrony danych

Gdy Twoja firma otrzyma wniosek od osoby, która chce wykonać swoje prawa, powinieneś odpowiedzieć nie bez zbędnej zwłoki, a w każdym razie najpóźniej w ciągu 1 miesiąca od otrzymania wniosku. Czas na odpowiedź może zostać przedłużony o 2 miesiące w przypadku skomplikowanych i złożonych wniosków, pod warunkiem poinformowania o tym wnioskującego. Rozpatrywanie wniosków powinno być bezpłatne.

W przypadku odrzucenia wniosku należy poinformować osobę wnioskującą o powodach odrzucenia oraz o przysługującym jej prawie do złożenia skargi do organu ochrony danych.

Ocena skutków

Przeprowadzenie oceny skutków w zakresie ochrony danych jest obowiązkowe, gdy planowane przetwarzanie danych mogłoby wiązać się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych, na przykład w przypadku korzystania z nowych technologii.

Wysokie ryzyko występuje, gdy:

  • do oceny osób fizycznych stosuje się zautomatyzowane przetwarzanie danych oraz profilowanie
  • miejsca publicznie dostępne są monitorowane na dużą skalę (np. z wykorzystaniem telewizji przemysłowej)
  • szczególne kategorie danych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa są przetwarzane na dużą skalę (np. dane dotyczące zdrowia).

Uwaga: Organy ochrony danych mogą także uznać przetwarzanie danych innych kategorii za stanowiące wysokie ryzyko.

Jeśli środki wskazane w ocenie skutków w zakresie ochrony danych nie wyeliminują wszystkich zidentyfikowanych źródeł wysokiego ryzyka, przed przystąpieniem do planowanego przetwarzania danych należy skonsultować się z organem ochrony danych.

Prowadzenie rejestru

Musisz być w stanie udowodnić, szczególnie na wniosek organu ochrony danych lub podczas dokonywanej przez niego inspekcji, że Twoja firma działa zgodnie z RODO i wypełnia wszystkie ciążące na niej zobowiązania.

Możesz to zrobić m.in. prowadząc szczegółowy rejestr następujących informacji:

  • nazwy i danych kontaktowych Twojego przedsiębiorstwa zajmującego się przetwarzaniem danych
  • powodów przetwarzania danych osobowych
  • kategorii osób przekazujących dane osobowe
  • kategorii organizacji otrzymujących dane osobowe
  • informacji na temat przekazywania danych osobowych do innego kraju lub organizacji
  • okresu przechowywania danych osobowych
  • opisu środków bezpieczeństwa stosowanych przy przetwarzaniu danych osobowych.

Twoja firma powinna ponadto posiadać i regularnie aktualizować pisemne procedury i wytyczne oraz podawać je do wiadomości pracowników.

/ europa.eu /

Close Menu

Zamówienie pakietu EXTRA


WYBIERAM PAKIET EXTRA - 900 PLN / ROK


Zamówienie pakietu PREMIUM


WYBIERAM PAKIET PREMIUM - 750 PLN / ROK


Zamówienie pakietu SUPER


WYBIERAM PAKIET SUPER - 600 PLN / ROK


Zamówienie pakietu STANDARD


WYBIERAM PAKIET STANDARD - 450 PLN / ROK


Zamówienie pakietu BASIC


WYBIERAM PAKIET BASIC - 300 PLN / ROK