RODO w biznesie: Jak działać legalnie?

Co to jest RODO i UODO?

RODO

RODO to skrót od Rozporządzenia Ogólnego o Ochronie Danych Osobowych. Jest to unijne rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r, które działa dla każdej osoby fizycznej przebywającej na terenie Unii Europejskiej. RODO uchyla dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Przedmiot i cele RODO

  1. W niniejszym rozporządzeniu ustanowione zostają przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.
  2. „Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych.
  3. „Nie ogranicza się ani nie zakazuje swobodnego przepływu danych osobowych w Unii z powodów odnoszących się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.

Od kiedy działa?

Przepisy RODO stosuje się w Unii Europejskiej od 28 maja 2018r. i mają zastosowanie do wszystkich organizacji, które przetwarzają dane osobowe obywateli UE, niezależnie od tego, gdzie te organizacje mają swoją siedzibę.

Kto musi stosować RODO?

  • Osoby fizyczne, prawne, organizacje i przedsiębiorstwa prowadzących działalność gospodarczą na terenie UE, które przetwarzają dane osobowe, niezależnie od ich wielkości.
  • Organizacji i przedsiębiorstw spoza UE, które oferują produkty lub usługi (płatne lub bezpłatne) obywatelom UE lub monitorują ich zachowanie, a tym samym przetwarzają ich dane osobowe.

Kto nie musi stosować RODO?

  • Działalności nieobjęte zakresem prawa Unii europejskiej
  • Przetwarzanie danych osobowych w celach czysto osobistych lub domowych, które nie wpływają na prawa i wolności innych osób.

UODO

UODO jest Ustawą o Ochronie Danych Osobowych z dnia 10 maja 2018r. Jest to polska ustawa, która została uchwalona w celu dostosowania krajowego porządku prawnego do wymogów Rozporządzenia Ogólnego o Ochronie Danych Osobowych (RODO). Ustawa ta reguluje kwestie związane z ochroną danych osobowych w Polsce i określa szczegółowe zasady przetwarzania danych osobowych przez podmioty działające na terenie Polski.

Co reguluje ustawa UODO?

  • ograniczenia i wyłączenia stosowania przepisów ustawy lub RODO,
  • instytucję Inspektora Ochrony Danych (IOD),
  • warunki i procedury akredytacji i certyfikacji w zakresie ochrony danych osobowych,
  • tryb zatwierdzenia kodeksu postępowania,
  • instytucję Prezesa Urzędu Ochrony Danych Osobowych (PUODO)

Czym są dane osobowe i osoba fizyczna?

Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Oznacza to, że dane osobowe obejmują wszelkie informacje, które pozwalają bezpośrednio lub pośrednio zidentyfikować konkretną osobę.

Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Rozróżniamy dwa rodzaje danych osobowych: zwykłe i wrażliwe.

Przykłady danych osobowych zwykłych

  • Dane identyfikacyjne: imię, nazwisko, numer identyfikacyjny (np. PESEL, numer dowodu osobistego, NIP), adres zamieszkania, numer telefonu, adres e-mail, login indywidualnego użytkownika, dane pozornie niebędące danymi osobowymi, ale umożliwiające jej zidentyfikowanie np. prezes spółki X, wizerunek osoby np. zdjęcie, adres IP komputera, przynależność do organizacji, fundacji.
  • Dane kontaktowe: adres e-mail, numer telefonu, adres zamieszkania, adres do korespondencji.

Przykłady danych osobowych wrażliwych

  • medyczne dotyczące aktualnego stanu zdrowia, jak i historii medycznej,
  • finansowe,
  • zawodowe,
  • demograficzne takie jak, płeć, orientacja seksualna, pochodzenie etniczne, rasowe
  • przekonania i poglądy religijne, światopoglądowe, polityczne,
  • zainteresowania,
  • biometryczne takie jak odciski palców, skany twarzy, rozpoznawanie głosu, cechy genetyczne.

Dane osobowe dziecka

Osoby, które nie ukończyły 16 roku życia są pod szczególna ochroną przepisów UODO. Jeśli potrzebujesz przetwarzać dane osoby poniżej 16 roku życia potrzebujesz zgody osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem. Można to zrobić poprzez np. uzyskanie pisemnej zgody rodzica, odblokowania konta dziecka z konta rodzica, realizacji przelewu na 1 grosz z konta bankowego rodzica. Obostrzenia dotyczą szczególnie usług społeczeństwa informacyjnego np. portale społecznościowe, newsletter. Dziecko może natomiast zakupić książkę w sklepie internetowym.

Co to oznacza przetwarzanie danych osobowych?

Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Podstawy prawne przetwarzania danych osobowych

RODO zawiera różne przesłanki legalizujące przetwarzanie danych osobowych w zależności od rodzaju danych osobowych. Przesłanki są podstawą prawną. Administrator dobiera przesłanki pod ustalone cele.

Lista przesłanek dla danych zwykłych – art. 6 ust. 1 RODO

  • Zgoda osoby, której dane dotyczą: Przetwarzanie jest legalne, jeśli osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub więcej określonych celach.
  • Wykonanie umowy lub działań przed zawarciem umowy: Przetwarzanie jest legalne, jeśli jest to niezbędne do wykonania umowy np. kupna sprzedaży, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby przed zawarciem umowy.
  • Wypełnienie obowiązku prawnego: Przetwarzanie jest legalne, jeśli jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych.
  • Ochrona żywotnych interesów osoby, której dane dotyczą. Żywotne dane, interesy to cele humanitarne, monitorowanie epidemii, nadzwyczajne sytuacje humanitarne takie jak klęski żywiołowe lub katastrofy spowodowane przez człowieka.
  • W celu realizacji interesów publicznych lub władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. w RODO). Przesłanka dotyczy np. realizowania przetargów i przetwarzania danych osobowych osób koordynujących prace z poziomu urzędu organizującego prace.
  • Przetwarzanie danych na podstawie prawnych uzasadnionych interesów – np. monitoring osób wchodzących do serwerowni przechowujących dane osobowe.

Lista przesłanek dla danych wrażliwych – art. 9 ust. 2 RODO

  • Dla wyraźnych zgód na przetwarzanie danych w jednym lub wielu celach.
  • W przypadku niezbędnego wypełniania obowiązków i wykonywania poszczególnych praw przez administratora lub osoby, których dane dotyczą w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej np. dla osób z niepełnosprawnościami.
  • W przypadku niezbędnego ustalenia, dochodzenia lub obrony roszczeń np. w przypadku spraw związanych z wypadkiem w pracy.

Zasady zbierania i przetwarzania danych osobowych

Art. 5 RODO jasno informuje o zakresie i sposobach realizacji obowiązków przez administratorów. Mają one charakter nadrzędny względem pozostałych przepisów RODO. Istnieje 9 zasad, które należy bezwzględnie stosować.

  1. Legalności – mówi o obowiązku przetwarzania danych w oparciu właściwą podstawę prawną i w sposób zgodny z przepisami RODO.
  2. Rzetelności – mówi o obowiązku szanowania podstawowych praw i wolności.
  3. Przejrzystości – mówi o informowaniu o całym procesie przetwarzania danych w sposób jasny, zrozumiały, zwięzły
  4. Ograniczeniu celu – mówi o dokładnym określeniu celu zbierania danych.
  5. Minimalizacji danych – mówi o zbieraniu tylko tych danych, które faktycznie są potrzebne do realizacji celu. Niekiedy przepisy narzucają zbieranie określonych danych np. kodeks pracy.
  6. Prawidłowości – mówi o zbieraniu danych poprawnych i aktualnych.
  7. Ograniczenia przechowywania – mówi, że dane powinny być przechowywane możliwie krótko np. do końca gwarancji zakupionego produktu lub zniesienia zgody na wysyłkę newsletter’a.
  8. Integralności i poufności – mówi o zapewnieniu właściwego poziomu bezpieczeństwa danych osobowych.
  9. Rozliczalności – mówi, że administrator jest w stanie wykazać przestrzeganie przepisów RODO i stosowania powyższych zasad.

O czym informować osoby fizyczne przy zbieraniu danych osobowych?

Osoba fizyczna musi być poinformowany o:

  • przysługujących im prawach,
  • procesie gromadzenia danych,
  • administratorze – kim jest i jak się z nim skontaktować,
  • celu i podstawie prawnej,
  • uzasadnionych interesach w przetwarzaniu danych,
  • Inspektorze Ochrony Danych (IOD), jeśli jest wybrany,
  • odbiorcach danych lub ich kategoriach,
  • czasie przechowywania i przetwarzania danych,
  • prawie wzniesienia skargi do organu nadzorczego, czyli PUODO,
  • warunku lub wymogu ustawowym przechowywania danych – czyli, czy chcesz lub musisz przetwarzać dane,
  • konieczności podania danych i ewentualnych konsekwencjach ich nie podania,
  • zautomatyzowanym podejmowaniu decyzji i profilowaniu, jeśli to realizujesz. Np. dla autoresponderów, newsletterów, systemów samodzwoniących,
  • możliwym przekazywaniu danych do Państw spoza EOG lub organizacji międzynarodowych, tym samym o możliwym stopniu zachowania zasad przetwarzania danych osobowych.

Zgoda na przetwarzanie danych

Zgoda na przetwarzanie danych osobowych to dobrowolne, wyraźne i jednoznaczne okazanie woli osoby, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwalającego na przetwarzanie danych osobowych.

Zgoda na przetwarzanie danych osobowych musi być udzielona dla konkretnego celu lub celów przetwarzania danych oraz dla określonych danych. Nie może być ogólna ani niesprecyzowana. Ponadto, osoba udzielająca zgody powinna być poinformowana o swoich prawach, w tym prawie do cofnięcia zgody w każdym czasie.

Zgoda nie może być domyślnie udzielana. Osoba fizyczna musi wyraźnie zaznaczyć wyrażenie zgody np. poprzez zaznaczenie informacji, iż jest świadoma udzielania zgody.

Rodzaje zgód

Rozróżniamy dwa rodzaje zgód: Jednoznaczna i wyraźna.

Zgoda jednoznaczna

Oznacza to, że zgoda musi być wyrażona w sposób jednoznaczny i klarowny. Osoba, której dane dotyczą, musi w sposób jednoznaczny wyrazić swoją zgodę na przetwarzanie zwykłych danych osobowych. To oznacza, że nie może być wątpliwości co do intencji osoby udzielającej zgody. Może to być wyrażone na przykład poprzez potwierdzenie pola wyboru lub innego działania jasno wskazującego na zgodę.

Zgoda wyraźna

Zgoda wyraźna również oznacza jasne i wyraźne wyrażenie zgody na przetwarzanie wrażliwych danych osobowych, ale dodatkowo może wymagać, aby zgoda została wyrażona w sposób jawny, na przykład pisemnie, ustnie lub poprzez inny wyraźny akt, który jednoznacznie potwierdza zgodę. Jest to szczególnie istotne w przypadku przetwarzania danych wrażliwych lub w sytuacjach, gdy wymagane jest bardziej formalne potwierdzenie zgody.

Przykłady pobierania zgód na przetwarzanie danych osobowych

Pobieranie zgody jest wymagane, na przykład gdy wymagają tego przepisy np.:

  • z art. 10 ust. 2 ustawy o świadczeniu usług drogą elektroniczną. Przykładem może być wysyłka newsletter’a, informacji handlowych
  • z art. 172 ust. ustawy o prawie telekomunikacyjnym. Przykładem może być wykorzystywanie kontaktu telefonicznego celem marketingu bezpośredniego.

Zgody nie trzeba pobierać, na przykład gdy:

  • zawiera się umowę kupna-sprzedaży, gdyż podawane dane są wymagane do realizacji transakcji,
  • gdy klient sam wystąpił z prośbą o ofertę handlową.

Wycofanie/usunięcie zgody na przetwarzanie danych osobowych?

Osoba ma prawo w dowolnym momencie wycofać zgodę, co nie wpływa na zgodność z prawem przetwarzania danych. Tak samo jak w przypadku jej udzielania, wycofanie musi być świadomym aktem woli tej osoby, a jej wycofanie musi być tak samo proste, jak jej udzielanie.

Ważność zgody

Zgodę uznaję się za ważną, gdy spełnia one definicje zgody. Zgoda jest nie ważna, gdy została wymuszona np. miała charakter warunkowy lub wyrażona pod wpływem strachu.

Klauzula informacyjna dla pobierania zgody

Klauzula informacyjna w rozumieniu RODO to dokument lub komunikat, który jest udostępniany osobom, których dane osobowe są zbierane, w momencie zbierania ich danych osobowych. Klauzula informacyjna ma na celu poinformowanie tych osób o kluczowych aspektach związanych z przetwarzaniem ich danych osobowych. Jest to element zapewnienia przejrzystości i uczciwości w odniesieniu do przetwarzania danych osobowych, których dotyczy RODO. Powinna być napisana w prosty i zrozumiały sposób. Np. „Dane będą przechowywane przez okres jednego roku od daty wyrażenia zgody na ich przetwarzanie.”

Prawa osób fizycznych po wyrażeniu zgody na przetwarzanie danych osobowych

O co może prosić osoba fizyczna?

  • O udzielenie informacji na temat przetwarzanych danych osobowych. Może następnie żądać dostępu do nich i ich kopii. Pierwszą kopię należy udzielić bezpłatnie. Za kolejne można żądać odpłatności lub odmówić ich spełnienia. Administrator może również żądać odpłatności w momencie, gdy żądania są nieuzasadnione.
  • Prosić o sprostowanie danych, jeśli zauważy nieścisłości.
  • Żądać usunięcia danych (bycia zapomnianym). Jeśli można to zrobić (nie ma wykluczeń opisanych poniżej), to należy to zrobić. Jeśli jego dane zostały przekazane innych administratorów, to ich również należy prosić o ich usunięcie.
  • O ograniczenie przetwarzania danych.
  • O przeniesienie swoich danych do innego administratora wyłącznie, gdy przetwarzanie danych odbywa się w sposób zautomatyzowany lub w celu wykonania umowy. Nie można z tego skorzystać, gdy zbiory zawierają dane innych osób np. dla historii konta bankowego. Przenoszenie danych nie oznacza usunięcia ich z Twojej bazy.
  • O niepodleganiu decyzjom opartym na zautomatyzowanych systemach przetwarzania danych, o ile nie jest to wymagane do świadczenia usług. Przykładem jest profilowanie.

Prawo do bycia zapomnianym

Prawo do bycia zapomnianym, znane również jako prawo do usunięcia danych, jest jednym z kluczowych praw przysługujących osobom, których dane osobowe są przetwarzane, zgodnie z Rozporządzeniem Ogólnym o Ochronie Danych Osobowych (RODO). Prawo to umożliwia osobom żądanie usunięcia swoich danych osobowych przez administratora danych w określonych sytuacjach.

Administrator musi poinformować osobę o usunięciu danych osobowych.

Kiedy działa prawo zapomnienia?

  • Gdy dane osobowe nie są już potrzebne do celów, dla których zostały zebrane lub w inny sposób przetwarzane.
  • Gdy osoba, której dane dotyczą, cofnęła zgodę na przetwarzanie swoich danych osobowych, a nie ma innej podstawy prawnej dla przetwarzania.
  • Gdy osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania danych, a administrator danych nie ma nadrzędnych uzasadnionych podstaw do przetwarzania danych.
  • Gdy przetwarzanie danych osobowych odbywa się nielegalnie.
  • Gdy dane osobowe muszą być usunięte zgodnie z prawem UE lub krajowym.

Kiedy nie działa prawo zapomnienia?

  • Gdy są niezbędne do ustalenia, dochodzenia lub ochrony roszczeń.
  • Gdy przetwarzanie danych osobowych jest niezbędne do wykonywania prawa do wolności słowa i informacji: Prawo to nie będzie miało zastosowania, jeśli przetwarzanie danych osobowych jest konieczne do wykonywania prawa do wolności słowa i informacji, na przykład w kontekście mediów, nauki, literatury itp.
  • Gdy przetwarzanie danych osobowych jest niezbędne do celów archiwalnych, badawczych lub statystycznych: Prawo zapomnienia nie będzie miało zastosowania, gdy przetwarzanie danych osobowych jest konieczne do celów archiwalnych w interesie publicznym, do celów naukowych lub historycznych lub do celów statystycznych zgodnie z prawem UE lub krajowym.
  • Gdy dane osobowe są niezbędne do wykonywania zadań realizowanych w interesie publicznym: Jeśli przetwarzanie danych osobowych jest niezbędne do wykonywania zadań realizowanych w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi danych, prawo zapomnienia może nie mieć zastosowania.
  • Gdy przetwarzanie danych osobowych jest konieczne do celów prawnie uzasadnionych przez administratora danych: Jeśli istnieją prawnie uzasadnione interesy administratora danych, które przeważają nad interesami, prawami i wolnościami osoby, której dane dotyczą, prawo zapomnienia może nie być stosowane.
  • Gdy dane osobowe są niezbędne do wykonania umowy lub do wykonania obowiązków prawnych: Jeśli przetwarzanie danych osobowych jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do wykonania obowiązków prawnych ciążących na administratorze danych, prawo zapomnienia może nie mieć zastosowania.

Jak ograniczyć przetwarzanie danych osobowych?

  • Możesz czasowo przenieść dane do innego systemu przetwarzania danych.
  • Usunąć dane tymczasowo.
  • Ograniczyć lub uniemożliwić innym osobom dostępu do danych.

Jakie obowiązują terminy na realizację żądań?

Administrator musi w ciągu miesiąca udzielić odpowiedzi na żądanie osoby zgłaszającej je. W razie potrzeby termin też można wydłużyć o kolejne dwa miesiące w przypadku skomplikowanego żądania lub liczbę zadań. Przykładem może być informowanie innych administratorów, którym dane rozpowszechniono, a którzy również muszą zastosować się do zadania. Jeśli nie ma możliwości zrealizowania tego w terminie, to należy poinformować osobę zgłaszającą o przyczynach danej sytuacji i możliwości wzniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

Naruszenia danych osobowych

Naruszenie danych osobowych to każda sytuacja, w której dochodzi do nieuprawnionego lub niezgodnego z prawem dostępu, ujawnienia, utraty, zmiany, uszkodzenia lub zniszczenia danych osobowych. Obejmuje to wszelkie przypadki, w których dane osobowe są przetwarzane w sposób naruszający przepisy dotyczące ochrony danych osobowych, w tym Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO).

W przypadku naruszenia danych osobowych, administrator danych jest zobowiązany do podjęcia odpowiednich środków zaradczych, powiadomienia organu nadzorczego ds. ochrony danych osobowych oraz osób, których dane dotyczą, jeśli naruszenie to jest związane z wysokim ryzykiem naruszenia praw i wolności osób fizycznych w ciągu 72 godzin od stwierdzenia naruszenia. Powiadomienie to powinno zawierać informacje na temat charakteru naruszenia, danych dotkniętych naruszeniem, skutków naruszenia oraz zaproponowanych środkach naprawczych.

Możliwe jest odstępstwo od zgłoszenia do PUODO. Istnieje, gdy jest małe prawdopodobieństwo naruszenia praw lub wolności osób fizycznych. Do takiego przykładu może należeć przekazanie imienia, nazwiska, adresu e-mail. Poważniejszym naruszeniem byłoby przekazanie danych, które mogłyby narazić osobę fizyczną np. na zaciągnięcie kredytu np. danych osobowych z numerem PESEL.

Jak postępować w przypadku naruszenia?

  1. Natychmiastowe zatrzymanie naruszenia: W pierwszej kolejności należy podjąć działania w celu zatrzymania lub ograniczenia dalszego naruszenia danych osobowych. Może to obejmować m.in. wyłączenie uszkodzonych systemów, zabezpieczenie danych i zidentyfikowanie przyczyny naruszenia.
  2. Zbadanie i ocena sytuacji: Następnie należy dokładnie zbadać i ocenić sytuację, aby zrozumieć zakres, charakter i skutki naruszenia danych osobowych. W tym celu warto przeprowadzić audyt bezpieczeństwa, ocenę ryzyka oraz zidentyfikować osoby, których dane mogły być naruszone.
  3. Powiadomienie organu nadzorczego: Jeśli naruszenie danych osobowych może prowadzić do ryzyka naruszenia praw i wolności osób fizycznych, należy niezwłocznie powiadomić właściwy organ nadzorczy ds. ochrony danych osobowych. Powiadomienie powinno zawierać informacje na temat charakteru naruszenia, danych dotkniętych naruszeniem, skutków naruszenia oraz proponowanych środkach naprawczych.
    Miejsce zgłoszenia naruszenia: https://uodo.gov.pl/pl/492/2278
  4. Powiadomienie osób, których dane dotyczą: Jeśli naruszenie danych osobowych jest związane z wysokim ryzykiem naruszenia praw i wolności osób fizycznych, należy poinformować osoby, których dane dotyczą, o naruszeniu. Powiadomienie powinno być przeprowadzone bez zbędnej zwłoki i zawierać informacje na temat charakteru naruszenia, skutków naruszenia oraz zalecanych środkach ochrony.
  5. Zapewnienie środków naprawczych: Należy podjąć odpowiednie środki naprawcze w celu zabezpieczenia danych osobowych przed dalszymi naruszeniami oraz zapobieżeniu podobnym incydentom w przyszłości. Może to obejmować wzmocnienie środków bezpieczeństwa, wprowadzenie dodatkowych procedur kontroli oraz szkoleń dla pracowników.
  6. Dokumentacja incydentu: Wszystkie działania podejmowane w związku z naruszeniem danych osobowych powinny być dokładnie udokumentowane. W tym celu warto prowadzić rejestru incydentów, który zawiera informacje na temat działania podjętego w odpowiedzi na naruszenie oraz środków naprawczych.

Osoby odpowiedzialne za ochronę danych osobowych

Administrator

Administrator danych osobowych to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który decyduje o celach i środkach przetwarzania danych osobowych. To on ponosi główną odpowiedzialność za przestrzeganie przepisów dotyczących ochrony danych osobowych, w tym Rozporządzenia Ogólnego o Ochronie Danych Osobowych (RODO) w ramach swojej organizacji.

Współadministrator

Współadministrator danych osobowych to sytuacja, w której dwóch lub więcej podmiotów wspólnie decyduje o celach i środkach przetwarzania danych osobowych. Zgodnie z Rozporządzeniem Ogólnym o Ochronie Danych Osobowych (RODO), współadministratorzy danych muszą wspólnie wyznaczyć swoje obowiązki w odniesieniu do spełnienia wymagań RODO. Dzielą oni między siebie obowiązki oraz odpowiedzialność za przetwarzanie danych. Ich podział najlepiej spisać, co jednak nie jest wymagane.

Procesor

To potoczna nazwa osoby fizycznej, osoby prawnej, jednostki organizacyjnej lub innego podmiotu przetwarzającego dane w imieniu administratora. Nie decyduje on o celach przetwarzania danych. Jest odpowiedzialny za wykonywanie instrukcji zleconych przez administratora np. realizacji celów. Jest do przestrzegania prawa, postanowień umowy z administratorem, umożliwienia wykonania audytu, współpracy z organem nadzorczym, pomagania administratorowi w realizacji żądań.

Może on współpracować z innymi procesorami, jednak za wyraźną zgodą administratora. Administrator musi wiedzieć kim jest i jak działa inny procesor.

Przykładem procesora może być biuro księgowe, obsługi klienta świadczące usługi dla sklepu internetowego.

Inspektor ochrony danych osobowych (IOD)

Inspektor ochrony danych osobowych (IOD), to osoba, która nadzoruje zgodność z przepisami dotyczącymi ochrony danych osobowych w organizacji. Inspektor danych osobowych pełni kluczową rolę w zapewnieniu przestrzegania przepisów dotyczących ochrony danych osobowych, w tym Rozporządzenia Ogólnego o Ochronie Danych Osobowych (RODO), oraz w monitorowaniu działań związanych z przetwarzaniem danych osobowych.

Obowiązki inspektora ochrony danych

  1. Monitorowanie zgodności z przepisami: Inspektor danych osobowych monitoruje przestrzeganie przepisów dotyczących ochrony danych osobowych, w tym Rozporządzenia Ogólnego o Ochronie Danych Osobowych (RODO), oraz innych obowiązujących przepisów krajowych.
  2. Doradztwo i szkolenia: Inspektor danych udziela porad i wsparcia dotyczące przestrzegania przepisów o ochronie danych osobowych. Organizuje również szkolenia dla pracowników w zakresie ochrony danych osobowych i przestrzegania przepisów RODO.
  3. Konsultacje w sprawach dotyczących ochrony danych osobowych: Inspektor danych udziela konsultacji w sprawach dotyczących przetwarzania danych osobowych, w tym w przypadku oceny skutków przetwarzania danych (DPIA) oraz wdrażania odpowiednich środków bezpieczeństwa.
  4. Monitorowanie incydentów bezpieczeństwa: Inspektor danych monitoruje incydenty naruszenia bezpieczeństwa danych osobowych i koordynuje działania w celu ich rozwiązania, w tym powiadamianie organu nadzorczego i osób, których dane dotyczą.
  5. Współpraca z organem nadzorczym: Inspektor danych pełni rolę łącznika pomiędzy organizacją a organem nadzorczym ds. ochrony danych osobowych. Współpracuje z organem nadzorczym w zakresie audytów, inspekcji oraz odpowiedzi na zapytania i żądania.
  6. Dokumentacja i prowadzenie rejestru działań związanych z przetwarzaniem danych: Inspektor danych jest odpowiedzialny za prowadzenie dokumentacji dotyczącej przetwarzania danych osobowych w organizacji, w tym rejestru działań przetwarzania danych.
  7. Ocena skutków przetwarzania danych (DPIA) oraz szacowanie ryzyk: Inspektor danych przeprowadza ocenę skutków przetwarzania danych osobowych w przypadku przetwarzania danych, które mogą wiązać się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych.
  8. Reprezentowanie organizacji w sprawach dotyczących ochrony danych: Inspektor danych reprezentuje organizację w sprawach dotyczących ochrony danych osobowych, w tym w kontaktach z osobami, których dane dotyczą, oraz w przypadku zapytań i skarg dotyczących przetwarzania danych.

Kiedy należy wyznaczyć Inspektora Ochrony Danych osobowych?

Zgodnie z RODO, obowiązek mianowania inspektora ochrony danych osobowych wynika z trzech kryteriów:

  • Organizacje sektora publicznego lub państwowego: W przypadku organów publicznych i instytucji państwowych, takich jak ministerstwa, urzędy, agencje rządowe itp., jest obowiązkowe mianowanie inspektora danych osobowych.
  • Organizacje przetwarzające duże ilości danych wrażliwych: Jeśli działalność organizacji polega na regularnym i systematycznym monitorowaniu osób w dużym zakresie lub przetwarzaniu dużych ilości danych wrażliwych, mianowanie inspektora danych osobowych może być obowiązkowe.
  • Dobrowolne mianowanie przez inne podmioty: W przypadku innych organizacji, mianowanie inspektora danych osobowych może być dobrowolne, ale może być zalecane, zwłaszcza jeśli przetwarzanie danych osobowych jest istotnym elementem ich działalności.

RODO nie definiuje pojęcia dużej skali. Dużą skale można ująć, jako przetwarzanie danych osób liczonych w kilku set tysiącach.

Organ nadzorczy

Organem właściwym do zgłaszania naruszeń ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO).

Do jego obowiązków należą:

  1. Nadzór nad przestrzeganiem przepisów o ochronie danych osobowych: Prezes UODO jest odpowiedzialny za monitorowanie przestrzegania przepisów dotyczących ochrony danych osobowych przez podmioty przetwarzające dane osobowe w Polsce.
  2. Rozpatrywanie skarg i wniosków: Prezes UODO ma obowiązek rozpatrywania skarg oraz wniosków składanych przez osoby, których dane osobowe są przetwarzane. Mogą to być skargi dotyczące naruszenia praw lub wnioski o informacje dotyczące przetwarzania danych osobowych.
  3. Kontrola zgodności z przepisami: Prezes UODO ma prawo przeprowadzania kontroli w celu sprawdzenia, czy podmioty przetwarzające dane osobowe działają zgodnie z przepisami o ochronie danych osobowych. Kontrole mogą być przeprowadzane zarówno na własną inicjatywę, jak i w odpowiedzi na skargi lub sygnały o możliwych naruszeniach.
  4. Wydawanie decyzji administracyjnych: Prezes UODO może wydawać decyzje administracyjne w sprawach związanych z ochroną danych osobowych, w tym nakazywać zaprzestanie nielegalnego przetwarzania danych osobowych, nałożenie kar pieniężnych lub nakazanie działań naprawczych.
  5. Doradztwo i edukacja: Prezes UODO może udzielać porad i wskazówek dotyczących przestrzegania przepisów o ochronie danych osobowych oraz prowadzić działania edukacyjne wśród podmiotów przetwarzających dane osobowe i obywateli.
  6. Współpraca z innymi organami: Prezes UODO współpracuje z innymi organami administracji publicznej oraz instytucjami krajowymi i międzynarodowymi w zakresie ochrony danych osobowych.
  7. Monitorowanie zmian w przepisach: Prezes UODO śledzi zmiany w przepisach dotyczących ochrony danych osobowych i podejmuje działania w celu dostosowania praktyki do nowych wymogów prawnych.

Narzędzia

Rejestr

Rejestr przetwarzania danych osobowych, zwany również rejestracją przetwarzania danych osobowych, to dokumentacja prowadzona przez administratora danych osobowych lub procesora danych, zgodnie z wymogami Rozporządzenia Ogólnego o Ochronie Danych Osobowych (RODO). Rejestr zawiera informacje na temat przetwarzania danych osobowych w organizacji i służy jako narzędzie zarządzania danymi, które umożliwia administratorom i procesorom danych zapewnienie zgodności z przepisami dotyczącymi ochrony danych osobowych.

Główne cele prowadzenia rejestru przetwarzania danych osobowych

  • Zapewnienie przejrzystości: Rejestr przetwarzania danych osobowych zawiera kompleksowe informacje na temat wszystkich operacji przetwarzania danych osobowych prowadzonych w organizacji. Dzięki temu zapewniona jest przejrzystość działań związanych z przetwarzaniem danych, co ułatwia zrozumienie, jakie dane są przetwarzane, w jakim celu, przez kogo oraz w jakim zakresie.
  • Spełnienie wymogów RODO: Zgodnie z RODO, administratorzy danych osobowych są zobowiązani prowadzić rejestr przetwarzania danych osobowych, chyba że przetwarzanie to nie jest sporadyczne, nie prowadzi do ryzyka naruszenia praw i wolności osób fizycznych, lub jest objęte wyłączeniem przewidzianym w RODO. Rejestracja przetwarzania danych jest jednym z obowiązków wymaganych przez RODO i pomaga organizacjom w spełnieniu tych wymagań.
  • Narzędzie zarządzania ryzykiem: Rejestracja przetwarzania danych osobowych umożliwia identyfikację i ocenę ryzyka związanego z przetwarzaniem danych osobowych w organizacji. Dzięki dokumentacji zawartej w rejestrze, można zidentyfikować potencjalne zagrożenia dla danych osobowych oraz określić odpowiednie środki bezpieczeństwa i procedury zarządzania ryzykiem.
  • Wspieranie współpracy z organem nadzorczym: Rejestracja przetwarzania danych osobowych stanowi ważne narzędzie w procesie współpracy z organem nadzorczym ds. ochrony danych osobowych. Organ ten może żądać dostępu do rejestru w celu przeprowadzenia kontroli, audytu lub oceny zgodności z przepisami o ochronie danych osobowych.

Rejestr przetwarzania danych osobowych powinien być prowadzony w sposób systematyczny, kompleksowy i aktualny, uwzględniając wszystkie operacje przetwarzania danych w organizacji. Odpowiednie zarządzanie rejestrem przetwarzania danych osobowych jest kluczowe dla zapewnienia zgodności z przepisami o ochronie danych osobowych i skutecznego zarządzania danymi osobowymi w organizacji.

Kogo obowiązuje prowadzenie rejestru?

Rejestr obowiązuje podmioty przetwarzające dane osobowe, które zatrudniają powyżej 250 osób z włączeniami:

  • gdy mają charakter sporadyczny,
  • może powodować naruszenie praw lub wolności osób, których dane dotyczą,
  • obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Przykłady rejestrów

Dostępne są pod: https://archiwum.uodo.gov.pl/pl/123/214

WordPress: Widgety dla polityki cookies

  • Cookies and Content Security Policy – prosta i łatwa do konfiguracji wtyczka dla niewymagających
  • CookiesYes – w wersji subskrybowanej daje szerokie możliwości weryfikacji wykorzystania zaznaczonych opcji przez użytkowników.

Weryfikacja cookies

Darmowe generatory polityki prywatności

Źródła wiedzy

Learn how we helped 100 top brands gain success