Kompendium RODO – DOIT.BIZ Sp. z o.o.
Działamy globalnie na terenie całego świata

Kompendium RODO

Co to jest RODO?

Takim skrótem określane jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Definiuje ono zasady przetwarzania danych osobowych na terenie Europejskiego Obszaru Gospodarczego, w tym również w Polsce.


Czym są dane osobowe?

Można tym terminem określić wszystkie informacje dotyczące konkretnej (zidentyfikowanej bądź możliwej do zidentyfikowania) osoby. Zalicza się do nich m.in. imię i nazwisko, adres, adres mailowy, numer telefonu, PESEL, NIP, adres IP komputera, odcisk palca, itp.


Czym różnią się „zwykłe” dane od „wrażliwych”?

Dane osobowe zwykłe zostały tak nazwane nie dlatego, że są mało istotne. Owszem, na podstawie zbioru takich danych można np. wkraść się na czyjeś konto bankowe. Taka klasyfikacja wynika stąd, że są to „typowe” dane wykorzystywane do identyfikacji osoby. Często też zdobycie takiej pojedynczej informacji nie wymaga szczególnych nakładów finansowych ani czasu. Stąd ich przetwarzanie jest dopuszczalne, oczywiście na określonych zasadach.
Dane osobowe wrażliwe natomiast odnoszą się do bardziej „intymnych” sfer naszej prywatności. Ich ujawnienie naraża na szczególnie przykre konsekwencje jak dyskryminacja czy wyśmianie. To przede wszystkim do takich informacji odnosi się nasze prawo do prywatności. W tym zbiorze znajdą się wiadomości dotyczące m.in. poglądów politycznych, przekonań religijnych bądź filozoficznych, przekonań partyjnych, życia seksualnego, danych rasowych bądź etnicznych, kodu genetycznego, itp. Stąd ich przetwarzanie jest domyślnie zabronione, chyba że wymagają tego szczególne okoliczności.


Co oznacza anonimizacja dokumentów?

Celem tego procesu jest takie przekształcenie informacji o osobie, by uniemożliwić przyporządkowanie konkretnych wiadomości osobistych bądź rzeczowych, pozwalających na identyfikację osoby fizycznej.


Czy można na trwałe usunąć dane osobowe?

Tak. Ostateczne i trwałe usunięcie wymaga zniszczenia wszelkich nośników, w sposób, który uniemożliwi ich odtworzenie. Wykorzystywane są do tego celu środki mechaniczne (niszczarki) oraz informatyczne (programy komputerowe).


Czym jest zbiór danych osobowych?

Stanowi jedną z form, w jakiej przechowywane są dane osobowe. Dopuszczalne jest bowiem ich przetrzymywanie w postaci pojedynczych informacji bądź zbiorów, które stanowią zestawy danych osobowych (dostępnych według określonych kryteriów) o określonej strukturze.


Kim jest Administrator Danych Osobowych (ADO)?

To podmiot, który podejmuje decyzje dotyczące celów i sposobu przetwarzania danych osobowych. Do sprawowania tej funkcji uprawnione są osoby prawne lub fizyczne.


Czy Administrator Danych Osobowych (ADO) i Inspektor Ochrony Danych (IOD) może być tą samą osobą?

Może tak być – jeśli ADO nie zdecyduje się powołać IOD, jest zobligowany wypełnić ustawowe obowiązki, które dotyczą inspektora ochrony danych. W takich przypadkach musi on wziąć na siebie większość zadań. Jednak z uwagi na szeroki zakres obowiązków, ADO może powołać IOD, który odpowiedzialny jest za przestrzeganie zasad ochrony danych. Do głównych obowiązków IOD należy zagwarantowanie przestrzegania przepisów o ochronie danych osobowych, prowadzenie stosownej dokumentacji, współpraca z PUODO.


Kto jeszcze może mieć dostęp do danych osobowych?

Takie dyspozycje może uzyskać każda osoba, która posiada upoważnienie od ADO oraz przebyła odpowiednie szkolenie z przetwarzania danych osobowych. Dobrą praktyką jest przeprowadzenie szkolenia RODO wśród wszystkich pracowników, którzy mogą mieć kontakt z przetwarzaniem tego rodzaju informacji. Szkolenie z ochrony danych osobowych powinno zawierać informacje dotyczące podstawowych regulacji prawnych oraz zawierać najważniejsze definicje. Ponadto powinno poruszać takie tematy jak: dopuszczalność przetwarzania danych, prawa osób i obowiązki wobec osób, które udzielają zgody na przetwarzanie takich informacji, odpowiedzialność za przetwarzanie danych, postępowanie w razie naruszenia zasad bezpieczeństwa, odpowiednie zabezpieczanie systemów informatycznych, itp.


Czy Inspektora Ochrony Danych (IOD) trzeba zgłaszać do UODO?

Tak. Powołanie Inspektora Ochrony Danych wiąże się z koniecznością jego zgłoszenia – w ciągu 14 dni od powołania – do Prezesa Urzędu Ochrony Danych Osobowych. Jedynym prawidłowym i skutecznym sposobem zawiadomienia o powołaniu, odwołaniu lub zmianie danych IOD jest zawiadomienie w postaci elektronicznej, opatrzone kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP (zgodnie z art. 10 ust. 6 ustawy o ochronie d.o). Zawiadomienie należy przesłać, wykorzystując w tym celu jedną z dostępnych usług znajdujących się na stronie portalu biznes.gov.pl. Możliwy jest outsourcing Inspektora Ochrony Danych, czyli realizację tych zadań można powierzyć zewnętrznej firmie.


Czym jest i co robi PUODO?

Jest to Prezes Urzędu Ochrony Danych Osobowych. Instytucja ta zajmuje się weryfikacją zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Wydaje również decyzje administracyjne oraz rozpatruje skargi, związane z nieprawidłowym wywiązywaniem się różnych podmiotów z obowiązków nałożonych prawem w zakresie przetwarzania danych osobowych. PUODO podejmuje szereg czynności, które mają na celu zgodne z prawem działanie przedsiębiorstw oraz instytucji w zakresie przetwarzania informacji o osobach.


Czym jest przetwarzanie danych osobowych?

Jest to szereg czynności podejmowanych z wykorzystaniem danych osobowych, tj. gromadzenie, utrwalanie, przetrzymywanie, archiwizowanie, zmienianie, utrwalanie, usuwanie. Wszystkie wymienione procesy są możliwe i zgodne z prawem wyłącznie, gdy zaistnieje tzw. podstawa przetwarzania danych.


Co może być podstawą przetwarzania danych?

Dane osobowe mogą być przetwarzane jeśli spełniony został co najmniej jeden z poniższych warunków art. 6 ust. 1 RODO:

  • osoba wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów,
  • przetwarzanie jest niezbędne do wykonania umowy, której osoba jest stroną , lub do podjęcia działań na jej żądanie przed zawarciem umowy,
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby,
  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.
Ponadto podstawy przetwarzania danych osobowych wrażliwych zostały określone w art. 9 ust. 2 RODO.


Kontrola UODO a audyt ochrony danych osobowych?

Głównym zadaniem kontroli Urzędu Ochrony Danych Osobowych jest określenie faktycznego stanu przestrzegania przepisów prawa w zakresie przetwarzania danych osobowych w danej instytucji bądź przedsiębiorstwie. Jest przeprowadzana przez zespół kontrolerów, a czynności kontrolne dokonywane są na miejscu – w siedzibie podmiotu. Celem audytu natomiast jest z jednej strony sprawdzenie poprawności procedur przyjętych w zakresie przetwarzania informacji o osobach oraz ich funkcjonowanie, z drugiej strony – odpowiednie przygotowanie do kontroli.