1. Co to jest RODO?
RODO to powszechnie używany skrót pochodzący od nazwy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz do uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
RODO stanowi główny element europejskiej reformy ochrony danych osobowych, której celem jest ujednolicenie przepisów dotyczących ochrony danych osobowych w państwach Unii Europejskiej.
RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe. Pozwala ono na egzekwowanie prawa osób fizycznych do ochrony ich danych osobowych, rozumianych jako wszelkie dane pozwalające na ustalenie tożsamości osoby, której dane dotyczą niezależnie od formy w jakiej one występują (papierowej/cyfrowej).
Często stosowane jest określenie GDPR (General Data Protection Regulation).
RODO (GDPR) wchodzi w życie 25.05.2018 r.
2. Co to są dane osobowe?
Dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4, pkt. 1, RODO)
Do katalogu danych osobowych należą:
Jak również jeden lub kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Czy określone dane są danymi osobowymi zależy od kontekstu danej sytuacji.
3. Co oznacza przetwarzanie danych osobowych
Przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany (art.1, pkt. 2, RODO).
Operacjami tymi są: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
4. Kiedy można uznać, że doszło do naruszenia ochrony danych osobowych?
Za naruszenie zasad ochrony danych osobowych uznaje się pojedyncze zdarzenie lub serię zdarzeń, związanych z bezpieczeństwem danych, które zagrażają ich poufności, dostępności lub integralności.
Są to przykładowo:
Naruszenie ochrony danych osobowych dotyczy również szeroko rozumianych zasobów systemów informatycznych i innych elementów które mają wpływ na bezpieczeństwo przetwarzanych danych osobowych, jak również każda dezintegracja danych osobowych oraz brak dostępności danych osobowych.
5. Jakie prawa przysługują osobom, które udostępniają swoje dane osobowe?
Osoba, której dane dotyczą posiada prawo do:
Administrator Danych Osobowych zobowiązany jest do odniesienia się do ww. żądań właściciela danych, przy czym w praktyce ADO uwzględni je w kontekście przepisów prawnych (np. kodeksu pracy, regulaminu studiów), czyli ew. innych podstaw prawnych dla przetwarzania tych danych.
6. Czym jest zgoda na przetwarzanie danych osobowych?
Zgoda na przetwarzanie danych osobowych jest to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (art. 1, pkt. 11, RODO).
Zgoda może przyjąć formę oświadczenia woli, wyrażonego w formie pisemnej lub elektronicznej np. klauzula zgody dołączona do kwestionariusza osobowego w formie papierowej lub umieszczenie klauzuli zgody w formularzu elektronicznym przy zastosowaniu checkboxa, przy czym musi być jasno określony cel, w jakim dane są pozyskiwane i będą wykorzystywane.
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być́ równie łatwe jak jej wyrażenie.
7. Co to jest prawo do bycia zapomnianym?
RODO przyznaje osobom, których dane dotyczą prawo do usunięcia danych osobowych oraz bycia zapomnianym. W przypadku uzasadnionego zażądania usunięcia danych, administrator niezwłocznie musi podjąć stosowne kroki w tym kierunku. Jeśli dane, o których mowa zostały przekazane innym podmiotom, do zadań administratora należy również poinformowanie o żądaniu usunięcia danych również współadministratorów i procesorów.
Obowiązek usunięcia danych osobowych przez administratora jest wymagany w następujących przypadkach:
8. Co oznacza” privacy by design”?
Zasada „privacy by design” określa konieczność uwzględnienia ochrony danych osobowych na etapie zidentyfikowania czynności przetwarzania w ramach danego przedsięwzięcia. Zgodnie z takim podejściem ochrona danych osobowych powinna być nieodzownym elementem każdego nowego projektu, przy zastosowaniu odpowiednich środków technicznych i organizacyjnych.
Zapewnienie bezpieczeństwa danych osobowych musi być uwzględnione i zagwarantowane przy projektowaniu nowej specjalności, wdrożeniu systemu informatycznego, reorganizacji dziekanatu itd.
9. Czym jest „privacy by default”?
„Privacy by default” określa domyślne uwzględnienie adekwatnych zabezpieczeń prywatności w ustawieniach początkowych każdego systemu przetwarzania danych osobowych. Zgodnie z tą regułą można przetwarzać tylko takie dane, które są niezbędne do osiągnięcia celu dla którego zostały zebrane.
10. Co rozumiemy pod pojęciem „zasada minimalizacji” i „zasada adekwatności”?
Zasada minimalizacji danych osobowych wskazuje, na konieczność ograniczenia przetwarzania takich danych tylko do tych, które są niezbędne do osiągnięcia zamierzonego celu przetwarzania.
Zasada adekwatności oznacza, iż administrator danych osobowych powinien przetwarzać tylko takie dane, bez których osiągnięcie zamierzonego celu byłoby niemożliwe, przy czym zakres tych danych powinien być ustanowiony najpóźniej w momencie ich zbierania.
11. Co oznacza obowiązek informacyjny (klauzule informacyjne) – czego dotyczą?
Stosowanie klauzuli informacyjnych jest podstawowym obowiązkiem wynikającym z RODO, dla:
Klauzule informacyjne muszą zostać przygotowane w formie zrozumiałej, zwięzłej i przejrzystej. Zachodzi konieczność udzielenia wszystkich informacji przed rozpoczęciem przetwarzania danych (w przypadku danych uzyskanych w sposób niebezpośredni należy poinformować taką osobę w rozsądnym terminie, zależącym od okoliczności).
Podstawowe elementy klauzuli informacyjnej:
Klauzula informacyjna może być przedmiotem kontroli organu nadzorczego, a jej brak może zostać uznany za ciężkie naruszenie ochrony danych osobowych, za co grożą kary finansowe.
12. Zgłaszanie naruszeń ochrony danych osobowych?
Obowiązek zgłaszania naruszeń związanych z ochroną danych osobowych spoczywa na administratorze danych osobowych, który zobowiązany jest do bezwzględnego zgłoszenia incydentu w ciągu 72 godzin od jej stwierdzenia. Dopuszcza się możliwość odstąpienia od tej zasady wówczas gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Zgłoszenie musi zawierać́ m.in.:
13. Co to jest anonimizacja i pseudonimizacja?
Anonimizacja to czynność pozwalająca na usunięcie powiązań pomiędzy danymi, a osobą, której te dane dotyczą. Zanonimizowane dane nie są zatem danymi osobowymi, ponieważ nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. W związku z tym RODO nie stosuje się do przetwarzania takich anonimowych informacji.
Pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której te dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 1, pkt. 5, RODO).
14. Jakie są różnice pomiędzy rejestrem czynności przetwarzania a rejestrem kategorii przetwarzania?Rejestr czynności przetwarzania prowadzi administrator danych osobowych i jest to dokument, który uwzględnia wykaz wszystkich procesów organizacji w jakich są przetwarzane dane osobowe. Zgodnie z art. 30 ust. 1 RODO rejestr czynności przetwarzania powinien zawierać takie informacje, jak:
a) nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów,
b) cele przetwarzania,
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej,
f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
Rejestr kategorii przetwarzania jest to natomiast wykaz czynności prowadzony przez każdego procesora, któremu administrator powierzył przetwarzanie danych. Zawiera się tam następujące informacje:
a) nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający,
b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów (np. cel i zakres usługi, umowy powierzenia),
c) gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego,
d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
Jest to więc wykaz podmiotów, które zleciły wykonawcy jakieś usługi (np. obsługa informatyczna) i w tym celu powierzyły określone dane do przetwarzania – art. 30 ust. 2 RODO.
15. Jakie dane zaliczane są do szczególnych kategorii danych osobowych?
Dane wrażliwe (szczególne kategorie danych osobowych) to w szczególności dane, które ujawniają:
oraz
Zgodnie z RODO co do zasady zabrania się przetwarzania i upubliczniania ww. danych wrażliwych.
16. Kiedy szczególne kategorie danych mogą być przetwarzane przez ADO?
Dane wrażliwe mogą być przetwarzane jedynie wtedy, gdy zostanie spełniony chociaż jeden z poniższych warunków:
17. Jakie podmioty swoim zakresem obejmuje RODO?
Podmiotami tymi są:
RODO nie ma zastosowania do przetwarzania danych osobowych:
18. Kiedy przetwarzanie danych osobowych jest zgodne z wymogami RODO?
Przetwarzanie danych osobowych jest zgodne z wymogami prawa wówczas, gdy:
Źródło: