Rodo

 

 1. Co to jest RODO?

RODO to powszechnie używany skrót pochodzący od nazwy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz do uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

RODO stanowi główny element europejskiej reformy ochrony danych osobowych, której celem jest ujednolicenie przepisów dotyczących ochrony danych osobowych w państwach Unii Europejskiej.

RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe. Pozwala ono na egzekwowanie prawa osób fizycznych do ochrony ich danych osobowych, rozumianych jako wszelkie dane pozwalające na ustalenie tożsamości osoby, której dane dotyczą niezależnie od formy w jakiej one występują (papierowej/cyfrowej).

Często stosowane jest określenie GDPR (General Data Protection Regulation).

RODO (GDPR) wchodzi w życie 25.05.2018 r.

 

2.     Co to są dane osobowe?

Dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4, pkt. 1, RODO)

Do katalogu danych osobowych należą:

  • imię i nazwisko,
  • numery identyfikacyjne (PESEL, numer i seria dowodu osobistego),
  • adres zamieszkania/zameldowania,
  • dane teleinformacyjne (numer telefonu, adres e-mail),
  • płeć,
  • zawód/wykształcenie,
  • data i miejsce urodzenia,
  • imiona rodziców.

Jak również jeden lub kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Czy określone dane są danymi osobowymi zależy od kontekstu danej sytuacji.

 

3.     Co oznacza przetwarzanie danych osobowych

Przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany (art.1, pkt. 2, RODO).

Operacjami tymi są: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

 

4.     Kiedy można uznać, że doszło do naruszenia ochrony danych osobowych?

Za naruszenie zasad ochrony danych osobowych uznaje się pojedyncze zdarzenie lub serię zdarzeń, związanych z bezpieczeństwem danych, które zagrażają ich poufności, dostępności lub integralności.

Są to przykładowo:

  • ujawnienie danych osobowych osobie do tego nieuprawnionej,
  • publikowanie na stronach internetowych bez podstawy prawnej informacji zawierających dane osobowe (np. imię i nazwisko, numer PESEL, nr indeksu, nr telefonu, ocena z egzaminu),
  • wysyłanie nieszyfrowaną pocztą elektroniczną danych osobowych,
  • wrzucenie do kosza wydruku z danymi osobowymi,
  • udostępnienie innej osobie hasła do konta pracownika,
  • wykorzystanie służbowego laptopa do celów niezwiązanych z wykonywanymi obowiązkami zawodowymi,
  • utrzymywanie przez wykładowców list obecności z danymi osobowymi studentów, którzy zakończyli dany kurs.

Naruszenie ochrony danych osobowych dotyczy również szeroko rozumianych zasobów systemów informatycznych i innych elementów które mają wpływ na bezpieczeństwo przetwarzanych danych osobowych, jak również każda dezintegracja danych osobowych oraz brak dostępności danych osobowych.

 

5.     Jakie prawa przysługują osobom, które udostępniają swoje dane osobowe?

 Osoba, której dane dotyczą posiada prawo do:

  • żądania dostępu do swoich danych,
  • sprostowania swoich danych osobowych,
  • usunięcia lub ograniczenia przetwarzania danych osobowych,
  • wniesienia sprzeciwu wobec przetwarzania,
  • przenoszenia danych,
  • wyrażenia/odwołania zgody na przetwarzanie danych osobowych.

Administrator Danych Osobowych zobowiązany jest do odniesienia się do ww. żądań właściciela danych, przy czym w praktyce ADO uwzględni je w kontekście przepisów prawnych (np. kodeksu pracy, regulaminu studiów), czyli ew. innych podstaw prawnych dla przetwarzania tych danych.

 

6.     Czym jest zgoda na przetwarzanie danych osobowych?

 Zgoda na przetwarzanie danych osobowych jest to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (art. 1, pkt. 11, RODO).

Zgoda może przyjąć formę oświadczenia woli, wyrażonego w formie pisemnej lub elektronicznej np. klauzula zgody dołączona do kwestionariusza osobowego w formie papierowej lub umieszczenie klauzuli zgody w formularzu elektronicznym przy zastosowaniu checkboxa, przy czym musi być jasno określony cel, w jakim dane są pozyskiwane i będą wykorzystywane.

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być́ równie łatwe jak jej wyrażenie.

 

7.     Co to jest prawo do bycia zapomnianym?

RODO przyznaje osobom, których dane dotyczą prawo do usunięcia danych osobowych oraz bycia zapomnianym. W przypadku uzasadnionego zażądania usunięcia danych, administrator niezwłocznie musi podjąć stosowne kroki w tym kierunku. Jeśli dane, o których mowa zostały przekazane innym podmiotom, do zadań administratora należy również poinformowanie o żądaniu usunięcia danych również współadministratorów i procesorów.

Obowiązek usunięcia danych osobowych przez administratora jest wymagany w następujących przypadkach:

  • dane osobowe nie są niezbędne do realizacji celów, do których je zebrano,
  • podmiot danych wycofał zgodę i nie istnieje inna podstawa prawna dla przetwarzania tych danych,
  • podmiot danych wniósł sprzeciw do dalszego przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania,
  • dane osobowe były przetwarzane niezgodnie z prawem,
  • dane osobowe muszą być usunięte w celu wywiązania się̨ z obowiązku prawnego przewidzianego w unijnym bądź krajowym przepisie prawnym (np. przepisach dotyczących niszczenia dokumentacji medycznej),
  • dane zostały zebrane w celu świadczenia usług internetowych dziecku.

 

8.     Co oznacza” privacy by design”?

Zasada „privacy by design” określa konieczność uwzględnienia ochrony danych osobowych na etapie zidentyfikowania czynności przetwarzania w ramach danego przedsięwzięcia. Zgodnie z takim podejściem ochrona danych osobowych powinna być nieodzownym elementem każdego nowego projektu, przy zastosowaniu odpowiednich środków technicznych i organizacyjnych.

Zapewnienie bezpieczeństwa danych osobowych musi być uwzględnione i zagwarantowane przy projektowaniu nowej specjalności, wdrożeniu systemu informatycznego, reorganizacji dziekanatu itd.

 

9.     Czym jest „privacy by default”?

„Privacy by default” określa domyślne uwzględnienie adekwatnych zabezpieczeń prywatności w ustawieniach początkowych każdego systemu przetwarzania danych osobowych. Zgodnie z tą regułą można przetwarzać tylko takie dane, które są niezbędne do osiągnięcia celu dla którego zostały zebrane.

 

10.  Co rozumiemy pod pojęciem „zasada minimalizacji” i „zasada adekwatności”?

Zasada minimalizacji danych osobowych wskazuje, na konieczność ograniczenia przetwarzania takich danych tylko do tych, które są niezbędne do osiągnięcia zamierzonego celu przetwarzania.

Zasada adekwatności oznacza, iż administrator danych osobowych powinien przetwarzać tylko takie dane, bez których osiągnięcie zamierzonego celu byłoby niemożliwe, przy czym zakres tych danych powinien być ustanowiony najpóźniej w momencie ich zbierania.

 

11.  Co oznacza obowiązek informacyjny (klauzule informacyjne) – czego dotyczą?

Stosowanie klauzuli informacyjnych jest podstawowym obowiązkiem wynikającym z RODO, dla:

  • zapewnienia przejrzystości przetwarzania danych osobowych,
  • zapewnienia podmiotowi danych osobowych możliwości kontroli nad zakresem udostępnianych administratorowi danych i weryfikacji czy przetwarzane są one zgodnie z wymogami prawa.

Klauzule informacyjne muszą zostać przygotowane w formie zrozumiałej, zwięzłej i przejrzystej. Zachodzi konieczność udzielenia wszystkich informacji przed rozpoczęciem przetwarzania danych (w przypadku danych uzyskanych w sposób niebezpośredni należy poinformować taką osobę w rozsądnym terminie, zależącym od okoliczności).

Podstawowe elementy klauzuli informacyjnej:

  • dane kontaktowe inspektora ochrony danych,
  • podstawę prawną przetwarzania danych i organ nadzorczy nad poprawnością tego przetwarzania,
  • cel przetwarzania danych,
  • informacje, że podstawą przetwarzania danych jest wyłącznie dobrowolna zgoda podmiotu, którego dane dotyczą,
  • okres w jakim dane będą przechowywane (konkretny termin lub podstawę ustalenia czasu, gdy podanie konkretnej daty nie jest możliwe),
  • informacje o prawie podmiotu do: przenoszenia danych, cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem jeżeli przetwarzanie odbywa się na podstawie zgody na przetwarzanie danych zwykłych (art. 6 ust. 1 lit a) RODO) lub szczególnej kategorii (art. 9 ust. 2 lit a) RODO),
  • informacje o prawie do wniesienia skargi do organu nadzorczego,
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu,
  • informacje o zamiarze przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (jeśli taki proceder będzie mieć miejsce).

Klauzula informacyjna może być przedmiotem kontroli organu nadzorczego, a jej brak może zostać uznany za ciężkie naruszenie ochrony danych osobowych, za co grożą kary finansowe.

 

12.  Zgłaszanie naruszeń ochrony danych osobowych?

Obowiązek zgłaszania naruszeń związanych z ochroną danych osobowych spoczywa na administratorze danych osobowych, który zobowiązany jest do bezwzględnego zgłoszenia incydentu w ciągu 72 godzin od jej stwierdzenia. Dopuszcza się możliwość odstąpienia od tej zasady wówczas gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Zgłoszenie musi zawierać́ m.in.:

  • opis naruszenia, kategorię danych, przybliżoną liczbę osób, których dane dotyczą, liczbę wpisów, których dotyczy naruszenie,
  • opis konsekwencji naruszenia danych,
  • opis środków jakie zastosowano lub jakie administrator proponuje zastosować w celu usunięcia naruszenia.

 

13. Co to jest anonimizacja i pseudonimizacja?

Anonimizacja to czynność pozwalająca na usunięcie powiązań pomiędzy danymi, a osobą, której te dane dotyczą. Zanonimizowane dane nie są zatem danymi osobowymi, ponieważ nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. W związku z tym RODO nie stosuje się do przetwarzania takich anonimowych informacji.

Pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której te dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 1, pkt. 5, RODO).

 

14. Jakie są różnice pomiędzy rejestrem czynności przetwarzania a rejestrem kategorii przetwarzania?Rejestr czynności przetwarzania prowadzi administrator danych osobowych i jest to dokument, który uwzględnia wykaz wszystkich procesów organizacji w jakich są przetwarzane dane osobowe. Zgodnie z art. 30 ust. 1 RODO rejestr czynności przetwarzania powinien zawierać takie informacje, jak:

a) nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów,

b) cele przetwarzania,

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,

e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej,

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,

g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

 

Rejestr kategorii przetwarzania jest to natomiast wykaz czynności prowadzony przez każdego procesora, któremu administrator powierzył przetwarzanie danych. Zawiera się tam następujące informacje:

a) nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający,
b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów (np. cel i zakres usługi, umowy powierzenia),
c) gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego,
d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Jest to więc wykaz podmiotów, które zleciły wykonawcy jakieś usługi (np. obsługa informatyczna) i w tym celu powierzyły określone dane do przetwarzania – art. 30 ust. 2 RODO.

 

15. Jakie dane zaliczane są do szczególnych kategorii danych osobowych?

Dane wrażliwe (szczególne kategorie danych osobowych) to w szczególności dane, które ujawniają:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych,

oraz

  • dane genetyczne i biometryczne (w celu jednoznacznego zidentyfikowania osoby fizycznej),
  • dane o stanie zdrowia,
  • dane o seksualności i orientacji seksualnej.

Zgodnie z RODO co do zasady zabrania się przetwarzania i upubliczniania ww. danych wrażliwych.

 

16. Kiedy szczególne kategorie danych mogą być przetwarzane przez ADO?

Dane wrażliwe mogą być przetwarzane jedynie wtedy, gdy zostanie spełniony chociaż jeden z poniższych warunków:

  1. Osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba, że prawo UE lub prawo państwa członkowskiego przewiduje, iż osoba, której dane dotyczą, nie może uchylić zakazu.
  2. Przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawiem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującym odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.
  3. Przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą.

 

17. Jakie podmioty swoim zakresem obejmuje RODO?

Podmiotami tymi są:

  1. Administratorzy posiadający jednostki organizacyjne w Unii Europejskiej niezależnie od tego, czy dane przetwarzane są na terytorium UE (np. outsourcing przetwarzania danych w chmurze).
  2. Administratorzy nieposiadający jednostek organizacyjnych w Unii Europejskiej, jeśli swoje towary lub usługi kierują do osób w UE lub monitorują zachowania osób w UE (np. Facebook, Google).

RODO nie ma zastosowania do przetwarzania danych osobowych:

  • w ramach działalności nieobjętej zakresem prawa Unii Europejskiej,
  • przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdziału 2 Traktatu Unii Europejskiej,
  • przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze,
  • przez właściwe organy do celów zapobiegania przestępczości, prowadzanie postepowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

18. Kiedy przetwarzanie danych osobowych jest zgodne z wymogami RODO?

 

Przetwarzanie danych osobowych jest zgodne z wymogami prawa wówczas, gdy:

  • osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

 
Źródło:
 

https://giodo.gov.pl/pl/p/informacje-ogolne

https://giodo.gov.pl/pl/p/akty-prawne
 

Powrót
WhatsApp
Telegram
Skype
Messenger
Viber
Email
Skip to content