1. Co to jest RODO?
Jest to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Akt prawny reguluje zasady ochrony danych osobowych – zastępuje dyrektywę 95/46/WE z 1995 r.
2. Od kiedy będzie się stosować RODO?
RODO będzie obowiązywało od 25 maja 2018 r. Do tej daty wszystkie podmioty, które podlegają RODO, powinny być gotowe do jego stosowania.
3. Kto podlega RODO? Kto powinien wdrożyć RODO?
RODO podlega każdy przedsiębiorca, który prowadzi działalność w Unii Europejskiej. Nie ma znacznie forma prawna prowadzonej działalności, czy miejsce gdzie są przetwarzane dane osobowe ( np. Lokalizacja serwerów).
4. Jakie czynności podlegają RODO?
RODO stosuje się do przetwarzania danych osobowych.
Przetwarzaniem danych osobowych są jakiekolwiek operacje wykonywane na danych osobowych, takie jak:
- zbieranie danych,
- przechowywanie danych,
- usuwanie danych,
- opracowywanie danych,
- udostępnianie danych.
5. Co to są dane osobowe?
Dane osobowe to wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Osobą zidentyfikowaną jest taka osoba, której tożsamość znamy, którą możemy wskazać spośród innych osób.
Osobą możliwą do zidentyfikowania jest taka osoba, której tożsamości nie znamy, ale możemy poznać, korzystając z tych środków, które mamy.
Wyróżnia się dwie kategorie danych osobowych:
a) dane osobowe zwykłe,
b) dane osobowe zaliczające się do szczególnych kategorii danych (dawniej zwane danymi wrażliwymi).
Do szczególnych kategorii danych osobowych zaliczamy dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
Dane osobowe, które nie należą do żadnej z tych kategorii, to dane zwykłe.
6. Kto może przetwarzać dane osobowe?
ADMINISTRATOR DANYCH,
PODMIOT PRZETWARZAJĄCY DANE.
Administrator danych to taki podmiot, który decyduje o celach i sposobach przetwarzania danych.
Przykład:
- pracodawca w stosunku do danych osobowych swoich pracowników,
Podmiot przetwarzający dane osobowe nie decyduje o celach i środkach przetwarzania danych – działa na podstawie umowy z administratorem danych.
Podmiot przetwarzający dane na zlecenie powinien zawrzeć z administratorem danych odpowiednią umowę, tzw. umowę powierzenia, w której określone zostaną zasady przetwarzania danych.
7. Kiedy można przetwarzać dane osobowe?
Dane osobowe można przetwarzać wyłącznie wtedy, gdy istnieje tzw. podstawa prawna przetwarzania danych. W przypadku przedsiębiorców, typowymi podstawami przetwarzania danych zwykłych są:
a) zgoda osoby, której dane dotyczą,
b) przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dane dotyczą lub do podjęcia działań poprzedzających zawarcie umowy, na żądanie tej osoby,
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
d) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.
W przypadku szczególnych kategorii danych, typowe podstawy przetwarzania danych to:
a) wyraźna zgoda osoby, której dane dotyczą,
b) przetwarzanie danych jest niezbędne do wykonania zadań związanych z zatrudnieniem, ubezpieczeniem społecznym pracowników,
c) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy,
d) przetwarzanie danych jest niezbędne w celu dochodzenia praw przed sądem.
8. W jakim zakresie można przetwarzać dane osobowe zgodnie z RODO?
RODO wprowadza tzw. zasadę minimalizacji danych osobowych, zgodnie z którą można przetwarzać wyłącznie takie dane osobowe, które są niezbędne do osiągnięcia celu ich przetwarzania.
Przetwarzanie danych powinno więc zostać ograniczone do takich danych, bez których nie można osiągnąć celu przetwarzania danych.
9. Jak długo można przechowywać dane osobowe?
Dane osobowe nie powinny być przechowywane w nieskończoność, bez ograniczenia czasowego.
Jeżeli podstawą przetwarzania danych osobowych jest zgoda, wówczas dane osobowe mogą być przetwarzane tak długo, aż zgoda nie zostanie odwołana.
Po odwołaniu zgody, przez okres czasu odpowiadający okresowi przedawnienia roszczeń, jakie może podnosić administrator danych i jakie mogą być podnoszone wobec administratora danych.
Jeżeli podstawą przetwarzania danych jest wykonywanie umowy, wówczas dane mogą być przetwarzane tak długo, jak jest to niezbędne do wykonania umowy, a po tym czasie przez okres czasu odpowiadający okresowi przedawnienia roszczeń, jakie może podnosić administrator danych i jakie mogą być podnoszone wobec administratora danych.
10. Jak należy zabezpieczyć dane osobowe?
Każdy podmiot przetwarzający dane osobowe powinien:
a) ustalić, jakie dane osobowe, w jakim charakterze, po co i w jakim środowisku przetwarza,
b) określić ryzyko naruszenia praw lub wolności osób fizycznych związane z takim przetwarzaniem,
c) dobrać odpowiednie środki zabezpieczenia danych, uwzględniając istniejące możliwości techniczne i własne możliwości finansowe.
RODO nie nakazuje stosowania konkretnych środków zabezpieczenia danych. Wskazuje jedynie przykładowe środki techniczne i organizacyjne, które mogą służyć osiągnięciu tego celu, tj. zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku.
Są nimi w szczególności:
• pseudonimizacja i szyfrowanie danych osobowych,
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
11. Kiedy należy wyznaczyć Inspektora Ochrony Danych?
Wyznaczenie Inspektora Ochrony Danych (IOD) jest obowiązkowe, gdy:
a) dane są przetwarzane przez podmioty z sektora publicznego,
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących.
12. Ocena skutków dla ochrony danych osobowych.
Ocena skutków dla ochrony danych to proces mający opisać przetwarzanie, ocenić niezbędność i proporcjonalność przetwarzania oraz pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z przetwarzania danych osobowych.
Ocena skutków dla ochrony danych osobowych jest obowiązkowa, jeżeli dany rodzaj przetwarzania danych, w szczególności z użyciem nowych technologii, ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W przepisach RODO wskazano trzy przypadki, gdy przeprowadzenie oceny będzie wymagane. Będzie tak, gdy dochodzi do:
a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną,
b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących,
c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
13. Obowiązek zgłaszania naruszeń ochrony danych osobowych.
RODO nakłada na podmioty przetwarzające dane osobowe prawny obowiązek informowania o incydentach bezpieczeństwa dotyczących danych osobowych.
Naruszenie ochrony danych osobowych może polegać na:
a) naruszeniu bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania danych osobowych,
b) naruszeniu bezpieczeństwa prowadzącym do nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
14. Prawo do bycia zapomnianym.
Prawo to składa się z dwóch uprawnień:
a) możliwości żądania przez osobę, której dane dotyczą, usunięcia jej danych osobowych przez administratora danych,
b) możliwości żądania, aby administrator danych poinformował innych administratorów danych, którym upublicznił dane osobowe, że osoba, której dane dotyczą, żąda by administratorzy ci usunęli wszelkie łącza do tych danych lub ich kopie.
Prawo do bycia zapomnianym można wykonać, jeżeli spełniona jest choć jedna z następujących przesłanek:
a) jeżeli dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,
b) jeżeli osoba, której dane dotyczą, wycofała zgodę na przetwarzanie danych osobowych i nie istnieje inna podstawa przetwarzania danych,
c) jeżeli osoba, której dane dotyczą, zgłosiła sprzeciw wobec przetwarzania swoich danych w związku ze swoją szczególną sytuacją albo wobec przetwarzania danych dla celów marketingowych,
d) jeżeli dane osobowe były przetwarzane „niezgodnie z prawem”,
e) jeżeli dane osobowe „muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator”,
f) jeżeli dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego bezpośrednio dziecku.
W przypadku wykonania prawa do bycia zapomnianym administrator danych powinien zaprzestać przetwarzania danych osobowych i usunąć dane, chyba że zachodzą szczególne przypadki ograniczające prawo do bycia zapomnianym.
Wśród nich na szczególną uwagę zasługują:
a) istnienie przepisu prawa, który nakazuje przetwarzanie danych osobowych,
b) sytuacja, w której przetwarzanie danych jest niezbędne do ustalenia, dochodzenia
lub obrony roszczeń.
15. Prawo do przenoszenia danych.
Jest to prawo do:
a) otrzymania przez osobę, której dane dotyczą, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, danych osobowych jej dotyczących, które dostarczyła administratorowi,
b) prawo przesłania przez osobę, której dane dotyczą, danych osobowych jej dotyczących, które dostarczyła administratorowi, innemu administratorowi, bez przeszkód ze strony administratora danych.
Prawo do przenoszenia danych może być wykonane wyłącznie wtedy, gdy:
a) przetwarzanie danych odbywa się na podstawie zgody lub w celu wykonania umowy,
b) przetwarzanie danych odbywa się w sposób zautomatyzowany.
Kancelaria Prawna Adrian Zacharko.
Podstawa prawna:
- ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Stan prawny na dzień: 21 maja 2018 r.
Jeśli chcesz wiedzieć więcej szczegółów zapraszam do kontaktu:
• przy pomocy formularza porad prawnych on-line „E-prawnik 24h” ( link poniżej)
• http://www.kancelaria-zacharko.pl/porady-online.php
• telefonicznego – +48 662 282 989.