zadzwoń:

22 455 56 01

Jeżeli potrzebujesz pomocy odwiedź nasze:

Centrum Wiedzy

lub

Zadzwoń 

Jeśli masz pytanie

zadzwoń:

22 455 56 00

lub

Wypełnij formularz kontaktowy

Oddzwonimy do Ciebie 

 

Każdego roku ustawodawca przygotowuje ponad

25 000 stron aktów prawnych

Podpowiemy Ci, jak poradzić sobie w gąszczu tak często zmieniających się przepisów. 

Zapisz się na Newsletter Prawny Sage

Pytania i odpowiedzi RODO - Sage

Zobacz odpowiedzi na najczęściej zadawane pytania dotyczące RODO

O RODO – podstawowe informacje

RODO to skrót oznaczający Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679

z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych
i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
(rozporządzenie ogólne o ochronie danych), który zastępuje dotychczasowa dyrektywę 95/46/WE z 1995 r.

Ważne: RODO będzie bezpośrednio obowiązywać, będzie bezpośrednio stosowane
i bezpośrednio skuteczne
w każdym porządku prawnym krajów UE, w tym Polsce.
Oznacza to, że (z bardzo niewielkimi wyjątkami), całe prawo ochrony danych osobowych znajdziemy bezpośrednio w tekście RODO.
Oficjalny tekst RODO dostępny jest w Dzienniku Urzędowym Unii Europejskiej L z 2016 r. nr 119, s. 1:
http://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32016R0679&%20from=EN

Tym samym RODO zastąpi obowiązującą obecnie ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych.

W dokumentach anglojęzycznych Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. jest określane skrótem GDPR, od angielskiej nazwy: General Data Protection Regulation.

RODO będzie stosowane od 25 maja 2018 r. To właśnie do tej daty wszystkie podmioty, które podlegają RODO, powinny być gotowe do jego stosowania. Nie ma już żadnego dodatkowego okresu przejściowego.

Przepisy RODO zastępują obowiązującą obecnie ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych.

Ale: w dniu 9 lutego br., po zakończeniu szerokich konsultacji społecznych, opiniowania, a także zorganizowanej konferencji uzgodnieniowej, Ministerstwo Cyfryzacji w dniu 9 lutego br. skierowało na Komitet do Spraw Europejskich Rady Ministrów projekt ustawy o ochronie danych osobowych zapewniającej skuteczne stosowanie w Polsce unijnego rozporządzenia 2016/679 (RODO).

Projekt ustawy ustanawia nowy organ właściwy w sprawie ochrony danych osobowych – Prezesa Urzędu Ochrony Danych Osobowych – oraz reguluje warunki i tryb udzielania certyfikacji i akredytacji, postępowania w sprawie naruszenia przepisów o ochronie danych i odpowiedzialności cywilnej za naruszenie przepisów o ochronie danych osobowych.

Projekt zawiera również propozycja zmian ponad 40 ustaw sektorowych. Zmiany co do zasady pełnią rolę techniczno-legislacyjną.

W polskich przepisach o ochronie danych osobowych znajdzie się także regulacja tego fragmentu zasad ochrony danych osobowych, który nie został uregulowany w RODO, czyli niektórych zasad przetwarzania danych kadrowych.

Więcej o projekcie: https://www.gov.pl/cyfryzacja/projekt-ustawy-o-ochronie-danych-osobowych-skierowany-na-komitet-do-spraw-europejskich-rady-ministrow

Nie ma jednak absolutnie sensu czekać z wdrożeniem RODO na nową ustawę: RODO zawiera już kompletną regulację prawa ochrony danych osobowych i na jej podstawie należy i trzeba się przygotować do stosowania i egzekucji przepisów.

Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych przestanie obowiązywać – tym samym zniknie GIODO. W to miejsce zaplanowano powołanie nowego organu nadzorczego w postaci: Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Organ ten przejmie zadania i kompetencje GIODO, ale także będzie wykonywał nowe, przyznane mu przez RODO.

RODO podlega działalność gospodarcza prowadzona w Unii Europejskiej w jakiejkolwiek formie prawnej: spółka, jednoosobowa działalność gospodarcza czy nawet oddział w Unii Europejskiej przedsiębiorcy mającego siedzibę poza Unią: słowem – każdy przedsiębiorca. Nie ma znaczenia:

  • narodowość osób, których dane osobowe są przetwarzane,
  • to, gdzie przetwarzane są dane osobowe (czyli np.: gdzie znajdują się serwery).
  • Na przykład:

  • polska spółka z o. o. korzysta z usług przetwarzania danych w chmurze: TAK, spółka podlega przepisom RODO,
  • polski przedsiębiorca oferujący swoje usługi obywatelom Ukrainy: TAK, spółka podlega przepisom RODO,
  • polski oddział amerykańskiej spółki przetwarza dane osobowe: TAK, spółka podlega przepisom RODO.

RODO znajduje zastosowanie również, gdy podmioty spoza Unii Europejskiej oferują swoje towary i usług osobom przebywający w Unii.

Regulacje RODO nie znajdują zastosowania w odniesieniu do działalności osobistej lub domowej.
Oznacza to, że osoba fizyczna prowadząca działalność gospodarczą musi stosować RODO do danych osobowych swoich klientów czy pracowników, ale nie stosuje RODO do danych przetwarzanych w celach czysto prywatnych, np. do danych adresatów kartek świątecznych.

Podstawa prawna: art. 3 RODO.

RODO stosuje się do przetwarzania danych osobowych, czyli jakichkolwiek operacji wykonywanych na danych osobowych, np.:

  • zbieranie danych,
  • przechowywanie danych,
  • usuwanie danych,
  • opracowywanie danych,
  • udostępnianie danych.

Ważne: RODO obejmuje wszelkie czynności, które mają za przedmiot dane osobowe – czyli nie tylko np. usługę archiwizowania dokumentów, ale także wszelkie usługi, w których dochodzi do zbierania danych osobowych. Dlatego RODO powinni stosować:

  • przedsiębiorcy zajmujący się przetwarzaniem danych, jak np.: archiwizacja danych, niszczenie dokumentów, usługi kurierskie itp.,
  • przedsiębiorcy, którzy przetwarzają dane osobowe przy okazji świadczenia innych usług, jak np.: pośrednicy ubezpieczeniowi, agenci biur podróży, księgowi, sklepy internetowe, zarządcy nieruchomości itp.

Podstawa prawna: art. 3, 4 pkt 2 RODO.

Za nieprzestrzeganie zapisów RODO podmiot może zostać ukarany karą:

  • do 4% swojego rocznego globalnego obrotu
  • lub

  • w wysokości 20 milionów euro.

To maksymalna kara, jaką może zostać nałożona za najpoważniejsze naruszenia, takie jak:

  • brak uzyskania dostatecznej zgody na przetwarzanie danych osobowych,
  • naruszenie podstawowych wymogów privacy by design.

Za drobniejsze przewinienia na przedsiębiorstwo może zostać nałożona kara w wysokości 2% jego rocznego globalnego obrotu, np. za:

  • naruszenie obowiązku rejestrowania czynności przetwarzania,
  • niezgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu,
  • niedokonanie oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Ważne: zasady te mają zastosowanie zarówno do administratorów, jak i procesorów; oznacza to, że np. różnego rodzaju usługi chmurowe (cloud) również będą objęte przedmiotem rozporządzenia.

Na podmioty publiczne mogą być nałożone w drodze decyzji administracyjne kary pieniężne w wysokości do 100 000 zł.

Jeśli twoja firma przetwarza dane o osobach do celów sprzedaży produktów i usług obywatelom innych krajów UE, będziesz musiał dostosować się do rozporządzenia niezależnie od tego, czy Wielka Brytania pozostanie w Unii Europejskiej.

Jeżeli zaś twoja działalność ogranicza się do samej Wielkiej Brytanii, to rząd Jej Królewskiej Mości zasygnalizował, że (oczywiście po faktycznym opuszczeniu Unii przez Wielką Brytanię) zostanie wprowadzony ekwiwalentny lub alternatywny do RODO mechanizm prawny. System prawny Wielkiej Brytanii już teraz w dużej mierze odpowiada rozwiązaniom RODO/GDPR. „Za” opowiada się również brytyjski organ ochrony danych (Information Commissioner’s Office).

RODO zapewnia też Wielkiej Brytanii punkt odniesienia, dzięki któremu brytyjski biznes może starać się zachować dostęp do rynku elektronicznego Unii.

Sformułowania tego w odniesieniu do RODO użył prawdopodobnie jako pierwszy jeden z pracowników Biura Generalnego Inspektora Ochrony Danych Osobowych na jednej z konferencji poświęconych RODO.

„Inteligentnym aktem prawnym” można określić takie przepisy, które dostosowują się do rzeczywistości, zaprojektowane w taki sposób, by nie wymagały zbyt częstych zmian. RODO ma właśnie taką konstrukcję – pozwala ona dostosować się do zmieniającej się rzeczywistości. To bardzo ważne w naszym świecie niezwykle szybko rozwijających się technologii.

Na przykład: dzisiaj tzw. aura człowieka, czyli nasze pole elektromagnetyczne, nie jest uważana za element danych biometrycznych, ale można sobie wyobrazić, że za np. za 20 lat to się zmieni.

RODO jednak nie zdezaktualizowałoby się w tym zakresie, bo dane biometryczne są tam zdefiniowane w taki sposób, że wskazują jedynie na to, co w szczególności do nich zaliczamy.

Informacje na podstawie cytatu z rozmowy z dr. Maciejem Kaweckim, Dyrektorem Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji (źródło: https://gdpr.pl/rodo-iso-wywiad-dr-maciejem-kaweckim-koordynatorem-krajowej-reformy-ochrony-danych-osobowych)

Dane osobowe – a co to ?

Dane osobowe to wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Osoba zidentyfikowana to taka osoba, której tożsamość znamy, którą możemy wskazać spośród innych osób.

Osoba możliwa do zidentyfikowania to taka osoba, której tożsamości nie znamy, ale możemy poznać,
korzystając z dostępnych nam środków.

Na przykład:

  • pracownik, którego dane osobowe przetwarza pracodawca – to osoba zidentyfikowana,
  • potencjalny kontrahent, którego mamy tylko numer ewidencyjny w CEIDG – osoba możliwa
    do zidentyfikowania,
  • klient sklepu internetowego, który podał swoje dane osobowe do wysyłki zamówienia – to osoba zidentyfikowana,
  • nadawca listu poleconego, znany z numeru nadanej przesyłki – osoba możliwa do zidentyfikowania,
  • osoba, która w formularzu kontaktowym podaje swoje imię, nazwisko i adres e-mail – to osoba zidentyfikowana.

Dane osobowe to informacje o osobach fizycznych. Osoby prawne nie mają danych osobowych – ale ich pracownicy mają dane osobowe, jak każda inna osoba fizyczna:

Na przykład:

  • nazwa ABC Sp. z o. o. – nie stanowi danych osobowych tego podmiotu,
  • informacja „Jan Kowalski, pracownik ABC sp. z o. o.” – może stanowić dane osobowe Jana Kowalskiego.

Na uznanie informacji za dane osobowe nie mają wpływu ani wiek, ani narodowość osoby fizycznej.

  • dane osobowe zwykłe,
  • dane osobowe zaliczające się do szczególnych kategorii danych (w dotychczasowej UOD: dane wrażliwe).

Do tej drugiej kategorii danych osobowych zaliczamy dane ujawniające:

  • pochodzenie rasowe lub etniczne, poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne oraz dane biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Wszystkie dane osobowe ujawniające dane inne od jakiejkolwiek z ww. grup, należą do kategorii danych zwykłych. Do tej kategorii – danych osobowych zwykłych – należą także dane osobowe dotyczące wyroków skazujących.

Podstawa prawna: art. 4 pkt 1, art. 9 i 10 RODO.

Zacznijmy od tego: czym są dane biometryczne? Dane biometryczne to jedna z kategorii danych osobowych, tak jak np. dane genetyczne czy dane dotyczące skazań. Tak więc – tak, ich przetwarzanie podlega przepisom o ochronie danych osobowych.

RODO zawiera definicję danych osobowych biometrycznych – to takie dane osobowe, które łącznie spełniają następujące warunki informacji:

  • dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej,
  • mają charakter danych osobowych,
  • są przetwarzane specjalnymi metodami technicznymi umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.

Na przykład: Twój pracodawca prosi Cię o twoje zdjęcie do akt osobowych; nie oznacza to jeszcze, że przetwarza dane biometryczne.

Wizerunek osoby fizycznej stanowi jej dane biometryczne tylko wtedy, gdy dzięki specjalnym technikom przetwarzania będzie umożliwiał identyfikację tej osoby lub potwierdzenie jej tożsamości. Nie wystarczy więc, że pracodawca będzie wiedział, do kogo należy konkretny wizerunek (bo zna swoich pracowników, bo akta osobowe są podpisane itp.) – żeby wizerunek został uznany za dane biometryczne, taka możliwość identyfikacji musi wynikać z technologii przetwarzania wizerunku.

Ważne: RODO zalicza dane biometryczne do tzw. szczególnych kategorii danych osobowych (dotychczas: dane osobowe wrażliwe).

Podstawa prawna: art. 4 pkt 14 RODO.

Przetwarzanie danych osobowych to bardzo ogólne sformułowanie, oznaczające jakiekolwiek operacje wykonywane na danych osobowych, takie jak:

  • zbieranie danych,
  • przechowywanie danych,
  • usuwanie danych,
  • opracowywanie danych,
  • udostępnianie danych.

Jeżeli jakiś przedsiębiorca przetwarza dane osobowe, to może to robić jako jeden z dwóch kategorii podmiotów:

  • jako administrator danych,
  • jako podmiot przetwarzający dane.

Administrator danych to taki podmiot, który decyduje o celach (po co?) i sposobach (jak?) przetwarzania danych.

Na przykład:

  • pracodawca w stosunku do danych osobowych swoich pracowników – administrator danych,
  • sprzedawca w sklepie internetowym w stosunku do danych osobowych swoich klientów – administrator danych,
  • właściciel strony internetowej w stosunku do danych osobowych osób, które zaprenumerowały newsletter – administrator danych.

Administrator danych to zawsze określony podmiot, a nie jego pracownik.

Na przykład:

  • spółka z o.o. – administrator danych,
  • prezes zarządu spółka z o.o. – nie jest administratorem danych,
  • dyrektor marketingu – nie jest administratorem danych,
  • Jan Kowalski, prowadzący jednoosobową działalność gospodarczą – administrator danych.

Podmiot przetwarzający dane osobowe nie decyduje o celach (po co?) i sposobach (jak?) przetwarzania danych; działa natomiast na podstawie umowy z administratorem danych. Administrator danych może bowiem przetwarzać dane samodzielnie albo też może skorzystać z usług zewnętrznego podmiotu, który te dane będzie dla niego przetwarzał (podmiot przetwarzający dane osobowe).

Na przykład:

  • biuro rachunkowe jest podmiotem przetwarzającym dane osobowe, ponieważ przetwarza na zlecenie dane osobowe przekazane mu w tym celu przez klientów,
  • firma utrzymuje na zlecenie swoich klientów konta poczty elektronicznej – jest podmiotem przetwarzającym dane osobowe, ponieważ przetwarza na zlecenie dane osobowe klientów-zleceniodawców,
  • firma zajmuje się profesjonalnie niszczeniem danych osobowych – jest podmiotem przetwarzającym dane osobowe, ponieważ przetwarza w tym zakresie dane osobowe na zlecenie swoich klientów.

Każdy podmiot przetwarzający dane na zlecenie powinien zawrzeć z administratorem danych tzw. umowę powierzenia, w której określone zostaną zasady przetwarzania danych.

W firmach dane osobowe faktycznie przetwarzane są przez konkretne osoby fizyczne – pracowników lub współpracowników administratora lub podmiotu przetwarzającego dane. Osoby te powinny posiadać stosowne upoważnienie do takiego przetwarzania danych osobowych.

Podstawa prawna:art. 4 pkt 7 i 8 RODO.

Dane osobowe można przetwarzać wyłącznie wtedy, gdy istnieje do tego podstawa prawna przetwarzania danych.

W przypadku podmiotów gospodarczych takimi typowymi podstawami przetwarzania danych zwykłych są:

  • zgoda osoby, której dane dotyczą,
  • umowa z osobą, której dane dotyczą, gdy przetwarzanie tych danych jest niezbędne
    do jej wykonania lub do podjęcia działań poprzedzających zawarcie umowy, na żądanie tej osoby,
  • obowiązek prawny ciążący na administratorze, gdy przetwarzanie jest niezbędne do jego wypełnienia,
  • prawnie uzasadniony interes realizowanych przez administratora lub przez stronę trzecią, gdy przetwarzanie jest niezbędne do osiągnięcia wynikających z niego celów

W odniesieniu do szczególnych kategorii danych typowe podstawy przetwarzania danych to:

  • wyraźna zgoda osoby, której dane dotyczą,
  • przetwarzanie danych jest niezbędne do wykonania zadań związanych z zatrudnieniem, ubezpieczeniem społecznym pracowników,
  • przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy,
  • przetwarzanie danych jest niezbędne w celu dochodzenia praw przed sądem.

Ważne: Administrator danych zawsze powinien móc wykazać, że dysponuje odpowiednią podstawą przetwarzania danych: to obowiązek prawny administratora danych wynikający z tzw. zasady rozliczalności.

Podstawa prawna: art. 6 i 9 RODO.

RODO wprowadza tzw. zasadę minimalizacji danych osobowych. Określa ona, że można przetwarzać wyłącznie takie dane osobowe, które są niezbędne do osiągnięcia celu przetwarzania danych. Dlatego przetwarzanie danych powinno zostać ograniczone tylko do takich danych, bez których nie można osiągnąć celu ich przetwarzania.

Na przykład: firma realizuje zamówienia w sklepie internetowym;
firma zawarła jednak w formularzu sklepu pytania o:

  • stan cywilny (sytuacja rodzinna),
  • ilość dzieci w gosp. domowym (sytuacja rodzinna),
  • zarobki (sytuacja finansowa).

Firma nie może przetwarzać tych danych w celu realizacji zamówienia: to niedopuszczalne.
Mogłaby to robić, ale w innym celu, np.: w celach marketingowych, z tym że na innej podstawie prawnej.

Podstawa prawna: art. 5 ust. 1 pkt c) RODO.

Każda zgoda, dla swej ważności, powinna być:

  • dobrowolna – tylko jeżeli osoba, której dane osobowe dotyczą, ma możliwość dokonania rzeczywistego wyboru, a jednocześnie nie zachodzi ryzyko: wprowadzenia w błąd, zastraszenia, przymusu lub znaczących negatywnych konsekwencji, jeśli nie wyrazi zgody. Jeżeli konsekwencje wyrażenia zgody nie dają się pogodzić ze swobodą wyboru, zgoda nie jest wówczas dobrowolna (Opinia WP 187 w sprawie definicji zgody: http://www.giodo.gov.pl/pl/1520110/4214);
  • konkretna – musi dokładnie określać cel przetwarzania danych; niedopuszczalna jest zgoda ogólna, która nie określa dokładnego celu przetwarzania (Opinia WP 187 w sprawie definicji zgody: http://www.giodo.gov.pl/pl/1520110/4214);
  • świadoma – zgodnie z art. 23 ust. 1 pkt 1 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zgoda nie może mieć charakteru abstrakcyjnego, lecz winna odnosić się do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania (zob. wyrok NSA z 11.04.2003 r., II SA 3942/02: http://www.giodo.gov.pl/data/filemanager_pl/1278.pdf);
  • jednoznaczna – musi mieć charakter wyraźny i jasny dla składającego ją w momencie jej wyrażania (zob. wyrok NSA z 04.04.2003 r., II SA 2135/02: http://orzeczenia.nsa.gov.pl/doc/6B17392974).

Zgoda na przetwarzanie danych osobowych może być wyrażona w dowolnej formie – ważne, by administrator danych w każdej sytuacji, gdy zostaje zgłoszona/wyrażona wątpliwość, mógł wykazać faktyczne jej udzielenie. Administrator danych sam powinien określić i wybrać, w jaki sposób gromadzi i przechowuje zgody na przetwarzanie danych osobowych.

W przypadku zgody na przetwarzanie danych zaliczonych do szczególnych kategorii danych osobowych, RODO – inaczej, niż to ma miejsce na gruncie Ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych – nie wymaga, aby zgoda ta była wyrażona na piśmie. Zgodnie z RODO taka zgoda powinna być zgodą „wyraźną”; może więc zostać udzielona np. w Internecie poprzez zaznaczenie odpowiedniego pola wyboru. Oczywiście zbieranie zgód na piśmie w dalszym ciągu będzie dopuszczalne.

Podstawa prawna: art. 6 RODO.

RODO nakazuje, by przy gromadzeniu danych przekazywać osobie, której dane dotyczą, następujące informacje:

  • tożsamość administratora danych i o jego dane kontaktowe, a jeżeli administrator danych powołał Inspektora Ochrony Danych (IOD), to dane kontaktowe IOD;
  • cel i podstawę przetwarzania danych, a jeżeli przetwarzanie odbywa się na tej podstawie, że jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią – prawnie uzasadniony interes;
  • na temat odbiorcy danych osobowych lub kategorii odbiorców, jeżeli istnieją;
  • zamiar przekazania danych osobowych do państwa trzeciego w każdym przypadku, gdy ma to zastosowanie;
  • czas, przez jaki dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • prawo do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub informacje o prawie do wniesienia sprzeciwu wobec przetwarzania, a także prawo do przenoszenia danych;
  • prawo do cofnięcia zgody w dowolnym momencie, jeżeli przetwarzanie odbywa się na podstawie zgody;
  • prawo wniesienia skargi do organu nadzorczego;
  • informacja, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  • wiadomość o tzw. zautomatyzowanym podejmowaniu decyzji lub profilowania, w każdym przypadku jeżeli dochodzi do tego dochodzi wraz z zasadami automatycznego podejmowania decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą;
  • wskazanie podmiotów przetwarzających dane osobowe na zlecenie administratora danych.

Bardzo rozbudowany obowiązek informacyjny dla zgody na przetwarzanie danych osobowych najczęściej realizowany jest w postaci tzw. klauzuli zgody na przetwarzanie danych.

Ważne: obowiązek informacyjny należy wykonywać w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Przykład:

Zgadzam się na przetwarzanie moich danych osobowych przez spółkę XYZ sp. z o. o. z siedzibą w ……….., ul. ……………., w celu ……………. [np. marketingowym]. Podanie danych jest dobrowolne. Podstawą przetwarzania danych jest moja zgoda. Odbiorcami danych mogą być ………….. [np. podmioty zajmujące się obsługą informatyczną administratora danych]. Mam prawo wycofania zgody w dowolnym momencie. Dane osobowe będą przetwarzane ………….. [np. do ew. odwołania zgody, a po takim odwołaniu przez okres przedawnienia roszczeń przysługujących administratorowi danych i w stosunku do niego]. Mam prawo żądania od administratora dostępu do moich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania [informacja o prawie do przenoszenia danych, jeżeli przysługuje], a także prawo wniesienia skargi do organu nadzorczego. [jeżeli dochodzi do profilowania, wówczas należy podać informacje dotyczące profilowania]. W przypadku pytań dotyczących przetwarzania danych osobowych prosimy o kontakt z Inspektorem Ochrony Danych pod adresem ……………. [jeżeli został wyznaczony].

Ministerstwo Cyfryzacji złożyło propozycję, by rozbudowane obowiązki informacyjne wyłączyć w odniesieniu do przedsiębiorców zatrudniających mniej niż 250 osób, przetwarzających dane osobowe niezbędne do wykonywania działalności gospodarczej, w szczególności w celu zawierania umów i prowadzenia rachunkowości.

Podstawa prawna: art. 6, art. 12 i 13 RODO.

Przebieg procesu legislacyjnego można śledzić na stronach Rządowego Centrum Legislacji: https://www.rcl.gov.pl/

Zgody na przetwarzanie danych nie trzeba zbierać w szczególności wtedy, gdy:

  • przetwarzanie danych jest niezbędne do wykonania umowy, np. sklep internetowy sprzedaje wysyłkowo książki; nie musi w takim wypadku prosić o zgodę na przetwarzanie danych, przetwarzanie danych będzie zgodne z RODO jako niezbędne do wykonania umowy (sprzedaży);
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, np. przetwarzanie danych w celach związanych z prowadzeniem ksiąg rachunkowych nie wymaga zgody osób, których dane dotyczą, a jego podstawą są przepisy o rachunkowości;
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, np. skierowanie do sądu pozwu o zapłatę przeciwko nieuczciwemu klientowi nie wymaga jego zgody na przetwarzanie danych, a podstawą przetwarzania danych w takim wypadku jest właśnie realizacja prawnie uzasadnionego interesu administratora danych.

Prawnie uzasadnionym interesem realizowanym przez administratora danych jest także marketing jego produktów i usług. Przetwarzanie danych w takim celu – marketingowym w stosunku do produktów i usług administratora danych – nie wymaga zgody na przetwarzanie danych osobowych.

Ważne: pewne formy kontaktu z osobami, których dane dotyczą, wymagają zgody:

  • przesyłanie informacji handlowej za pomocą środków komunikacji elektronicznej, np. reklam za pomocą poczty elektronicznej,
  • wykorzystanie telekomunikacyjnych urządzeń końcowych w celu marketingu bezpośredniego, np. wysyłanie wiadomości SMS o treści reklamowej.

Podstawa prawna:

  • art. 6, art. 12 i 13 RODO,
  • art. 10 Ustawy o świadczeniu usług drogą elektroniczną,
  • art. 172 ustawy Prawo telekomunikacyjne.

Profilowanie to przetwarzanie danych osobowych:

  • odbywające się w sposób automatyczny,
  • którego celem jest ocena osoby fizycznej lub przewidywanie jej zachowania.

Na przykład:

  • kolejny raz otwierasz swoją ulubioną stronę internetowa, która wyświetla automatycznie reklamę premiery filmowej, bo wcześniej szukałeś i czytałeś recenzję tego filmu na tej stronie;
  • chcesz skorzystać z oferty ratalnej w sklepie internetowym; korzystasz w tym celu z kalkulatora na stronie internetowej; twoja zdolność do zakupu na raty jest obliczana automatycznie na podstawie pozostawionych przez Ciebie danych przekazanych przez stronę internetową.

Jak widać z tych przykładów – profilowanie to najczęściej narzędzie służące do tzw. automatycznego podejmowania decyzji w odniesieniu do osób, których dane dotyczą.

W ww. przykładach automatyczne decyzje to właśnie:

  • wyświetlenie konkretnej reklamy na podstawie profilu użytkownika,
  • obliczenie wysokości składki ubezpieczeniowej w oparciu o przekazane dane.

W każdym przypadku, gdy automatyczne podejmowanie decyzji wywołuje skutki prawne wobec osób, których dane dotyczą, lub w podobny istotny sposób wpływa na te osoby, mechanizm taki może być stosowany wyłącznie wtedy, gdy spełniony jest jeden z następujących warunków:

  • osoba profilowana wyrazi na to wyraźną zgodę,
  • profilowanie jest niezbędne do zawarcia lub wykonywania umowy z tą osobą,
  • profilowanie jest dopuszczalne przez szczególne przepisy prawa.

Na przykład:

  • automatycznie wyświetlona reklama premiery filmowej na podstawie Twojego wcześniejszego wyszukiwania recenzji tego filmu na tej stronie w większości przypadków nie wywołuje skutków prawnych wobec Ciebie ani też nie wpływa na Ciebie w podobny, istotny sposób;
  • automatyczne odrzucenie Twojego wniosku kredytowego w ofercie ratalnej sklepu internetowego wyłącznie na podstawie automatycznego przetwarzania danych wywołuje dla Ciebie skutki prawne, ponieważ pozbawia Cię możliwości zawarcia umowy kredytu i zakupu na raty wybranego towaru.

Profilowanie zawsze wymaga poinformowania o tym osób, które są profilowane.

Jeżeli profilowanie miałoby się odbywać w oparciu o szczególne kategorie danych osobowych, wówczas jedyną podstawą prawną, która mogłaby takie profilowanie zalegalizować, mogą być szczególny przepis prawa.

Zawsze można odwołać złożoną zgodę na przetwarzanie danych osobowych.

Ważne: odwołanie zgody powinno być tak samo łatwe, jak jej udzielenie.

Na przykład: złożyłeś swoją zgodę na przetwarzanie danych osobowych podczas wizyty na stronie internetowej; powinieneś mieć możliwość jej odwołana również przez stronę internetową.

Od chwili otrzymania oświadczenia o odwołaniu zgody, nie można już powoływać się na zgodę na przetwarzanie danych osobowych; odwołanie zgody wywołuje wyłącznie skutki na przyszłość. Tym samym – wszystkie wcześniejsze czynności, które opierały się na tej zgodzie, pozostają ważne.

Podstawa prawna: art. 7 ust. 3 RODO.

Przechowywanie dane osobowych powinno być ograniczone czasowo: nie powinny być przechowywane w nieskończoność.

W przypadku gdy przetwarzanie danych osobowych odbywa się na podstawie:

  • zgody, to dane osobowe mogą być przetwarzane tak długo, aż zgoda ta nie zostanie odwołana; po odwołaniu zgody dane mogą być przechowywane nie dłużej niż 10 lat, czyli przez czas odpowiadający okresowi przedawnienia roszczeń, jakie może podnosić administrator danych i jakie mogą być podnoszone wobec administratora danych;
  • wykonywania umowy, wówczas dane mogą być przetwarzane tak długo, jak jest to niezbędne do wykonania tej umowy – przez czas odpowiadający okresowi przedawnienia roszczeń, jakie może podnosić administrator danych i jakie mogą być podnoszone wobec administratora danych; w przypadku przedsiębiorców ten okres, co do zasady, wynosi nie więcej niż trzy lata i różni się w zależności od tego, jakiej umowy dotyczyło przetwarzanie danych.

Jeżeli istnieją przepisy szczególne określające czas, przez jaki powinny być przechowywane dane osobowe, wówczas takie przepisy mogą wydłużać (lub w konkretnym przypadku skracać) czas przetwarzania danych osobowych.

Na przykład: w przepisach o rachunkowości nakaz przechowywania dowodów księgowych dla umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym wynosi pięć lat, od początku roku następującego po roku obrotowym, w którym operacje, transakcje, postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione.

Podstawa prawna: art. 5 ust. 1 pkt e) RODO.

Autor: Tomasz Mamys, Project Manager RODO, Sage, na podstawie: – "Przewodnik po RODO dla małych i średnich przedsiębiorców" – MPiT Warszawa 2018 – dr Paweł Litwiński

Chcesz wiedzieć więcej?

Zacznij przygotowania do e-kontroli już teraz.

Pobierz e-book na temat JPK dla małych i średnich firm
*
*