zadzwoń:

22 455 56 01

Jeżeli potrzebujesz pomocy odwiedź nasze:

Centrum Wiedzy

lub

Zadzwoń 

Jeśli masz pytanie

zadzwoń:

22 455 56 00

lub

Wypełnij formularz kontaktowy

Oddzwonimy do Ciebie 

 

Pytania i odpowiedzi RODO - Sage

Zobacz odpowiedzi na najczęściej zadawane pytania dotyczące RODO

O RODO – podstawowe informacje

RODO to skrót oznaczający Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679

z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych
i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
(rozporządzenie ogólne o ochronie danych), który zastępuje dotychczasowa dyrektywę 95/46/WE z 1995 r.

Ważne: RODO będzie bezpośrednio obowiązywać, będzie bezpośrednio stosowane
i bezpośrednio skuteczne
w każdym porządku prawnym krajów UE, w tym Polsce.
Oznacza to, że (z bardzo niewielkimi wyjątkami), całe prawo ochrony danych osobowych znajdziemy bezpośrednio w tekście RODO.
Oficjalny tekst RODO dostępny jest w Dzienniku Urzędowym Unii Europejskiej L z 2016 r. nr 119, s. 1:
http://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32016R0679&%20from=EN

Tym samym RODO zastąpi obowiązującą obecnie ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych.

W dokumentach anglojęzycznych Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. jest określane skrótem GDPR, od angielskiej nazwy: General Data Protection Regulation.

RODO będzie stosowane od 25 maja 2018 r. To właśnie do tej daty wszystkie podmioty, które podlegają RODO, powinny być gotowe do jego stosowania. Nie ma już żadnego dodatkowego okresu przejściowego.

Przepisy RODO zastępują obowiązującą obecnie ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych.

Ale: w dniu 9 lutego br., po zakończeniu szerokich konsultacji społecznych, opiniowania, a także zorganizowanej konferencji uzgodnieniowej, Ministerstwo Cyfryzacji w dniu 9 lutego br. skierowało na Komitet do Spraw Europejskich Rady Ministrów projekt ustawy o ochronie danych osobowych zapewniającej skuteczne stosowanie w Polsce unijnego rozporządzenia 2016/679 (RODO).

Projekt ustawy ustanawia nowy organ właściwy w sprawie ochrony danych osobowych – Prezesa Urzędu Ochrony Danych Osobowych – oraz reguluje warunki i tryb udzielania certyfikacji i akredytacji, postępowania w sprawie naruszenia przepisów o ochronie danych i odpowiedzialności cywilnej za naruszenie przepisów o ochronie danych osobowych.

Projekt zawiera również propozycja zmian ponad 40 ustaw sektorowych. Zmiany co do zasady pełnią rolę techniczno-legislacyjną.

W polskich przepisach o ochronie danych osobowych znajdzie się także regulacja tego fragmentu zasad ochrony danych osobowych, który nie został uregulowany w RODO, czyli niektórych zasad przetwarzania danych kadrowych.

Więcej o projekcie: https://www.gov.pl/cyfryzacja/projekt-ustawy-o-ochronie-danych-osobowych-skierowany-na-komitet-do-spraw-europejskich-rady-ministrow

Nie ma jednak absolutnie sensu czekać z wdrożeniem RODO na nową ustawę: RODO zawiera już kompletną regulację prawa ochrony danych osobowych i na jej podstawie należy i trzeba się przygotować do stosowania i egzekucji przepisów.

Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych przestanie obowiązywać – tym samym zniknie GIODO. W to miejsce zaplanowano powołanie nowego organu nadzorczego w postaci: Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Organ ten przejmie zadania i kompetencje GIODO, ale także będzie wykonywał nowe, przyznane mu przez RODO.

RODO podlega działalność gospodarcza prowadzona w Unii Europejskiej w jakiejkolwiek formie prawnej: spółka, jednoosobowa działalność gospodarcza czy nawet oddział w Unii Europejskiej przedsiębiorcy mającego siedzibę poza Unią: słowem – każdy przedsiębiorca. Nie ma znaczenia:

  • narodowość osób, których dane osobowe są przetwarzane,
  • to, gdzie przetwarzane są dane osobowe (czyli np.: gdzie znajdują się serwery).
  • Na przykład:

  • polska spółka z o. o. korzysta z usług przetwarzania danych w chmurze: TAK, spółka podlega przepisom RODO,
  • polski przedsiębiorca oferujący swoje usługi obywatelom Ukrainy: TAK, spółka podlega przepisom RODO,
  • polski oddział amerykańskiej spółki przetwarza dane osobowe: TAK, spółka podlega przepisom RODO.

RODO znajduje zastosowanie również, gdy podmioty spoza Unii Europejskiej oferują swoje towary i usług osobom przebywający w Unii.

Regulacje RODO nie znajdują zastosowania w odniesieniu do działalności osobistej lub domowej.
Oznacza to, że osoba fizyczna prowadząca działalność gospodarczą musi stosować RODO do danych osobowych swoich klientów czy pracowników, ale nie stosuje RODO do danych przetwarzanych w celach czysto prywatnych, np. do danych adresatów kartek świątecznych.

Podstawa prawna: art. 3 RODO.

RODO stosuje się do przetwarzania danych osobowych, czyli jakichkolwiek operacji wykonywanych na danych osobowych, np.:

  • zbieranie danych,
  • przechowywanie danych,
  • usuwanie danych,
  • opracowywanie danych,
  • udostępnianie danych.

Ważne: RODO obejmuje wszelkie czynności, które mają za przedmiot dane osobowe – czyli nie tylko np. usługę archiwizowania dokumentów, ale także wszelkie usługi, w których dochodzi do zbierania danych osobowych. Dlatego RODO powinni stosować:

  • przedsiębiorcy zajmujący się przetwarzaniem danych, jak np.: archiwizacja danych, niszczenie dokumentów, usługi kurierskie itp.,
  • przedsiębiorcy, którzy przetwarzają dane osobowe przy okazji świadczenia innych usług, jak np.: pośrednicy ubezpieczeniowi, agenci biur podróży, księgowi, sklepy internetowe, zarządcy nieruchomości itp.

Podstawa prawna: art. 3, 4 pkt 2 RODO.

Za nieprzestrzeganie zapisów RODO podmiot może zostać ukarany karą:

  • do 4% swojego rocznego globalnego obrotu
  • lub

  • w wysokości 20 milionów euro.

To maksymalna kara, jaką może zostać nałożona za najpoważniejsze naruszenia, takie jak:

  • brak uzyskania dostatecznej zgody na przetwarzanie danych osobowych,
  • naruszenie podstawowych wymogów privacy by design.

Za drobniejsze przewinienia na przedsiębiorstwo może zostać nałożona kara w wysokości 2% jego rocznego globalnego obrotu, np. za:

  • naruszenie obowiązku rejestrowania czynności przetwarzania,
  • niezgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu,
  • niedokonanie oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Ważne: zasady te mają zastosowanie zarówno do administratorów, jak i procesorów; oznacza to, że np. różnego rodzaju usługi chmurowe (cloud) również będą objęte przedmiotem rozporządzenia.

Na podmioty publiczne mogą być nałożone w drodze decyzji administracyjne kary pieniężne w wysokości do 100 000 zł.

Jeśli twoja firma przetwarza dane o osobach do celów sprzedaży produktów i usług obywatelom innych krajów UE, będziesz musiał dostosować się do rozporządzenia niezależnie od tego, czy Wielka Brytania pozostanie w Unii Europejskiej.

Jeżeli zaś twoja działalność ogranicza się do samej Wielkiej Brytanii, to rząd Jej Królewskiej Mości zasygnalizował, że (oczywiście po faktycznym opuszczeniu Unii przez Wielką Brytanię) zostanie wprowadzony ekwiwalentny lub alternatywny do RODO mechanizm prawny. System prawny Wielkiej Brytanii już teraz w dużej mierze odpowiada rozwiązaniom RODO/GDPR. „Za” opowiada się również brytyjski organ ochrony danych (Information Commissioner’s Office).

RODO zapewnia też Wielkiej Brytanii punkt odniesienia, dzięki któremu brytyjski biznes może starać się zachować dostęp do rynku elektronicznego Unii.

Sformułowania tego w odniesieniu do RODO użył prawdopodobnie jako pierwszy jeden z pracowników Biura Generalnego Inspektora Ochrony Danych Osobowych na jednej z konferencji poświęconych RODO.

„Inteligentnym aktem prawnym” można określić takie przepisy, które dostosowują się do rzeczywistości, zaprojektowane w taki sposób, by nie wymagały zbyt częstych zmian. RODO ma właśnie taką konstrukcję – pozwala ona dostosować się do zmieniającej się rzeczywistości. To bardzo ważne w naszym świecie niezwykle szybko rozwijających się technologii.

Na przykład: dzisiaj tzw. aura człowieka, czyli nasze pole elektromagnetyczne, nie jest uważana za element danych biometrycznych, ale można sobie wyobrazić, że za np. za 20 lat to się zmieni.

RODO jednak nie zdezaktualizowałoby się w tym zakresie, bo dane biometryczne są tam zdefiniowane w taki sposób, że wskazują jedynie na to, co w szczególności do nich zaliczamy.

Informacje na podstawie cytatu z rozmowy z dr. Maciejem Kaweckim, Dyrektorem Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji (źródło: https://gdpr.pl/rodo-iso-wywiad-dr-maciejem-kaweckim-koordynatorem-krajowej-reformy-ochrony-danych-osobowych)

Dane osobowe – a co to ?

Dane osobowe to wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Osoba zidentyfikowana to taka osoba, której tożsamość znamy, którą możemy wskazać spośród innych osób.

Osoba możliwa do zidentyfikowania to taka osoba, której tożsamości nie znamy, ale możemy poznać,
korzystając z dostępnych nam środków.

Na przykład:

  • pracownik, którego dane osobowe przetwarza pracodawca – to osoba zidentyfikowana,
  • potencjalny kontrahent, którego mamy tylko numer ewidencyjny w CEIDG – osoba możliwa
    do zidentyfikowania,
  • klient sklepu internetowego, który podał swoje dane osobowe do wysyłki zamówienia – to osoba zidentyfikowana,
  • nadawca listu poleconego, znany z numeru nadanej przesyłki – osoba możliwa do zidentyfikowania,
  • osoba, która w formularzu kontaktowym podaje swoje imię, nazwisko i adres e-mail – to osoba zidentyfikowana.

Dane osobowe to informacje o osobach fizycznych. Osoby prawne nie mają danych osobowych – ale ich pracownicy mają dane osobowe, jak każda inna osoba fizyczna:

Na przykład:

  • nazwa ABC Sp. z o. o. – nie stanowi danych osobowych tego podmiotu,
  • informacja „Jan Kowalski, pracownik ABC sp. z o. o.” – może stanowić dane osobowe Jana Kowalskiego.

Na uznanie informacji za dane osobowe nie mają wpływu ani wiek, ani narodowość osoby fizycznej.

  • dane osobowe zwykłe,
  • dane osobowe zaliczające się do szczególnych kategorii danych (w dotychczasowej UOD: dane wrażliwe).

Do tej drugiej kategorii danych osobowych zaliczamy dane ujawniające:

  • pochodzenie rasowe lub etniczne, poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne oraz dane biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Wszystkie dane osobowe ujawniające dane inne od jakiejkolwiek z ww. grup, należą do kategorii danych zwykłych. Do tej kategorii – danych osobowych zwykłych – należą także dane osobowe dotyczące wyroków skazujących.

Podstawa prawna: art. 4 pkt 1, art. 9 i 10 RODO.

Zacznijmy od tego: czym są dane biometryczne? Dane biometryczne to jedna z kategorii danych osobowych, tak jak np. dane genetyczne czy dane dotyczące skazań. Tak więc – tak, ich przetwarzanie podlega przepisom o ochronie danych osobowych.

RODO zawiera definicję danych osobowych biometrycznych – to takie dane osobowe, które łącznie spełniają następujące warunki informacji:

  • dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej,
  • mają charakter danych osobowych,
  • są przetwarzane specjalnymi metodami technicznymi umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.

Na przykład: Twój pracodawca prosi Cię o twoje zdjęcie do akt osobowych; nie oznacza to jeszcze, że przetwarza dane biometryczne.

Wizerunek osoby fizycznej stanowi jej dane biometryczne tylko wtedy, gdy dzięki specjalnym technikom przetwarzania będzie umożliwiał identyfikację tej osoby lub potwierdzenie jej tożsamości. Nie wystarczy więc, że pracodawca będzie wiedział, do kogo należy konkretny wizerunek (bo zna swoich pracowników, bo akta osobowe są podpisane itp.) – żeby wizerunek został uznany za dane biometryczne, taka możliwość identyfikacji musi wynikać z technologii przetwarzania wizerunku.

Ważne: RODO zalicza dane biometryczne do tzw. szczególnych kategorii danych osobowych (dotychczas: dane osobowe wrażliwe).

Podstawa prawna: art. 4 pkt 14 RODO.

Przetwarzanie danych osobowych to bardzo ogólne sformułowanie, oznaczające jakiekolwiek operacje wykonywane na danych osobowych, takie jak:

  • zbieranie danych,
  • przechowywanie danych,
  • usuwanie danych,
  • opracowywanie danych,
  • udostępnianie danych.

Jeżeli jakiś przedsiębiorca przetwarza dane osobowe, to może to robić jako jeden z dwóch kategorii podmiotów:

  • jako administrator danych,
  • jako podmiot przetwarzający dane.

Administrator danych to taki podmiot, który decyduje o celach (po co?) i sposobach (jak?) przetwarzania danych.

Na przykład:

  • pracodawca w stosunku do danych osobowych swoich pracowników – administrator danych,
  • sprzedawca w sklepie internetowym w stosunku do danych osobowych swoich klientów – administrator danych,
  • właściciel strony internetowej w stosunku do danych osobowych osób, które zaprenumerowały newsletter – administrator danych.

Administrator danych to zawsze określony podmiot, a nie jego pracownik.

Na przykład:

  • spółka z o.o. – administrator danych,
  • prezes zarządu spółka z o.o. – nie jest administratorem danych,
  • dyrektor marketingu – nie jest administratorem danych,
  • Jan Kowalski, prowadzący jednoosobową działalność gospodarczą – administrator danych.

Podmiot przetwarzający dane osobowe nie decyduje o celach (po co?) i sposobach (jak?) przetwarzania danych; działa natomiast na podstawie umowy z administratorem danych. Administrator danych może bowiem przetwarzać dane samodzielnie albo też może skorzystać z usług zewnętrznego podmiotu, który te dane będzie dla niego przetwarzał (podmiot przetwarzający dane osobowe).

Na przykład:

  • biuro rachunkowe jest podmiotem przetwarzającym dane osobowe, ponieważ przetwarza na zlecenie dane osobowe przekazane mu w tym celu przez klientów,
  • firma utrzymuje na zlecenie swoich klientów konta poczty elektronicznej – jest podmiotem przetwarzającym dane osobowe, ponieważ przetwarza na zlecenie dane osobowe klientów-zleceniodawców,
  • firma zajmuje się profesjonalnie niszczeniem danych osobowych – jest podmiotem przetwarzającym dane osobowe, ponieważ przetwarza w tym zakresie dane osobowe na zlecenie swoich klientów.

Każdy podmiot przetwarzający dane na zlecenie powinien zawrzeć z administratorem danych tzw. umowę powierzenia, w której określone zostaną zasady przetwarzania danych.

W firmach dane osobowe faktycznie przetwarzane są przez konkretne osoby fizyczne – pracowników lub współpracowników administratora lub podmiotu przetwarzającego dane. Osoby te powinny posiadać stosowne upoważnienie do takiego przetwarzania danych osobowych.

Podstawa prawna:art. 4 pkt 7 i 8 RODO.

Dane osobowe można przetwarzać wyłącznie wtedy, gdy istnieje do tego podstawa prawna przetwarzania danych.

W przypadku podmiotów gospodarczych takimi typowymi podstawami przetwarzania danych zwykłych są:

  • zgoda osoby, której dane dotyczą,
  • umowa z osobą, której dane dotyczą, gdy przetwarzanie tych danych jest niezbędne
    do jej wykonania lub do podjęcia działań poprzedzających zawarcie umowy, na żądanie tej osoby,
  • obowiązek prawny ciążący na administratorze, gdy przetwarzanie jest niezbędne do jego wypełnienia,
  • prawnie uzasadniony interes realizowanych przez administratora lub przez stronę trzecią, gdy przetwarzanie jest niezbędne do osiągnięcia wynikających z niego celów

W odniesieniu do szczególnych kategorii danych typowe podstawy przetwarzania danych to:

  • wyraźna zgoda osoby, której dane dotyczą,
  • przetwarzanie danych jest niezbędne do wykonania zadań związanych z zatrudnieniem, ubezpieczeniem społecznym pracowników,
  • przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy,
  • przetwarzanie danych jest niezbędne w celu dochodzenia praw przed sądem.

Ważne: Administrator danych zawsze powinien móc wykazać, że dysponuje odpowiednią podstawą przetwarzania danych: to obowiązek prawny administratora danych wynikający z tzw. zasady rozliczalności.

Podstawa prawna: art. 6 i 9 RODO.

RODO wprowadza tzw. zasadę minimalizacji danych osobowych. Określa ona, że można przetwarzać wyłącznie takie dane osobowe, które są niezbędne do osiągnięcia celu przetwarzania danych. Dlatego przetwarzanie danych powinno zostać ograniczone tylko do takich danych, bez których nie można osiągnąć celu ich przetwarzania.

Na przykład: firma realizuje zamówienia w sklepie internetowym;
firma zawarła jednak w formularzu sklepu pytania o:

  • stan cywilny (sytuacja rodzinna),
  • ilość dzieci w gosp. domowym (sytuacja rodzinna),
  • zarobki (sytuacja finansowa).

Firma nie może przetwarzać tych danych w celu realizacji zamówienia: to niedopuszczalne.
Mogłaby to robić, ale w innym celu, np.: w celach marketingowych, z tym że na innej podstawie prawnej.

Podstawa prawna: art. 5 ust. 1 pkt c) RODO.

Każda zgoda, dla swej ważności, powinna być:

  • dobrowolna – tylko jeżeli osoba, której dane osobowe dotyczą, ma możliwość dokonania rzeczywistego wyboru, a jednocześnie nie zachodzi ryzyko: wprowadzenia w błąd, zastraszenia, przymusu lub znaczących negatywnych konsekwencji, jeśli nie wyrazi zgody. Jeżeli konsekwencje wyrażenia zgody nie dają się pogodzić ze swobodą wyboru, zgoda nie jest wówczas dobrowolna (Opinia WP 187 w sprawie definicji zgody: http://www.giodo.gov.pl/pl/1520110/4214);
  • konkretna – musi dokładnie określać cel przetwarzania danych; niedopuszczalna jest zgoda ogólna, która nie określa dokładnego celu przetwarzania (Opinia WP 187 w sprawie definicji zgody: http://www.giodo.gov.pl/pl/1520110/4214);
  • świadoma – zgodnie z art. 23 ust. 1 pkt 1 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zgoda nie może mieć charakteru abstrakcyjnego, lecz winna odnosić się do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania (zob. wyrok NSA z 11.04.2003 r., II SA 3942/02: http://www.giodo.gov.pl/data/filemanager_pl/1278.pdf);
  • jednoznaczna – musi mieć charakter wyraźny i jasny dla składającego ją w momencie jej wyrażania (zob. wyrok NSA z 04.04.2003 r., II SA 2135/02: http://orzeczenia.nsa.gov.pl/doc/6B17392974).

Zgoda na przetwarzanie danych osobowych może być wyrażona w dowolnej formie – ważne, by administrator danych w każdej sytuacji, gdy zostaje zgłoszona/wyrażona wątpliwość, mógł wykazać faktyczne jej udzielenie. Administrator danych sam powinien określić i wybrać, w jaki sposób gromadzi i przechowuje zgody na przetwarzanie danych osobowych.

W przypadku zgody na przetwarzanie danych zaliczonych do szczególnych kategorii danych osobowych, RODO – inaczej, niż to ma miejsce na gruncie Ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych – nie wymaga, aby zgoda ta była wyrażona na piśmie. Zgodnie z RODO taka zgoda powinna być zgodą „wyraźną”; może więc zostać udzielona np. w Internecie poprzez zaznaczenie odpowiedniego pola wyboru. Oczywiście zbieranie zgód na piśmie w dalszym ciągu będzie dopuszczalne.

Podstawa prawna: art. 6 RODO.

RODO nakazuje, by przy gromadzeniu danych przekazywać osobie, której dane dotyczą, następujące informacje:

  • tożsamość administratora danych i o jego dane kontaktowe, a jeżeli administrator danych powołał Inspektora Ochrony Danych (IOD), to dane kontaktowe IOD;
  • cel i podstawę przetwarzania danych, a jeżeli przetwarzanie odbywa się na tej podstawie, że jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią – prawnie uzasadniony interes;
  • na temat odbiorcy danych osobowych lub kategorii odbiorców, jeżeli istnieją;
  • zamiar przekazania danych osobowych do państwa trzeciego w każdym przypadku, gdy ma to zastosowanie;
  • czas, przez jaki dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • prawo do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub informacje o prawie do wniesienia sprzeciwu wobec przetwarzania, a także prawo do przenoszenia danych;
  • prawo do cofnięcia zgody w dowolnym momencie, jeżeli przetwarzanie odbywa się na podstawie zgody;
  • prawo wniesienia skargi do organu nadzorczego;
  • informacja, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  • wiadomość o tzw. zautomatyzowanym podejmowaniu decyzji lub profilowania, w każdym przypadku jeżeli dochodzi do tego dochodzi wraz z zasadami automatycznego podejmowania decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą;
  • wskazanie podmiotów przetwarzających dane osobowe na zlecenie administratora danych.

Bardzo rozbudowany obowiązek informacyjny dla zgody na przetwarzanie danych osobowych najczęściej realizowany jest w postaci tzw. klauzuli zgody na przetwarzanie danych.

Ważne: obowiązek informacyjny należy wykonywać w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Przykład:

Zgadzam się na przetwarzanie moich danych osobowych przez spółkę XYZ sp. z o. o. z siedzibą w ……….., ul. ……………., w celu ……………. [np. marketingowym]. Podanie danych jest dobrowolne. Podstawą przetwarzania danych jest moja zgoda. Odbiorcami danych mogą być ………….. [np. podmioty zajmujące się obsługą informatyczną administratora danych]. Mam prawo wycofania zgody w dowolnym momencie. Dane osobowe będą przetwarzane ………….. [np. do ew. odwołania zgody, a po takim odwołaniu przez okres przedawnienia roszczeń przysługujących administratorowi danych i w stosunku do niego]. Mam prawo żądania od administratora dostępu do moich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania [informacja o prawie do przenoszenia danych, jeżeli przysługuje], a także prawo wniesienia skargi do organu nadzorczego. [jeżeli dochodzi do profilowania, wówczas należy podać informacje dotyczące profilowania]. W przypadku pytań dotyczących przetwarzania danych osobowych prosimy o kontakt z Inspektorem Ochrony Danych pod adresem ……………. [jeżeli został wyznaczony].

Ministerstwo Cyfryzacji złożyło propozycję, by rozbudowane obowiązki informacyjne wyłączyć w odniesieniu do przedsiębiorców zatrudniających mniej niż 250 osób, przetwarzających dane osobowe niezbędne do wykonywania działalności gospodarczej, w szczególności w celu zawierania umów i prowadzenia rachunkowości.

Podstawa prawna: art. 6, art. 12 i 13 RODO.

Przebieg procesu legislacyjnego można śledzić na stronach Rządowego Centrum Legislacji: https://www.rcl.gov.pl/

Zgody na przetwarzanie danych nie trzeba zbierać w szczególności wtedy, gdy:

  • przetwarzanie danych jest niezbędne do wykonania umowy, np. sklep internetowy sprzedaje wysyłkowo książki; nie musi w takim wypadku prosić o zgodę na przetwarzanie danych, przetwarzanie danych będzie zgodne z RODO jako niezbędne do wykonania umowy (sprzedaży);
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, np. przetwarzanie danych w celach związanych z prowadzeniem ksiąg rachunkowych nie wymaga zgody osób, których dane dotyczą, a jego podstawą są przepisy o rachunkowości;
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, np. skierowanie do sądu pozwu o zapłatę przeciwko nieuczciwemu klientowi nie wymaga jego zgody na przetwarzanie danych, a podstawą przetwarzania danych w takim wypadku jest właśnie realizacja prawnie uzasadnionego interesu administratora danych.

Prawnie uzasadnionym interesem realizowanym przez administratora danych jest także marketing jego produktów i usług. Przetwarzanie danych w takim celu – marketingowym w stosunku do produktów i usług administratora danych – nie wymaga zgody na przetwarzanie danych osobowych.

Ważne: pewne formy kontaktu z osobami, których dane dotyczą, wymagają zgody:

  • przesyłanie informacji handlowej za pomocą środków komunikacji elektronicznej, np. reklam za pomocą poczty elektronicznej,
  • wykorzystanie telekomunikacyjnych urządzeń końcowych w celu marketingu bezpośredniego, np. wysyłanie wiadomości SMS o treści reklamowej.

Podstawa prawna:

  • art. 6, art. 12 i 13 RODO,
  • art. 10 Ustawy o świadczeniu usług drogą elektroniczną,
  • art. 172 ustawy Prawo telekomunikacyjne.

Profilowanie to przetwarzanie danych osobowych:

  • odbywające się w sposób automatyczny,
  • którego celem jest ocena osoby fizycznej lub przewidywanie jej zachowania.

Na przykład:

  • kolejny raz otwierasz swoją ulubioną stronę internetowa, która wyświetla automatycznie reklamę premiery filmowej, bo wcześniej szukałeś i czytałeś recenzję tego filmu na tej stronie;
  • chcesz skorzystać z oferty ratalnej w sklepie internetowym; korzystasz w tym celu z kalkulatora na stronie internetowej; twoja zdolność do zakupu na raty jest obliczana automatycznie na podstawie pozostawionych przez Ciebie danych przekazanych przez stronę internetową.

Jak widać z tych przykładów – profilowanie to najczęściej narzędzie służące do tzw. automatycznego podejmowania decyzji w odniesieniu do osób, których dane dotyczą.

W ww. przykładach automatyczne decyzje to właśnie:

  • wyświetlenie konkretnej reklamy na podstawie profilu użytkownika,
  • obliczenie wysokości składki ubezpieczeniowej w oparciu o przekazane dane.

W każdym przypadku, gdy automatyczne podejmowanie decyzji wywołuje skutki prawne wobec osób, których dane dotyczą, lub w podobny istotny sposób wpływa na te osoby, mechanizm taki może być stosowany wyłącznie wtedy, gdy spełniony jest jeden z następujących warunków:

  • osoba profilowana wyrazi na to wyraźną zgodę,
  • profilowanie jest niezbędne do zawarcia lub wykonywania umowy z tą osobą,
  • profilowanie jest dopuszczalne przez szczególne przepisy prawa.

Na przykład:

  • automatycznie wyświetlona reklama premiery filmowej na podstawie Twojego wcześniejszego wyszukiwania recenzji tego filmu na tej stronie w większości przypadków nie wywołuje skutków prawnych wobec Ciebie ani też nie wpływa na Ciebie w podobny, istotny sposób;
  • automatyczne odrzucenie Twojego wniosku kredytowego w ofercie ratalnej sklepu internetowego wyłącznie na podstawie automatycznego przetwarzania danych wywołuje dla Ciebie skutki prawne, ponieważ pozbawia Cię możliwości zawarcia umowy kredytu i zakupu na raty wybranego towaru.

Profilowanie zawsze wymaga poinformowania o tym osób, które są profilowane.

Jeżeli profilowanie miałoby się odbywać w oparciu o szczególne kategorie danych osobowych, wówczas jedyną podstawą prawną, która mogłaby takie profilowanie zalegalizować, mogą być szczególny przepis prawa.

Zawsze można odwołać złożoną zgodę na przetwarzanie danych osobowych.

Ważne: odwołanie zgody powinno być tak samo łatwe, jak jej udzielenie.

Na przykład: złożyłeś swoją zgodę na przetwarzanie danych osobowych podczas wizyty na stronie internetowej; powinieneś mieć możliwość jej odwołana również przez stronę internetową.

Od chwili otrzymania oświadczenia o odwołaniu zgody, nie można już powoływać się na zgodę na przetwarzanie danych osobowych; odwołanie zgody wywołuje wyłącznie skutki na przyszłość. Tym samym – wszystkie wcześniejsze czynności, które opierały się na tej zgodzie, pozostają ważne.

Podstawa prawna: art. 7 ust. 3 RODO.

Przechowywanie dane osobowych powinno być ograniczone czasowo: nie powinny być przechowywane w nieskończoność.

W przypadku gdy przetwarzanie danych osobowych odbywa się na podstawie:

  • zgody, to dane osobowe mogą być przetwarzane tak długo, aż zgoda ta nie zostanie odwołana; po odwołaniu zgody dane mogą być przechowywane nie dłużej niż 10 lat, czyli przez czas odpowiadający okresowi przedawnienia roszczeń, jakie może podnosić administrator danych i jakie mogą być podnoszone wobec administratora danych;
  • wykonywania umowy, wówczas dane mogą być przetwarzane tak długo, jak jest to niezbędne do wykonania tej umowy – przez czas odpowiadający okresowi przedawnienia roszczeń, jakie może podnosić administrator danych i jakie mogą być podnoszone wobec administratora danych; w przypadku przedsiębiorców ten okres, co do zasady, wynosi nie więcej niż trzy lata i różni się w zależności od tego, jakiej umowy dotyczyło przetwarzanie danych.

Jeżeli istnieją przepisy szczególne określające czas, przez jaki powinny być przechowywane dane osobowe, wówczas takie przepisy mogą wydłużać (lub w konkretnym przypadku skracać) czas przetwarzania danych osobowych.

Na przykład: w przepisach o rachunkowości nakaz przechowywania dowodów księgowych dla umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym wynosi pięć lat, od początku roku następującego po roku obrotowym, w którym operacje, transakcje, postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione.

Podstawa prawna: art. 5 ust. 1 pkt e) RODO.

Dane osobowe: organizacja przetwarzania

Ciągle obowiązująca polska UOD wskazuje szereg konkretnych środków zabezpieczenia danych osobowych, jakie mają zostać wdrożone przez administratora lub podmiot przetwarzający.
RODO zamiast tego wprowadza tzw. podejście oparte na ryzyku. Jego istotą jest to, że każdy podmiot przetwarzający dane osobowe powinien samodzielnie określić, jakie konkretne środki zabezpieczenia danych należy wdrożyć.

Dobór tych środków powinien opierać się o:

  • charakter, zakres, kontekst i cele przetwarzania,
  • ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia,
  • stan wiedzy technicznej,
  • koszt wdrażania.

Każdy podmiot przetwarzający dane osobowe powinien więc:

  • ustalić, jakie dane osobowe, w jakim charakterze, po co i w jakim środowisku przetwarza,
  • kreślić ryzyko naruszenia praw lub wolności osób fizycznych związane z takim przetwarzaniem,
  • dobrać odpowiednie środki zabezpieczenia danych, uwzględniając istniejące możliwości techniczne i własne możliwości finansowe.

RODO nie nakazuje stosowania żadnych konkretnych środków zabezpieczenia danych, a jedynie wskazuje przykładowe środki techniczne i organizacyjne, które mogą służyć osiągnięciu tego celu – zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku.

Są to w szczególności:

  • pseudonimizacja i szyfrowanie danych osobowych,
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Takie podejście – oparte na ryzyku – zakłada, że każdy podmiot przetwarzający dane w sposób świadomy podejmie decyzję co do zastosowanych środków zabezpieczenia.

Ważne: każdy podmiot przetwarzający dane osobowe ponosi odpowiedzialność w przypadku naruszenia bezpieczeństwa danych osobowych.

Podstawa prawna: art. 32 RODO.

Warto przeczytać: Jak rozumieć i stosować podejście oparte na ryzyku? – poradnik GIODO dostępny pod adresem: http://www.giodo.gov.pl/pl/1520282/10294

Ustawa z 29 sierpnia 1997 r. nakładała na administratorów danych obowiązek przygotowania i wdrożenia tzw. dokumentacji ochrony danych osobowych, na która składały się:

  • polityka bezpieczeństwa danych osobowych,
  • instrukcja zarządzania systemem informatycznym, w którym przetwarzane są dane osobowe.

RODO rezygnuje z tego obowiązku na rzecz podejścia opartego na ryzyku. Niemniej jednak w treści RODO istnieją liczne odwołania do tzw.: polityk ochrony danych stosowanych przez administratora. Dlatego właśnie nic nie stoi na przeszkodzie – wręcz zaleca się dalsze stosowanie dokumentacji ochrony danych osobowych, oczywiście po jej aktualizacji do przepisów RODO – aby wciąż ją prowadzić.

Rejestr czynności przetwarzania danych to ważny elementem dokumentacji ochrony danych. Rejestr powinien być prowadzony odrębnie dla każdego procesu przetwarzania danych – i niektóre z tych procesów występujących w typowych organizacjach mogą być zwolnione z prowadzenia rejestru. Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych należy do administratora danych oraz podmiotu przetwarzającego dane.

ADO odnotowuje w rejestrze czynności przetwarzania:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów oraz przedstawiciela administratora oraz Inspektora Ochrony Danych (IOD) – gdy ma to zastosowanie,
  • cele przetwarzania,
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
  • przekazania danych osobowych do państwa trzeciego – gdy ma to zastosowanie,
  • planowane terminy usunięcia poszczególnych kategorii danych – jeżeli jest to możliwe,
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych – jeżeli jest to możliwe.

Podmiot przetwarzający odnotowuje w rejestrze czynności przetwarzania:

  • imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający,
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
  • przekazania danych osobowych do państwa trzeciego – gdy ma to zastosowanie,
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych – jeżeli jest to możliwe.

Rejestr może być prowadzony zarówno w formie papierowe, jak i w postaci elektronicznej.

Rejestr czynności nie musi być prowadzony przez przedsiębiorców zatrudniających mniej niż 250 osób, chyba że:

  • przetwarzanie może naruszać prawa lub wolności osób, których dane dotyczą,
  • przetwarzanie obejmuje szczególne kategorie danych lub dane dotyczące wyroków skazujących,
  • przetwarzanie nie ma charakteru sporadycznego.

Na przykład:

  • firma zatrudnia 50 osób – musi prowadzić rejestr w odniesieniu do danych osobowych kadrowych: to przetwarzanie nie ma charakteru sporadycznego i obejmuje szczególne kategorie danych osobowych, firma jest zobowiązana do prowadzenia rejestru czynności przetwarzania danych;
  • firma zatrudnia 50 osób – pracodawca jednorazowo przetwarza dane osobowe w związku z imprezą promocyjną (nie obejmują szczególnych kategorii danych, dawniej tzw. wrażliwych), firma nie ma obowiązku prowadzenia rejestru czynności przetwarzania danych w tym procesie.

RODO promuje w swej regulacji określone podejście do danych osobowych. Przejawem tego jest właśnie obowiązek uwzględniania ochrony danych osobowych w fazie projektowania, który opiera się na konkretnych rozwiązaniach, takich jak:

  • proaktywne podejście do ochrony danych osobowych,
  • konieczność włączania ochrony prywatności w projekty od początku ich realizacji,
  • poszanowanie dla prywatności użytkowników.

ADO ma obowiązek uwzględniania ochrony danych już w fazie tworzenia poszczególnych projektów.

Uwzględnianie ochrony danych osobowych ma nastąpić już na etapie projektowania danego rozwiązania, a więc:

  • jeszcze przed nadaniem mu warstwy technicznej;
  • wyłącznie na etapie warstwy koncepcyjnej.

Przewidziane przez ADO rozwiązania mają spełniać wymogi RODO oraz chronić prawa osób, których dane dotyczą. W tym celu administrator musi wdrożyć odpowiednie środki techniczne i organizacyjne. Powinien także dbać o ich jakość, zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania.

By ocenić, jakie środki będą w danym przypadku właściwe, należy uwzględniać czynniki takie, jak:

  • stan wiedzy technicznej,
  • koszt wdrażania,
  • charakter, zakres, a także kontekst i cele przetwarzania,
  • ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikającego z przetwarzania.

Środki służące realizacji tego obowiązku mogą polegać m.in. na:

  • minimalizacji zakresu przetwarzania danych osobowych,
  • jak najszybszej pseudonimizacji danych osobowych,
  • przejrzystości co do funkcji i przetwarzania danych osobowych,
  • umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych,
  • umożliwieniu zmian i udoskonalania zabezpieczeń.

Administrator przed rozpoczęciem niektórych rodzajów przetwarzani, ma obowiązek dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (PIA). Jeżeli po stronie ADO powstanie taki obowiązek, działania mające na celu zapewnienie uwzględnienia ochrony danych w fazie projektowania będą służyć również wypełnieniu obowiązku dokonania oceny skutków dla ochrony danych.

Podstawa prawna: art. 25 RODO.

Rezultatem zastosowania zasady uwzględniania ochrony danych w fazie projektowania (privacy by design) powinno być doprowadzenie do sytuacji, w której domyślnie przetwarzane są wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.

Tym samym privacy by default oznacza zapewnienie ustawień zapewniających ochronę danych jako pierwotnych ustawień systemu informatycznego czy oprogramowania.

Zmiana tych ustawień powinna następować jedynie na wyraźne żądanie użytkownika oprogramowania/systemu. Tym samym privacy by default wymaga domyślnych ustawień systemu zapewniających możliwie najszerszą ochronę prywatności wszystkich użytkowników.

Użytkownicy, którzy chcą ograniczyć swoją prywatność, muszą podjąć aktywne działania w tym kierunku.

Twórcy systemów nie mogą wobec tego wprowadzać domyślnych ustawień ingerujących w prywatność użytkowników.

Dodatkowo, domyślnie przetwarzane powinny być wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia ich celu przetwarzania.

Środkiem, by to osiągnąć, jest nadanie warstwie technicznej projektu formy zapewniającej gromadzenie danych w zakresie koniecznym do świadczenia usługi. W tym też celu ADO wdraża odpowiednie środki techniczne i organizacyjne. W szczególności środki te mają zapewniać, że domyślnie przetwarzane dane osobowe nie będą udostępniane bez aktywności osoby, której dane dotyczą, nieokreślonej liczbie osób fizycznych.

To, czy dane osobowe są niezbędne dla osiągnięcia konkretnego celu przetwarzania, rozpatrywać należy w odniesieniu do:

  • ilości zbieranych danych osobowych,
  • zakresu ich przetwarzania,
  • okresu ich przechowywania,
  • ich dostępności.

Na przykład: pobieram i instaluję na smartfonie aplikację mobilną banku; domyślnie podczas instalacji wyłączone powinny być wszelkie funkcje gromadzenia danych o mnie-użytkowniku; to ja aktywnie i świadomie powinienem zdecydować o ich uruchomieniu.

Podstawa prawna: art. 25 RODO.

Inspektor Ochrony Danych (IOD) to następca Administratora Bezpieczeństwa Informacji (ABI). Wyznaczenie IOD wg RODO jest obowiązkowe, gdy (inaczej niż teraz w przypadku ABI):

  • dane są przetwarzane przez podmioty z sektora publicznego,
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących.

Główna działalności oznacza działalność kluczową z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane. Nie każdy podmiot, którego główną działalnością jest przetwarzanie danych, musi jednak powołać IOD: tylko taki, którego działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.

Działalność główna to także ta, która jest nierozerwalnie związaną z działalnością główną.

Na przykład:

  • firma zajmuje się profesjonalnym niszczeniem danych osobowych: podmiot nie ma obowiązku powołania IOD, ponieważ ta działalność nie wymaga regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  • szpital prowadzi działalność leczniczą, ale z nią nierozerwalnie wiąże się przetwarzanie danych, powinien więc powołać IOD.

Wątpliwości może budzić sformułowanie „na dużą skalę”.

Nie ma konkretnych wskazań w postaci określonych wartości, czy to rozmiaru zbioru danych, czy też liczby osób, których dane dotyczą.

Pomocnym w określeniu dużej skali jest przetwarzanie danych np.:

  • pacjentów przez szpital w ramach prowadzonej działalności,
  • klientów przez banki albo ubezpieczycieli, albo firmy telekomunikacyjne w ramach prowadzonej działalności,
  • klientów przez banki albo ubezpieczycieli, albo firmy telekomunikacyjne w ramach prowadzonej działalności,

Ale przykładem przetwarzania danych, które nie mieści się w zakresie dużej skali jest:

  • przetwarzanie danych pacjentów dokonywane przez pojedynczego lekarza,
  • przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokata lub radcę prawnego.

Podstawa prawna: art. 37 RODO.

Wytyczne dotyczące inspektorów ochrony danych (WP 243) można znaleźć na: http://www.giodo.gov.pl/1520282/id_art/9740/j/pl

Rozporządzenie o ochronie danych osobowych (RODO) wprowadza na podstawie art. 35 ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych (ang.: data protection impact assessment, DPIA). To nowy obowiązek, który ciąży na administratorze danych osobowych (ADO).

DPIA zastępuje de facto obowiązek rejestracji zbiorów danych osobowych w GIODO zawarty w przepisach Ustawy o ochronie danych osobowych z 29 sierpnia 1997 r.

Ocena skutków dla ochrony danych to proces mający:

  • opisać przetwarzanie,
  • ocenić niezbędność i proporcjonalność przetwarzania,
  • pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z przetwarzania danych osobowych poprzez ocenę ryzyka i ustalenie środki mających mu zaradzić.

DPIA to proces, którego celem jest opisanie przetwarzania danych, ocena niezbędności i proporcjonalności przetwarzania oraz wsparcie w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych, wynikającym z przetwarzania danych osobowych.

To ważne narzędzia służące do realizacji celu rozliczalności: DPIA pomaga ADO nie tylko w przestrzeganiu wymogów RODO, ale również w wykazaniu, że podjęto odpowiednie środki w celu zapewnienia zgodności z rozporządzeniem.

Podstawa prawna: art. 35 RODO.

Wytyczne dotyczące oceny skutków dla ochrony danych (WP 248) można znaleźć na: http://www.giodo.gov.pl/pl/1520285/10078

Niektóre rodzaje przetwarzania danych osobowych mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W takiej sytuacji administrator przed rozpoczęciem przetwarzania powinien dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (DPIA).

Ryzyko dla ochrony danych osobowych może wynikać z:

  • charakteru,
  • zakresu,
  • kontekstu,
  • celów przetwarzania.

Przeprowadzenie DPIA jest więc obowiązkowe, gdy operacje przetwarzania, które wiążą się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, obejmują w szczególności operacje, które:

  • wiążą się z użyciem nowych technologii,
  • są nowe i nie zostały jeszcze poddane przez administratora ocenie skutków dla ochrony danych,
  • stały się niezbędne z uwagi na upływ czasu od pierwotnego przetwarzania.,

RODO wskazuje trzy przypadki, kiedy to przeprowadzenie DPIA z pewnością będzie wymagane:

  • jeżeli dochodzi do: systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
  • jeżeli dochodzi do: przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących;
  • jeżeli dochodzi do: systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Na przykład:

  • firma oferuje swoim klientom system monitoringu wizyjnego obejmujący też miejsca publicznej – przeprowadzenie DPIA jest wymagane;
  • firma świadczy usługi przetwarzania danych osobowych pacjentów szpitala zawarte w ich dokumentacji medycznej – przeprowadzenie DPIA jest wymagane;
  • firma realizuje dla swoich klientów usługi profilowania klientów w sklepach internetowych, portalach internetowych – przeprowadzenie DPIA jest wymagane;
  • lekarz w szpitalu przegląda i uzupełnia dane osobowe pacjentów – przeprowadzenie DPIA nie jest wymagane.
  • adwokat zapoznaje się z dokumentacją procesową klientów – przeprowadzenie DPIA nie jest wymagane.

Podstawa prawna: art. 35 RODO.

Wytyczne dotyczące oceny skutków dla ochrony danych (WP 248) można znaleźć na: http://www.giodo.gov.pl/pl/1520285/10078

RODO w treści wskazuje tylko na obowiązkowe elementy oceny skutków dla ochrony danych osobowych. Tym samym – DPIA powinno zawierać co najmniej:

  • systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym prawnie uzasadnionych interesów realizowanych przez administratora (jeżeli służy ona ich realizacji);
  • ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
  • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
  • środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie przepisów rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Podstawa prawna: art. 35 RODO.

Wytyczne dotyczące oceny skutków dla ochrony danych (WP 248) można znaleźć na: http://www.giodo.gov.pl/pl/1520285/10078

Obowiązek oceny skutków dla ochrony danych nie zachodzi, jeżeli dana operacja przetwarzania lub zestaw operacji:

  • jest niezbędna do wypełnienia obowiązku prawnego ciążącego na administratorze
    lub
  • jest niezbędna do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi i ma podstawę prawną w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator.

Uprzednie konsultacje to rodzaj postępowania administracyjnego realizowany z organem nadzorczym (Prezes Urzędu Ochrony Danych Osobowych, PUODO), które należy wszcząć na podstawie wyniku oceny skutków dla ochrony danych (DPIA) wówczas, gdy ocena skutków dla ochrony danych wskaże, że:

  • przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych;
  • administrator wyraża opinię, że ryzyka tego nie da się zminimalizować środkami rozsądnymi z punktu widzenia dostępnych technologii i kosztów wdrożenia.

ADO powinien zrealizować takie konsultuje z organem nadzorczym, PUODO, przed rozpoczęciem przetwarzania danych.

W informacji przedstawianej organowi nadzorczemu ADO powinien zawrzeć:

  • odpowiednie obowiązki administratora, współadministratorów oraz podmiotów przetwarzających uczestniczących w przetwarzaniu – gdy ma to zastosowanie;
  • cele i sposoby zamierzonego przetwarzania;
  • środki i zabezpieczenia mające chronić prawa i wolności osób, których dane dotyczą, zgodnie z rozporządzeniem;
  • dane kontaktowe inspektora ochrony danych – gdy ma to zastosowanie;
  • ocenę skutków dla ochrony danych;
  • wszelkie inne informacje, których żąda organ nadzorczy.

W wyniku przeprowadzonego postepowania, organ nadzorczy (PUODO), jeżeli uzna, że zamierzone przetwarzanie stanowiłoby naruszenie RODO, udziela pisemnego zalecenia, które jego adresat powinien wdrożyć. Dodatkowo PUODO może, przy okazji, skorzystać z dowolnego ze swoich uprawnień kontrolnych. Dokonuje tego w terminie do ośmiu tygodni od wpłynięcia wniosku o konsultacje. Okres ten może przedłużyć o sześć tygodni ze względu na złożony charakter zamierzonego przetwarzania, o czym informuje adresatów swego zalecenia. Bieg tych terminów można zawiesić do czasu aż organ nadzorczy uzyska wszelkie informacje, których zażądał do celów konsultacji.

Brak reakcji ze strony organu nadzorczego w tym terminie nie wyklucza jego interwencji w późniejszym okresie, zgodnie z jego zadaniami i uprawnieniami zawartymi w rozporządzeniu.

Podstawa prawna: art. 35 RODO.

RODO mianem „incydentu bezpieczeństwa” określa naruszenie bezpieczeństwa prowadzące do:

  • przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania danych osobowych,
  • nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Na przykład:

Z naruszeniem ochrony danych – incydentem bezpieczeństwa – mamy do czynienia, gdy:

  • serwisant zgubi nośnik z danymi osobowymi klientów firmy, w której pracuje;
  • magazynier w sklepie internetowym uzyska dostęp do danych osobowych wszystkich klientów firmy kurierskiej poprzez system wysyłki paczek;
  • w firmie nastąpiła kradzież danych pracowników poprzez włamanie do systemu kadrowo-płacowego firmy.

Ale naruszeniem ochrony danych osobowych nie będzie błędne czy niepełne wypełnienie obowiązku informacyjnego bądź wadliwie skonstruowanie zgody jako podstawy prawnej przetwarzania danych osobowych.

Podstawa prawna: art. 35 RODO.

RODO nakłada na administratorów danych osobowych (ADO) szereg nowych praw i obowiązków. Jednym z nich jest obowiązek zawiadomienia organu nadzorczego o naruszeniu przetwarzania danych osobowych, zwany obowiązkiem notyfikacji naruszeń (ang.: data breach notification).

To bardzo istotna zmiana w stosunku do ustawy o ochronie danych osobowych z 29 sierpnia 1997 r., która tego rodzaju rozwiązania w ogóle nie zawierała.

Norma zawarta w RODO nie nakłada na administratorów danych obowiązku informowania organu nadzorczego o jakimkolwiek incydencie związanym z przetwarzaniem danych osobowych. Obowiązek notyfikacji (zgłoszenia naruszenia) jest związany z takim zdarzeniem, którego efektem jest naruszenie bezpieczeństwa przetwarzanych danych.

Ważne: naruszenie powinno prowadzić do wystąpienia określonego skutku w odniesieniu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, w postaci:

  • zniszczenia,
  • utracenia,
  • zmodyfikowania,
  • nieuprawnionego ujawnienia
  • nieuprawnionego dostępu.

Nie ma znaczenia, czy naruszenie związane było z działaniem przypadkowym czy niezgodnym z prawem.

O wystąpieniu incydentu bezpieczeństwa należy poinformować organ nadzorczy (PUODO). Informacja powinna zostać przekazania niezwłocznie, lecz nie później niż w ciągu 72 godzin od stwierdzenia naruszenia.

Zgłoszenie naruszenia do PUODO (po jego powołaniu) powinno zawierać:

  • opis charakteru naruszenia, w tym w miarę możliwości wskazywać kategorię i przybliżoną liczbę osób, których dane dotyczą,
  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (ABI),
  • opis możliwych konsekwencji naruszenia,
  • opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych oraz minimalizowaniu negatywnych skutków naruszenia.

Ważne: na dzień dzisiejszy nie ma jeszcze ostatecznych przepisów, które w szczegółowy sposób określają formę i tryb mający zastosowanie przy realizacji obowiązku notyfikacji.

Warto śledzić:
https://www.gov.pl/cyfryzacja/projekt-ustawy-o-ochronie-danych-osobowych-skierowany-na-komitet-do-spraw-europejskich-rady-ministrow

Tak, gdy naruszenie – incydent – może powodować wysokie ryzyko naruszenia praw i wolności osoby, której dane dotyczą.

Na przykład o naruszeniu danych osobowych musisz poinformować osoby, których to naruszenie dotyczy, gdy:

  • nieuprawniony pracownik banku uzyska dostęp do loginów i haseł wszystkich klientów systemu bankowości elektronicznej,
  • gdy serwisant firmy informatycznej zgubi pendrive zawierający dokumentację medyczną pacjentów szpitala, którego sprzęt serwisuje.

Nie, gdy, w szczególności:

  • zostały wdrożone odpowiednie środki ochrony,
  • środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie (w szczególności środki takie, jak szyfrowanie danych).

Ważne: zgodnie z propozycją Ministerstwa Cyfryzacji obowiązki związane ze zgłaszaniem incydentów mają zostać wyłączone w stosunku do przedsiębiorców zatrudniających mniej niż 250 osób, przetwarzających dane osobowe niezbędne do wykonywania działalności gospodarczej, w szczególności w celu zawierania umów i prowadzenia rachunkowości.

Podstawa prawna: art. 33 i 4 RODO.

Warto także przeczytać projekt UODO: https://www.gov.pl/cyfryzacja/projekt-ustawy-o-ochronie-danych-osobowych-skierowany-na-komitet-do-spraw-europejskich-rady-ministrow

W stosunku do ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych RODO bardzo szczegółowo, nawet drobiazgowo, reguluje instytucję powierzenia przetwarzania danych osobowych, pozycję procesora oraz relacje między tymi podmiotami.

Administrator Danych Osobowych nie musi bowiem sam przetwarzać danych osobowych – może je przekazać do przetwarzania innemu podmiotowi: procesorowi. W działalności większości przedsiębiorców dochodzi do powierzenia przetwarzania danych osobowych.

Podmiotem, któremu ADO może powierzyć przetwarzanie danych osobowych może być zarówno osoba fizyczna jak i prawna, organ publiczny, jednostka organizacyjna lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Na przykład:

  • firma przekazuje prowadzenie ksiąg rachunkowych do biura rachunkowego,,
  • firma korzysta z usług operatora zapewniającego usługi poczty elektronicznej,,
  • podczas przeprowadzki firma zleca specjalistycznej firmie zniszczenie dokumentów zawierających dane osobowe,
  • firma zleca specjalistycznej firmie archiwizację dokumentów zawierających dane osobowe.

Jeżeli administrator (ADO) chce powierzyć przetwarzanie danych w jego imieniu, to może w tym celu korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

RODO nakazuje ADO dołożenie szczególnej staranności przy wyborze procesora.

Administrator może ocenić, czy podmiot mający w jego imieniu przetwarzać dane spełnia wymienione wymogi, na przykład poprzez audyt stosowanych przez niego sposobów zabezpieczenia danych. (Podstawa prawna: art. 28 ust. 3 lit. h RODO – obowiązek procesora umożliwienia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzania audytów).

Na administratorze ciąży prawna i biznesowa odpowiedzialność za przetwarzane dane.

Podmiot przetwarzający dane na zlecenie powinien zawrzeć z administratorem danych odpowiednią umowę, tzw. umowę powierzenia, w której określone zostaną zasady przetwarzania danych.

Ważne: ADO może mieć praktyczną trudność w wyborze właściwego podmiotu, zwłaszcza gdy sam jest podmiotem niewielkim, a przetwarzanie danych ma się odbywać przez renomowanych dostawców.
Z pomocą przychodzi w tym przypadku tzw. procedura certyfikacji podmiotów przetwarzających dane osobowe. Certyfikaty wydawane będą po to, żeby zaświadczyć o zgodności przetwarzania danych przez certyfikowany podmiot. Będzie to więc wskazówka dla tych, którzy poszukują odpowiedniego podmiotu przetwarzającego dane osobowe – wybór podmiotów posiadających certyfikat.

Podstawa prawna: art. 28 RODO.

Warto także przeczytać projekt UODO: https://www.gov.pl/cyfryzacja/projekt-ustawy-o-ochronie-danych-osobowych-skierowany-na-komitet-do-spraw-europejskich-rady-ministrow

Podmiot przetwarzający dane na zlecenie powinien zawrzeć z administratorem danych odpowiednią umowę, tzw. umowę powierzenia, w której określone zostaną zasady przetwarzania danych.

Umowa powierzenia może zostać zawarta w formie pisemnej oraz w formie elektronicznej pod warunkiem zapewnienia integralności i autentyczności dokumentu w postaci elektronicznej.

Umowa taka musi:

  • precyzyjnie określać szeroko rozumiane okoliczności powierzenia,
  • zawierać wymienione w rozporządzeniu szczegółowe deklaracje co do obowiązków podmiotu przetwarzającego.

ADO musi też dokładnie określić:

  • przedmiot i czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych oraz kategorie osób, których dane dotyczą,
  • obowiązki i prawa administratora.

Umowa określać powinna równie szczegółowo, że podmiot przetwarzający:

  • Przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora.
  • Zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
  • Wdroży odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych; środki te mogą obejmować np.:
    • pseudonimizację i szyfrowanie danych osobowych,
    • zapewnienie poufności,
    • zapewnienie integralności,
    • zapewnienie dostępności,
    • zapewnienie odporności systemów i usług przetwarzania,
    • przywracanie dostępności danych w razie incydentu fizycznego lub technicznego,
    • regularne testowanie i ocenianie skuteczności ww. środków.
  • Przestrzega warunków korzystania z usług innego podmiotu przetwarzającego – tzw. podpowierzenie przetwarzania danych, dopuszczalne wyłącznie za zgodą administratora danych.
  • Pomaga administratorowi w realizacji jego obowiązków:
    • zabezpieczaniu danych,
    • zgłaszaniu naruszeń organowi nadzorczemu,
    • zawiadamianiu osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych.
  • Po zakończeniu świadczenia usług, zależnie od decyzji administratora, usuwa lub zwraca wszelkie dane osobowe na jego rzecz oraz usuwa wszelkie ich istniejące kopie.
  • Umożliwia przeprowadzanie audytów i przyczynia się do nich.

Podstawa prawna: art. 28, art. 42 RODO.

RODO daje każdemu, kogo dotyczą dane, nowe uprawnienie w postaci prawa do bycia zapomnianym (prawo do usunięcia danych).

To faktycznie dwa uprawnienia:

  • możliwości żądania przez osobę, której dane dotyczą, usunięcia jej danych osobowych przez administratora danych,
  • możliwości żądania, aby administrator danych poinformował innych administratorów danych, którym upublicznił dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych lub ich kopie.

Prawo do bycia zapomnianym można wykonać, jeżeli spełniona jest choćby jedna z poniższych przesłanek:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  • osoba, której dane dotyczą, wycofała zgodę na przetwarzanie danych osobowych i nie istnieje inna podstawa przetwarzania danych;
  • osoba, której dane dotyczą, zgłosiła sprzeciw wobec przetwarzania swoich danych w związku ze swoją:
    • szczególną sytuacją,
    • albo sprzeciw wobec przetwarzania danych dla celów marketingowych,
  • dane osobowe były przetwarzane „niezgodnie z prawem”;
  • dane osobowe „muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator”;
  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego bezpośrednio dziecku.

Na przykład:

Firma handlowa przetwarza moje dane osobowe na podstawie złożonej przez mnie zgody na przetwarzanie danych w celu marketingowym. Wycofuję moją zgodę i korzystam z prawa do bycia zapomnianym. Firma (ADO) powinna zaprzestać przetwarzania moich danych osobowych i usunąć je, chyba że zachodzą szczególne przypadki ograniczające moje prawo do bycia zapomnianym.

Do obowiązków ADO w zakresie wykonania prawa do bycia zapomnianym należy również wspomniane wyżej poinformowanie innych administratorów danych, którym upublicznił dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

Ale: obowiązek ten nie ma charakteru nieograniczonego i może być ograniczony przez:

  • dostępną technologię,
  • koszty,
  • konieczność ograniczenia do „rozsądnych działań”.

A więc będziemy mieli do czynienia z sytuacjami, w których podmioty większe, o większych możliwościach technologicznych oraz finansowych będą zobowiązane do wykonywania tego obowiązku w szerszym zakresie niż podmioty niewielkie, mające mniejsze dostępne zasoby technologiczne i finansowe. Natomiast ograniczenie do rozsądnych działań oznacza, że obowiązek nie ma charakteru zobowiązania co do rezultatu, a wyłącznie starannego działania.

Podstawa prawna: art. 17 RODO.

Nie, prawo do bycia zapomnianym nie ma zastosowania jeśli przetwarzanie jest niezbędne:

  • do korzystania z prawa do wolności wypowiedzi i informacji;
  • do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • z uwagi na:
    • cele zdrowotne,
    • interes publiczny w dziedzinie zdrowia publicznego;
  • do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że prawo, o którym mowa, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
  • do ustalenia, dochodzenia lub obrony roszczeń.

Na przykład:

  • zamówiłeś książkę w sklepie internetowym – otrzymałeś ją, ale jeszcze za nią nie zapłaciłeś; składasz wniosek o realizację prawa do bycia zapomnianym; ADO-sklep internetowy może Twoje dane nadal przetwarzać, ponieważ są niezbędne do dochodzenia roszczeń sklepu, do czasu zapłaty lub dochodzenia praw przed sądem;
  • zamówiłeś książkę w sklepie internetowym – zapłaciłeś za nią i otrzymałeś ją; składasz wniosek o realizację prawa do bycia zapomnianym; ADO-sklep internetowy może Twoje dane nadal przetwarzać, ponieważ obowiązek przetwarzania danych wynika z przepisów o rachunkowości.

Podstawa prawna: art. 17 RODO.

Prawo do przenoszenia danych to prawo do:

  • otrzymania przez osobę, której dane dotyczą, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego danych osobowych, które dostarczyła administratorowi,
  • przesłania przez osobę, której dane dotyczą, danych osobowych, które dostarczyła administratorowi, innemu administratorowi, bez przeszkód ze strony administratora danych.

Prawo to może być wykonane wyłącznie wtedy, gdy przetwarzanie danych odbywa się:

  • na podstawie zgody lub w celu wykonania umowy,
  • w sposób zautomatyzowany.

Prawo do przenoszenia danych obejmuje tylko dane osobowe przetwarzane przy użyciu systemów informatycznych i nie obejmuje tradycyjnych, papierowych zbiorów danych.

Format danych nadający się do odczytu maszynowego to format pliku zorganizowany tak, aby aplikacje komputerowe mogły łatwo zidentyfikować, rozpoznać i uzyskać określone dane, np.: pliki w formacie XML, JSON, CSV.

Prawo do przenoszenia danych obejmuje dane osobowe dotyczące osoby, która wykonuje to prawo i które to dane ta osoba dostarczyła administratorowi. W pewnych przypadkach dane objęte prawem do przeniesienia będą jednak obejmować także dane innych osób.

Na przykład:

  • postanawiasz zmienić bank. Dotychczasowy bank powinien zapewnić Ci możliwość przeniesienia twoich danych do nowego banku;
  • rezygnujesz z abonamentu do słuchania muzyki przez Internet i wybierasz nowy serwis; dotychczasowy dostawca powinien umożliwić Ci przeniesienie danych, w tym np.: twoich play list do nowego dostawcy.

Podstawa prawna: art. 20 RODO.

Wytyczne dotyczące prawa do przenoszenia danych (WP 242) można znaleźć na: http://www.giodo.gov.pl/1520282/id_art/9741/j/pl

Prawo to nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego:

  • w interesie publicznym,
  • w ramach sprawowania władzy publicznej powierzonej administratorowi.

Prawa tego – z uwagi na jego charakter – nie powinno się wykonywać w stosunku do administratorów przetwarzających dane osobowe w ramach wykonywania obowiązków publicznych. Dlatego nie powinno ono mieć zastosowania w przypadkach, gdy przetwarzanie danych osobowych jest niezbędne do wywiązania się z obowiązku prawnego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

Osoba, której dane dotyczą, ma prawo żądania od administratora (ADO) niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe.

Osoba, której dane dotyczą (z uwzględnieniem celów przetwarzania), ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

Podstawa prawna: art. 16 RODO.

RODO w obszarze kadrowym

W kontekście RODO zalecane jest, aby na liście obecności, do której dostęp mają inni pracownicy, umieszczać tylko informację, że pracownik jest nieobecny. Natomiast informację o przyczynie nieobecności przekazywać w taki sposób, aby dostęp do niej miały tylko osoby uprawnione.

Zdecydowanie wszelkie zgody udzielone przez pracownika należy przechowywać w jego teczce. Jeśli dane członków rodziny przetwarzane są wyłącznie w celu wykonania obowiązków wobec ZUS, to dodatkowa zgoda na ich przetwarzanie nie jest wymagana. Jeśli jednak dane te miałyby być przetwarzane również w innych celach, np. wykonania świadczeń finansowanych przez ZFŚS, to konieczne jest zebranie zgody na ich przetwarzanie.

To zależy od rodzaju tych danych. Jeśli są pozyskane na podstawie kwestionariusza osobowego, który wciąż jest jeszcze aktualnym wzorem, to nadal mamy podstawę do przetwarzania wynikającą z rozporządzenia Ministra Pracy i Polityki Socjalnej w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika. Nie został jeszcze przygotowany projekt nowelizacji tego rozporządzenia.   Po wejściu w życie nowelizacji rozporządzenia usuniecie danych, dla których przetwarzania nie mamy podstaw prawnych wpisuje się w wymóg minimalizacji zbierania i przetwarzania danych. 

Należy się tego spodziewać.  

Przede wszystkim należy upewnić się, że przekazujemy tylko te dane, na które mamy zgody lub które są wymagane odrębnymi przepisami oraz które wymagane są do świadczenia usług przez zewnętrzny podmiot. Z podmiotem tym powinniśmy mieć podpisaną dedykowaną umowę o powierzenie przetwarzania danych. W trzeciej kolejności zabezpieczyć należy zbiór danych. W szczególności, jeśli jest to zbiór danych elektronicznych trzeba je zaszyfrować używając mocnego hasła, które przekażemy zupełnie innym kanałem (np. zbiór danych przekażemy na zewnętrznym nośniku kurierem, a hasło podczas spotkania lub telefonicznie). Dobrze jest także unikać przekazywania danych przez publiczną sieć – np. wysyłając je e-mailem lub korzystając z niesprawdzonego serwera FTP. W przypadku danych przekazywanych w formie papierowej dobrze je należycie zabezpieczyć – użyć odpowiednio zabezpieczonych pojemników na dokumenty (z zamkiem i/lub plombą itd.), upewnić się, że podczas całego procesu nikt nieuprawniony nie może zapoznać się z ich treścią oraz zabezpieczyć przed fizycznym uszkodzeniem. 

Tak.  

Anonimizację danych można przeprowadzić dopiero po przedawnieniu się okresu, przez który – na mocy innych przepisów – wymagane jest przechowywanie określonych danych i dokumentów. Oznacza, to że dopóki dokumentacja jest niezbędna do wypełnienia obowiązków wobec kontroli PFRON, to nie może zostać objęta anonimizacją. 

Usunięcie bądź anonimizację danych można przeprowadzić dopiero po przedawnieniu się okresu, przez który – na mocy innych przepisów – wymagane jest przechowywanie określonych danych i dokumentów. Oznacza, to że dopóki dokumentacja jest niezbędna do wypełnienia obowiązków wobec kontroli PFRON, to nie może zostać objęta anonimizacją. Obecnie istnieje obowiązek przechowywania akt osobowych pracowników przez 50 lat od zakończenia stosunku pracy, ale od 01-01-2019 ten okres zostanie skrócony do 10 lat od zakończenia stosunku pracy. Ponadto te zapisy dotyczą jedynie osób zatrudnionych na podstawie umowy o pracę. Nie mają zastosowania do osób zatrudnionych wyłącznie na podstawie umów cywilno-prawnych. W przypadku takich osób zastosowanie mają zapisy ustawy o ubezpieczeniach społecznych, które mówią o przechowywaniu przez 5 lat od powstania zobowiązania wobec ZUS.

Tak. Osoby prowadzące działalność gospodarczą również podlegają ochronie danych osobowych.  

Obecnie istnieje obowiązek przechowywania akt osobowych pracowników przez 50 lat od zakończenia stosunku pracy, ale od 1 stycznia 2019 ten okres zostanie skrócony do 10 lat od zakończenia stosunku pracy. Ponadto te zapisy dotyczą jedynie osób zatrudnionych na podstawie umowy o pracę. Po upływie tych okresów – zgodnie z zasadą minimalizowania przetwarzanych danych – dane tych osób powinny zostać usunięte lub zanonimizowane.   

To zależy, czy osoba pytająca jest uprawniona do przetwarzania danych z kategorii szczególnych danych. Zawsze możemy udzielić informacji, że dana osoba jest nieobecna i do kiedy, bez podawania przyczyny. 

Prawo do zapomnienia zawsze ma zastosowanie wyłącznie na wniosek osoby, które dane dotyczą. Ale jednocześnie istnieje nakaz minimalizowania przetwarzanych danych. W kontekście tego nakazu przetwarzanie danych osób, z którymi nie mamy już stosunku prawnego może być nieuzasadnione. Chyba, że firma ma uzasadniony interes do dalszego ich przetwarzania.  

Tak, RODO dotyczy każdego podmiotu gospodarczego.    

Takie jakie będą nakazywać stosowne akty prawne dotyczące ZUS. 

To zależy. Jeśli będą Państwo przetwarzali wyłącznie takie dane jakie wynikają z obowiązków ustawowych kodeksu pracy oraz wobec Urzędu Skarbowego i ZUS, to zgoda na przetwarzanie nie jest konieczna. Jeśli jednak będą Państwo przetwarzać dodatkowe dane, np. rozmiar ubrania roboczego, to na przetwarzanie takich danych musi być wyrażona zgoda. 

Ta nowelizacja jest na etapie przygotowania przez Rząd. 

Tak, badania lekarskie zawierają informacje o zdrowiu pracownika i jako takie są danymi szczególnej kategorii. 

Nowelizacja kodeksu pracy jest jeszcze w przygotowaniu przez Rząd. Dopóki nie zostanie uchwalona, będzie obowiązywać obecne rozporządzenie wykonawcze, a co za tym idzie obecne wzory kwestionariuszy osobowych.  

Owszem, jeśli zostanie do tego uprawniony i jest to konieczne do wykonywanych przez niego zadań. Ale powinien zostać przeszkolony pod kątem obowiązków w zakresie przetwarzania danych osobowych.    

Zdecydowanie nie. Hasło powinien znać tylko i wyłącznie pracownik, który z niego korzysta.  

Tak. Jeśli komornik posługuje się prawomocnym wyrokiem, to mamy obowiązek dostarczyć mu dane konieczne do wykonania wyroku.  

Tak, każdy pracownik przetwarzające dane osobowe powinien zostać przeszklony w zakresie obowiązków związanych z przetwarzaniem danych osobowych.  

Absolutnie każdy, a w szczególności osoby, które przetwarzają dane osobowe 

Zgodnie z kodeksem pracy istnieje obowiązek przechowywania akt osobowych pracowników przez 50 lat od zakończenia stosunku pracy, ale od 1 stycznia 2019 ten okres zostanie skrócony do 10 lat od zakończenia stosunku pracy. Obowiązek ten nie zależy od faktu czy osoba żyje, ponieważ służy również dopełnieniu obowiązków dowodowych wobec instytucji państwowych.    

Autor: Tomasz Mamys, Project Manager RODO, Sage, na podstawie: – "Przewodnik po RODO dla małych i średnich przedsiębiorców" – MPiT Warszawa 2018 – dr Paweł Litwiński

Chcesz wiedzieć więcej?

Zacznij przygotowania do e-kontroli już teraz.

Pobierz e-book na temat JPK dla małych i średnich firm
*
*