Umów się na spotkanie: +48 535 202 564
Umów się na spotkanie: +48 535 202 564
Z poniższych RODOWSKAZÓW możesz dowiedzieć się:
RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE to dokument określający ramy prawne przetwarzania danych osobowych w Unii Europejskiej. Więcej informacji można znaleźć w Komunikacie IOD-y.
Każda firma i instytucja, której działania wiążą się z dostępem do danych osobowych, choćby pracowników, współpracowników lub klientów, musi dostosować się do nowych regulacji w sprawie ochrony danych osobowych.
RODO dotyczy Twojej organizacji, jeśli prowadzisz działalność na terenie Unii Europejskiej lub przetwarzasz dane obywateli z UE.
Dane osobowe to wszelkie informacje, pozwalające zidentyfikować osobę (w szczególności przez nią samą) oraz wszystkie inne informacje dotyczące tej zidentyfikowanej osoby.
Danymi osobowymi nie są: numer rejestracyjny samochodu, adres budynku / mieszkania, numer księgi wieczystej.
UWAGA! Wyżej wymienione przykładowe informacje same w sobie nie stanowią danych osobowych, ale jako elementy katalogu informacji o zidentyfikowanej osobie, bedą wówczas danymi osobowymi.
Dane szczególnej kategorii to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych. Do danych szczególnej kategorii zaliczają się również dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.
Zakres nowych obowiązków, jakie RODO nakłada na przedsiębiorcę, zależy od wielkości organizacji i skomplikowania procesów przetwarzania danych osobowych. Dopiero po przeprowadzeniu audytu i indywidualnej analizy ryzyka można wytypować zakres działań i zabezpieczeń, których podjęcie spełni wymogi przepisów prawa w danej organizacji.
Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z normą ISO 27001 w znacznym stopniu pozwala na spełnienie wymagań w zakresie ochrony danych osobowych.
Certyfikat zgodności z normą ISO 27001 potwierdza, że organizacja spełniła międzynarodowe wymagania dotyczące bezpieczeństwa informacji, w tym również danych osobowych.
Certyfikat zgodności z ISO 27001 otrzymują firmy i instytucje, które wdrożą System Zarządzania Bezpieczeństwem Informacji zgodny z normą ISO 27001 oraz pozytywnie przejdą audyt certyfikacyjny.
Certyfikat jest ważny przez 3 lata, o ile SZBI jest prawidłowo utrzymywany, co potwierdzają audyty nadzoru.
Administrator danych osobowych realizuje swoje cele przetwarzania danych (ma bezpośrednią relację z podmiotem danych), zaś procesor przetwarza dane w imieniu administratora i nie może ich wykorzystywać dla swoich celów.
Inspektor Ochrony Danych (IOD) jest to osoba wyznaczona do wspierania administratora w realizacji obowiązków dotyczących ochrony danych osobowych. Więcej informacji dotyczących Inspektora Ochrony Danych można znaleźć tutaj.
Obowiązek powołania Inspektora Ochrony Danych może dotyczyć Twojej organizacji, gdy:
Wygodnym i bezpiecznym sposobem wywiązania się z obowiązku powołania Inspektora Ochrony Danych jest outsourcing funkcji IOD.
Zawsze wówczas, gdy administrator jakiś swój proces przetwarzania danych osobowych (który mógłby realizować wewnętrznie) lub jego część zleca innej firmie (o ile w ramach współpracy przekazywane są dane osobowe), np. usługi służby BHP, usługi księgowe, informatyczne, marketingowe.
Procesy te, tj. wszelkie powierzone operacje przetwarzania, powinny być jak najbardziej szczegółowo opisane w umowie powierzenia. Umowa powierzenia nie musi być odrębną umową, zapisy wymagane przepisami prawa mogą być zawarte w umowie głównej, jednakże musi być ona zawarta na piśmie.
UWAGA! Powierzeniem przetwarzania danych nie jest przekazanie danych innemu podmiotowi, które realizuje procesy przetwarzania danych, bo jest do nich uprawniony lub zobowiązany na podstawie szczególnych przepisów prawa lub zezwoleń, np. do zakładu medycyny pracy, operatora pocztowego, urzędu lub organu państwa. Takie przekazanie określamy mianem udostępnienia.
Umowa powierzenia jest również zbędna i wprowadza niepotrzebne nieporozumienia, gdy zewnętrznej firmie zlecamy tylko czynności niezwiązane z przetwarzaniem danych osobowych, np. sprzątanie czy przewóz osób (niezidentyfikowanych).
Każdą umowę powierzenia należy dostosować do przepisów RODO, jeśli współpraca przy przetwarzaniu danych jest kontynuowana.
Natomiast przy klauzulach informacyjnych nie jest to jednoznaczne, gdyż przedstawia się je przy zbieraniu lub tuż po pozyskaniu danych osobowych, dlatego w tej kwestii każdy przypadek należy rozpatrywać odrębnie.
Tylko wówczas, gdy umowa jest jedynym miejscem, w którym można przedstawić klauzulę informacyjną kierowaną do kontrahenta lub jego pracowników / przedstawicieli.
Jeśli dane tych osób zbierane są w innym czasie i klauzula informacyjna może być wówczas okazana podmiotom danych, to obowiązek informacyjny powinien być realizowany wówczas, a nie w umowie (umowa powinna być traktowana jako ostatnia szansa przedstawienia klauzuli).
Co do zasady nie ma konkretnego obowiązku prawnego, aby zbierać oświadczenia o zapoznaniu się z klauzulą informacyjną, ale w celu realizacji zasady rozliczalności (art. 5 ust. 2 RODO) należy pozyskiwać bezpośrednie lub przynajmniej pośrednie dowody na to, że obowiązek informacyjny jest realizowany.
Z przedmiotowej zasady wynika pomysł zawierania klauzuli informacyjnej w treści umowy. Zatem jeśli treść umowy jest jedynym miejscem, w którym można przedstawić klauzulę informacyjną, to zmiana treści umowy powodowana innymi potrzebami może zostać wykorzystana również w tym celu.
Jeśli klauzula informacyjna jest elementem danego rodzaju umów, to aktualizacja umowy tego samego rodzaju może posłużyć dodaniu dodatkowo tejże klauzuli.
Nie rekomenduję natomiast proponowania aneksów do umów tylko w celu wypełnienia obowiązku informacyjnego – wystarczy pismo lub nawet email.
Zgodnie z art. 4 pkt. 23 Transgraniczne przetwarzanie danych oznacza:
Zgodnie z art. 4 ust. 12 RODO, naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Prezes Urzędu Ochrony Danych Osobowych – organ właściwy do spraw ochrony danych osobowych na terytorium Polski, utworzony ustawą z 10 maja 2018 roku o ochronie danych osobowych. Jest również organem nadzorczym w rozumieniu ogólnego rozporządzenia o ochronie danych.
Prezes UODO jest następcą Generalnego Inspektora Ochrony Danych Osobowych(GIODO), który był organem wiodącym na podstawie przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Trybunał Sprawiedliwości Unii Europejskiej, w skrócie TSUE – instytucja sądownicza Unii Europejskiej i Europejskiej Wspólnoty Energii Atomowej. TSUE zapewnia jednolitą wykładnię prawa UE we wszystkich krajach UE oraz jego przestrzeganie przez kraje i instytucje UE.
Zgodnie z art. 4 pkt. 7 RODO administratorem danych (ADO) jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych
Zgodnie z art. 4 pkt. 8 RODO podmiotem przetwarzającym (nazywanym inaczej procesorem) jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.