RODOWSKAZY

Czym jest RODO?

RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE to dokument określający ramy prawne przetwarzania danych osobowych w Unii Europejskiej. Więcej informacji można znaleźć w Komunikacie IOD-y.

Czy RODO dotyczy Twojej firmy?

Każda firma i instytucja, której działania wiążą się z dostępem do danych osobowych, choćby pracowników, współpracowników lub klientów, musi dostosować się do nowych regulacji w sprawie ochrony danych osobowych.

RODO dotyczy Twojej organizacji, jeśli prowadzisz działalność na terenie Unii Europejskiej lub przetwarzasz dane obywateli z UE.

Czym są dane osobowe?

Dane osobowe to wszelkie informacje, pozwalające zidentyfikować osobę (w szczególności przez nią samą) oraz wszystkie inne informacje dotyczące tej zidentyfikowanej osoby.

Co nie jest "daną osobową"?

Danymi osobowymi nie są: numer rejestracyjny samochodu, adres budynku / mieszkania, numer księgi wieczystej.

UWAGA! Wyżej wymienione przykładowe informacje same w sobie nie stanowią danych osobowych, ale jako elementy katalogu informacji o zidentyfikowanej osobie, bedą wówczas danymi osobowymi.

Czym są dane szczególnej kategorii?

Dane szczególnej kategorii to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych. Do danych szczególnej kategorii zaliczają się również dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.

Jak wdrożyć RODO?

Zakres nowych obowiązków, jakie RODO nakłada na przedsiębiorcę, zależy od wielkości organizacji i skomplikowania procesów przetwarzania danych osobowych. Dopiero po przeprowadzeniu audytu i indywidualnej analizy ryzyka można wytypować zakres działań i zabezpieczeń, których podjęcie spełni wymogi przepisów prawa w danej organizacji.

Czy ISO 27001 może pomóc w spełnieniu wymagań RODO?

Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z normą ISO 27001 w znacznym stopniu pozwala na spełnienie wymagań w zakresie ochrony danych osobowych.

Certyfikat zgodności z normą ISO 27001 potwierdza, że organizacja spełniła międzynarodowe wymagania dotyczące bezpieczeństwa informacji, w tym również danych osobowych.

Jak zdobyć certyfikat ISO 27001?

Certyfikat zgodności z ISO 27001 otrzymują firmy i instytucje, które wdrożą System Zarządzania Bezpieczeństwem Informacji zgodny z normą ISO 27001 oraz pozytywnie przejdą audyt certyfikacyjny.

Certyfikat jest ważny przez 3 lata, o ile SZBI jest prawidłowo utrzymywany, co potwierdzają audyty nadzoru.

Jaka jest różnica pomiędzy administratorem a procesorem danych osobowych?

Administrator danych osobowych realizuje swoje cele przetwarzania danych (ma bezpośrednią relację z podmiotem danych), zaś procesor przetwarza dane w imieniu administratora i nie może ich wykorzystywać dla swoich celów.

Kim jest Inspektor Ochrony Danych (IOD)?

Inspektor Ochrony Danych (IOD) jest to osoba wyznaczona do wspierania administratora w realizacji obowiązków dotyczących ochrony danych osobowych. Więcej informacji dotyczących Inspektora Ochrony Danych można znaleźć tutaj.

Kto musi powołać IOD?

Obowiązek powołania Inspektora Ochrony Danych może dotyczyć Twojej organizacji, gdy:

  • jest organem lub podmiotem publicznym;
  • regularnie i systematycznie monitoruje osoby fizyczne;
  • na dużą skalę przetwarza dane szczególnej kategorii, np. o stanie zdrowia.

Wygodnym i bezpiecznym sposobem wywiązania się z obowiązku powołania Inspektora Ochrony Danych jest outsourcing funkcji IOD.

Kiedy należy zawrzeć umowę powierzenia przetwarzania danych?

Zawsze wówczas, gdy administrator jakiś swój proces przetwarzania danych osobowych (który mógłby realizować wewnętrznie) lub jego część zleca innej firmie (o ile w ramach współpracy przekazywane są dane osobowe), np. usługi służby BHP, usługi księgowe, informatyczne, marketingowe.

 

Procesy te, tj. wszelkie powierzone operacje przetwarzania, powinny być jak najbardziej szczegółowo opisane w umowie powierzenia. Umowa powierzenia nie musi być odrębną umową, zapisy wymagane przepisami prawa mogą być zawarte w umowie głównej, jednakże musi być ona zawarta na piśmie.

UWAGA! Powierzeniem przetwarzania danych nie jest przekazanie danych innemu podmiotowi, które realizuje procesy przetwarzania danych, bo jest do nich uprawniony lub zobowiązany na podstawie szczególnych przepisów prawa lub zezwoleń, np. do zakładu medycyny pracy, operatora pocztowego, urzędu lub organu państwa. Takie przekazanie określamy mianem udostępnienia.

Umowa powierzenia jest również zbędna i wprowadza niepotrzebne nieporozumienia, gdy zewnętrznej firmie zlecamy tylko czynności niezwiązane z przetwarzaniem danych osobowych, np. sprzątanie czy przewóz osób (niezidentyfikowanych).

Co z umowami powierzenia zawartymi przed wejściem w życie RODO?

Każdą umowę powierzenia należy dostosować do przepisów RODO, jeśli współpraca przy przetwarzaniu danych jest kontynuowana.

Natomiast przy klauzulach informacyjnych nie jest to jednoznaczne, gdyż przedstawia się je przy zbieraniu lub tuż po pozyskaniu danych osobowych, dlatego w tej kwestii każdy przypadek należy rozpatrywać odrębnie.

Czy każda nowa umowa zawierana z podmiotem trzecim musi zawierać klauzulę informacyjną?

Tylko wówczas, gdy umowa jest jedynym miejscem, w którym można przedstawić klauzulę informacyjną kierowaną do kontrahenta lub jego pracowników / przedstawicieli.

Jeśli dane tych osób zbierane są w innym czasie i klauzula informacyjna może być wówczas okazana podmiotom danych, to obowiązek informacyjny powinien być realizowany wówczas, a nie w umowie (umowa powinna być traktowana jako ostatnia szansa przedstawienia klauzuli).

Czy w przypadku podpisywania aneksów do już istniejących umów musimy zadbać o to, aby kontrahent podpisał klauzulę informacyjną?

Co do zasady nie ma konkretnego obowiązku prawnego, aby zbierać oświadczenia o zapoznaniu się z klauzulą informacyjną, ale w celu realizacji zasady rozliczalności (art. 5 ust. 2 RODO) należy pozyskiwać bezpośrednie lub przynajmniej pośrednie dowody na to, że obowiązek informacyjny jest realizowany. 

Z przedmiotowej zasady wynika pomysł zawierania klauzuli informacyjnej w treści umowy. Zatem jeśli treść umowy jest jedynym miejscem, w którym można przedstawić klauzulę informacyjną, to zmiana treści umowy powodowana innymi potrzebami może zostać wykorzystana również w tym celu.

Jeśli klauzula informacyjna jest elementem danego rodzaju umów, to aktualizacja umowy tego samego rodzaju może posłużyć dodaniu dodatkowo tejże klauzuli. 

Nie rekomenduję natomiast proponowania aneksów do umów tylko w celu wypełnienia obowiązku informacyjnego – wystarczy pismo lub nawet email.

Co to jest transgraniczne przetwarzanie danych?

Zgodnie z art. 4 pkt. 23 Transgraniczne przetwarzanie danych oznacza:

  1. przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych administratora w więcej, niż jednym państwie członkowskim lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo
  2. przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim

Co to jest naruszenie ochrony danych osobowych?

Zgodnie z art. 4 ust. 12 RODO, naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Co to jest EROD?

Grupa Robocza art. 29 (od art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady) była organem o charakterze doradczym w kwestii związanej z ochroną prywatności i danych osobowych. W 2018 roku (w art. 68 RODO) w jej miejsce powołana została Europejska Rada Ochrony Danych (EROD), która działa na rzecz spójnego stosowania zasad ochrony danych w całej Unii Europejskiej.

Kim jest Prezes UODO?

Prezes Urzędu Ochrony Danych Osobowych – organ właściwy do spraw ochrony danych osobowych na terytorium Polski, utworzony ustawą z 10 maja 2018 roku o ochronie danych osobowych. Jest również organem nadzorczym w rozumieniu ogólnego rozporządzenia o ochronie danych.

 

Prezes UODO jest następcą Generalnego Inspektora Ochrony Danych Osobowych(GIODO), który był organem wiodącym na podstawie przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Kim jest EIOD?

Europejski Inspektor Ochrony Danych – niezależny organ nadzoru Unii Europejskiej, którego głównym zadaniem jest zagwarantowanie, że instytucje i organy europejskie respektują prawo do prywatności i ochrony danych, gdy przetwarzają dane osobowe i opracowują nową politykę.

Czym jest TSUE?

Trybunał Sprawiedliwości Unii Europejskiej, w skrócie TSUE – instytucja sądownicza Unii Europejskiej i Europejskiej Wspólnoty Energii Atomowej. TSUE zapewnia jednolitą wykładnię prawa UE we wszystkich krajach UE oraz jego przestrzeganie przez kraje i instytucje UE.

Kim jest administrator (ADO)?

Zgodnie z art. 4 pkt. 7 RODO administratorem danych (ADO) jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych

Kim jest podmiot przetwarzający (procesor)?

Zgodnie z art. 4 pkt. 8 RODO podmiotem przetwarzającym (nazywanym inaczej procesorem) jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.