Co to jest RODO?
RODO to skrót pochodzący od nazwy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz do uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Czy imię i nazwisko to dane osobowe?
Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizyczne. Jeśli na podstawie imienia i nazwiska jesteśmy w stanie ustalić konkretną osobę, to są to dane osobowe. Przykład: Jeśli w Warszawie mieszka stu Janów Nowaków, to samo takie imię i nazwisko nie są danymi osobowymi – do identyfikacji konkretnego Jana Nowaka potrzeba dodatkowych danych, np. nazwy firmy, w której pracuje. Mogą być jednak na tyle nietypowe imiona i nazwiska, że prawdopodobieństwo identyfikacji jest bardzo wysokie.
Czy adres e-mail to dane osobowe?
Z zasady adresy e-mailowe są danymi osobowymi, ponieważ najczęściej, pisząc na dany adres, piszemy do konkretnej osoby i w ten sposób ją identyfikujemy. Mogą być jednak adresy e-mailowe, które nie stanowią danych osobowych, np. firma@rodoradar.pl. Jeśli zatem na podstawie adresu e-mail jesteśmy w stanie zidentyfikować konkretną osobę, to są to dane osobowe.
Co oznacza przetwarzanie danych osobowych?
Przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Czy wizerunek stanowi dane osobowe?
Zgodnie z RODO, wizerunek stanowi dane biometryczne. Dane te zaliczają się do danych osobowych szczególnej kategorii. Dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne. Co do zasady, RODO zabrania przetwarzania szczególnych kategorii danych, jednakże w wyjątkowych sytuacjach, przetwarzanie takich danych jest dozwolone. Szczególne kategorie danych mogą być przetwarzane m. in. gdy:
• osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba, że prawo UE lub prawo państwa członkowskiego przewiduje, iż osoba, której dane dotyczą, nie może uchylić zakazu;
• przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawiem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującym odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
• przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą.
Kim jest administrator danych osobowych?
Administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Kim jest podmiot przetwarzający?
Podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Kim jest organ nadzorczy?
Organ nadzorczy oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie. W Polsce organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych (PUODO).
Kiedy RODO nie ma zastosowania?
RODO nie ma zastosowania do przetwarzania danych osobowych:
• w ramach działalności nieobjętej zakresem prawa Unii;
• przez państwa członkowskie w ramach wykonywania działań w zewnętrznych Unii;
• przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;
• przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
Kogo chroni RODO?
RODO chroni podstawowe prawa i wolności osób fizycznych, a w szczególności ich prawo do ochrony danych osobowych
Czy RODO dotyczy osób nieżyjących?
RODO nie ma zastosowania do danych osobowych osób zmarłych.
Kiedy przetwarzanie danych osobowych jest zgodne z RODO?
Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków:
• osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
• przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
• przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
• przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
• przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Interesuje mnie umowa powierzenia (interpretacja art. 28 ust. 3 pkt e i f konkretnie charakter obowiązku udzielenia pomocy admnistratorowi przez podmiot przetwarzajacy). Czy pomoc ta powinna być udzielona bez uiszczenia dodatkowych opłat, czy jednak powinna być płatna?
RODO nie odnosi się bezpośrednio do kwestii o których Pani pisze. Temat ewentualnych odpłatności powinien być ustalony na etapie konstrukcji współpracy między stronami, niekoniecznie w samej umowie powierzenia, choć nie ma ku temu wyraźnych przeciwskazań. Odpowiednie zapisy dotyczące wynagrodzenia mogą pojawić się także w umowie głównej, do której umowa powierzenia nawiązuje poprzez realizację wymogu art. 28 ust. 3 pkt a RODO. Nie znajdziemy w przepisach RODO odpowiedzi na to pytanie, projekt polskiej ustawy na ten moment także nie odnosi się do tego zagadnienia, a co za tym idzie, żadna z ewentualności nie jest tutaj wyeliminowana i pozostaje do ustalenia między administratorem danych i podmiotem przetwarzającym.
Czy Procesor może kopiować i przechowywać (archiwizować) zgody klientów, które zbiera dla swojego Administratora danych. Oryginały zgód są wysyłane do Administratora danych.
Zasady współpracy między administratorem danych a podmiotem przetwarzającym określone powinny być w umowie powierzenia przetwarzania danych osobowych. Tam, zgodnie z zapisami RODO, podmiot przetwarzający nie decyduje o celach i środkach przetwarzania, ale jedynie realizuje czynności przetwarzania, które zostały wyraźnie zlecone przez administratora. Co za tym idzie, to administrator powinien w umowie uregulować charakter czynności, które podmiot przetwarzający może na powierzonych danych wykonywać. Jeżeli administrator ma potrzebę by kopie zgód były archiwizowane przez administratora, to taki charakter czynności przetwarzania może być w umowie zawarty i może w ten sposób funkcjonować. Wydaje się jednak, że skoro podmiot przetwarzający ma jedynie zgody zebrać, a zebrane wysłać do administratora to nie ma celu, który za kopiowaniem i archiwizacją po stronie procesora by przemawiał. Chyba że, podmiot przetwarzający do takiej archiwizacji byłby zobowiązany przepisami prawa, ale wtedy powinien o tym powiadomić administratora danych i zakres tych czynności powinien zostać dokładnie określony w umowie.
GIODO – kto go zastąpi i jak będzie funkcjonował?
Już dziś wiadomo, że zmianie ulegnie nazwa urzędu. GIODO, po wejściu w życie unijnych przepisów, będzie nosił nazwę Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Co do zakresu wykonywanych przez Urząd Ochrony Danych Osobowych obowiązków, podstawową zmianę stanowi zniesienie dwuinstancyjności postępowania oraz skrócenie terminu rozpatrywania spraw do 30 dni – tak zakłada projekt polskiej ustawy. Ministerstwo Cyfryzacji, które prowadzi prace nad projektem ustawy, zakłada że czas, jaki obecnie musi upłynąć w ramach rozpatrywania sprawy przez GIODO jest zdecydowanie zbyt długi, dlatego też wprowadzono ramy czasowe, które mają usprawnić prace. PUODO będzie miał także zastępców, którzy mają pomagać mu w wypełnianiu obowiązków. Urząd będzie uprawniony do przeprowadzania kontroli oraz nakładania naprawdę wysokich sankcji.
Zajmuję się marketingiem w branży doradczej B2B. Dla naszych klientów i innych gości organizujemy wydarzenia promujące nasze usługi. Czy pozyskane dane w ramach wydarzenia mogę wykorzystać do zaproszenia ich na wydarzenie w następnym kwartale?
Tak, jeżeli dane osobowe są służbowymi danymi kontaktowymi osoby, z którą Państwo współpracowaliście, lub też są danymi ogólnie dostępnymi, to nie ma przeszkód, aby te służbowe dane wykorzystać po raz kolejny. Należy jednak pamiętać o retencji danych. Zgodnie z RODO, każda kategoria danych wykorzystywanych w procesach biznesowych powinna zostać określona odpowiednim terminem retencji danych, po upływie którego dane należy w odpowiedni sposób usunąć, zgodnie z zasadą celowości – dane przetwarzane są tylko do momentu zrealizowania celu, w ramach którego zostały zebrane. Warto także wziąć pod uwagę możliwość występowania wśród zebranych przez Państwa danych, danych osób fizycznych lub osób fizycznych prowadzących działalność gospodarczą. Każda z tych kwestii wymaga dodatkowego rozważenia na gruncie przepisów RODO.
Kiedy wejdzie w życie polska ustawa precyzująca przepisy unijne?
Najnowszy projekt polskiej ustawy o ochronie danych osobowych pochodzi z 12 września br. Projekt ten doręczono ponad 200 podmiotom, które po zapoznaniu się z projektem mogą zgłaszać swoje uwagi do projektu ustawy w ramach 30-dniowych konsultacji społecznych. Konsultacje te potrwają do 13 października 2017 r. i każdy może wziąć w nich udział. Po etapie konsultacji i wprowadzeniu ostatecznych poprawek, projekt trafi do Sejmu. Kiedy stanie się aktem obowiązującym? Nie wiemy, przypuszczalnie podaje się okres końca roku. Polska ustawa o ochronie danych jednak, zgodnie z założeniami GDPR, jest tylko dokumentem uzupełniającym. Bez względu na termin jej wejścia w życie, od 25 maja 2018r. obowiązywać będzie Rozporządzenie Unijne.
W ramach działań marketingowych w firmie wysyłamy newsletter do bazy odbiorców. Jakie cechy musi spełniać system wysyłki newsletterów, aby był zgodny z RODO?
Baza newsletterowa powinna być stworzona z danych osób, które dobrowolnie zgłosiły chęć otrzymywania newslettera, czyli zapisały się na subskrypcję. W miejscu, w którym zapis na taką subskrypcję jest możliwy, administrator danych powinien zastosować klauzulę informacyjną spełniająca wymogi art. 13 RODO. W ramach tej klauzuli podmiot danych – subskrybent newslettera, powinien zostać poinformowany o wszelkich niezbędnych informacjach dotyczących przetwarzania jego danych osobowych oraz o wszystkich prawach, które na podstawie przepisów RODO w ramach opisanego przetwarzania mu przysługują. Ważne, by przygotować system do wysyłki newslettera lub korzystać z takiego, który umożliwia realizację opisanych w klauzuli informacyjnej praw, m.in. prawa do usunięcia danych subskrybenta.
Kto będzie decydował o wielkości nałożonej kary w razie stwierdzenia naruszenia? Czy będzie obowiązywał jakiś szczegółowy taryfikator?
Odpowiedzialność za naruszenie przepisów RODO będzie mieć charakter, przede wszystkim, sankcji administracyjnej. Będzie ona nakładana przez odpowiedni organ nadzorczy – w naszym przypadku PUODO. Co do wielkości nałożonych kar, decydować będzie w głównej mierze przepis Rozporządzenia, który został naruszony. Każdy przypadek będzie rozpatrywany indywidualnie, na podstawie warunków nakładania kar pieniężnych zawartych w art. 83 RODO. Zakładają one kary sięgające nawet 10 mln euro lub 2% rocznego globalnego obrotu organizacji oraz 20 mln euro lub 4% rocznego globalnego obrotu organizacji. Kara ma być adekwatna do naruszenia, ale też skuteczna i odstraszająca. Inną odpowiedzialność kwotową będą ponosić podmioty publiczne. Zgodnie z art. 83 projektu polskiej ustawy o ochronie danych osobowych, nasz ustawodawca skorzystał z przywileju przewidzianego w RODO, ograniczając karę pieniężną dla podmiotów publicznych do maksymalnej wysokości 100 tysięcy złotych.
Czy należy szkolić z RODO wszystkich pracowników, jeśli byli już szkoleni z polskiej ustawy?
Rozporządzenie o ochronie danych osobowych wprowadza kilka istotnych zmian dotyczących przetwarzania danych. Rozszerza ono też prawa przysługujące podmiotom danych i obliguje tym samym administratora danych do wypełnienia dodatkowych obowiązków. W związku z tym, administrator danych, jako odpowiedzialny za prawidłowe, zgodne z prawem przetwarzanie danych, musi zapewnić przetwarzanie danych przez odpowiednio do tego przygotowane osoby. Szkolenie pracowników z przetwarzania danych osobowych zgodnie z wymogami RODO, będzie zatem niezbędne.
Kogo obowiązuje RODO? Mam firmę, która dostarcza podzespoły do produkcji dla dużych spółek. Czy ja też muszę się przygotować?
RODO obowiązuje wszystkich, którzy przetwarzają dane osobowe. Pod rządami RODO znajdą się zatem nie tylko podmioty których główna działalność polega albo jest nierozerwalnie związana z przetwarzaniem danych, ale również te, które przetwarzają dane dodatkowo, czyli „przy okazji” wykonywania swoich zadań podstawowych. Należy pamiętać, że dane osobowe to także dane pracowników – w związku z tym, każdy pracodawca jest zobowiązany przestrzegać przepisów RODO. Taki sam obowiązek będzie miał przedsiębiorca, współpracujący z kontrahentami, podwykonawcami, dostawcami. W związku z tym, jako pracodawca, czy też kontrahent - będzie musiał się Pan do RODO przygotować.
Czy nazwa firmy z imieniem i nazwiskiem to też dane osobowe? Czy trzeba mieć zgodę właściciela na zapisanie takiej firmy w swojej bazie?
Danymi osobowymi będą także dane osoby prowadzącej działalność gospodarczą (podmioty z CEIDG), a także dane osób tworzących spółkę cywilną, a ich przetwarzanie – posiadanie bazy takich kontaktów, powinno posiadać podstawę prawną – jedną z podanych w art. 6 ust. 1 RODO. Zgoda jest tylko jedną z sześciu, równoprawnych podstaw do przetwarzania danych. Nie zawsze zgoda na przetwarzanie danych będzie tą najwłaściwszą – wszystko zależy od celu, jaki ma Pan w tworzeniu takiej bazy. Na podstawie tegoż celu należy ustalić podstawę prawną, a następnie zrealizować obowiązek informacyjny względem osób, których dane dotyczą, a także spełnić pozostałe obowiązki, jakie nakłada na administratora danych RODO.
Prowadzę małą Spółkę z o.o . Administratorem danych wg. prawa jest Spółka, prawda? Kto zatem formalnie i fizycznie powinien prowadzić dokumentację związaną z Rodo?
Administratorem danych osobowych jest podmiot (os. fizyczna lub osoba prawna), który decyduje o środkach i celach przetwarzania. Administratorem zatem w tym przypadku będzie spółka, a za ochronę danych, jak za wszystkie zobowiązania spółki odpowiadał będzie zarząd. I to zarząd właśnie powinien zdecydować kto w jego organizacji będzie odpowiedzialny za koordynację prac związanych z ochroną danych osobowych. Częsta praktyką jest wplatania zadań związanych z ochroną danych do obowiązków służbowych przypisanych do kierowników działów HR, IT lub Compliance. Takie wyjście mogłoby być skuteczne w przypadku, gdyby te osoby miały realnie wystarczająco dużo czasu, by zajmować się jednocześnie kwestiami swoich działów a także aktualizować dokumentację związaną z danymi osobowymi. Możliwe jest także powołanie w spółce odrębnego stanowiska i przypisanie do niego wszystkich kwestii związanych z ochroną danych. Mocno popularne jest też outsourcowanie tych czynności przez wyspecjalizowane podmioty zewnętrzne, świadczące usługi w tym zakresie. Wszystko zależy od wielkości organizacji, a także wolumenu i kategorii przetwarzanych danych osobowych. Nie ma prawnie wskazanych stanowisk w organizacji, które powinny zapewniać koordynację prac związanych z RODO. Wyjątkiem są jednak tutaj przypadki omówione w art. 37 ust. 1 RODO. Po zaistnieniu jednej ze wskazanych we wspomnianym przepisie przesłanek, administrator danych jest zobowiązany do powołania Inspektora Ochrony Danych. Przesłanki te wskazują na obligatoryjność powołania IOD, natomiast nie ma żadnych przeciwskazań, aby dla przejrzystości i kontroli czynności związanych z zabezpieczeniem przetwarzania danych osobowych w spółce, powołać funkcję Inspektora Ochrony Danych, nawet jeśli żadna z wymienionych w art. 37 ust. 1 RODO sytuacji, nie dotyczy Administratora Danych.
Do naszej firmy niezależnie od tego czy kogoś poszukujemy do pracy czy nie, wpływają (najczęściej drogą elektroniczna ale też pocztą tradycyjną) CV i podania o pracę z danymi osobowymi, które wykraczają poza granicę określoną w przepisach, (często np. ze zdjęciem). Powoduje to, że praktycznie wszystkie życiorysy zawodowe powinny być uzupełnione o zgodę kandydata na przetwarzanie danych osobowych. Co robić z takimi kwestionariuszami? Czy możemy je przechowywać w celu przyszłej rekrutacji czy zniszczyć lub odesłać do adresata z prośbą o uzupełnienie zgody? Czy Administrator danych może zapoznać wszystkich pracowników ze swoją Polityką bezpieczeństwa przetwarzania danych? Czytałam że jest to dokument wewnętrzny firmy.
Co do CV – odpowiedź w artykule koleżanki : https://rodoradar.pl/przetwarzanie-danych-osobowych-kandydatow-do-pracy-w-kontekscie-rodo/ . Mamy na stronie też kilka innych artykułów związanych z przepisami prawa pracy w kontekście RODO. Jeśli zaś chodzi o Politykę Bezpieczeństwa Danych Osobowych, to trochę nie wyobrażam sobie jej funkcjonowania w sytuacji gdy wszyscy pracownicy nie zostali z nią zapoznani a najlepiej z niej przeszkoleni. Jest to zdecydowanie dokument wewnętrzny organizacji, co oznacza że ujęte w niej informacje dotyczące zabezpieczeń nie powinny wydostać się na zewnątrz, poza organizację, aby nie zdradzać stosowanych procedur i technik bezpiecznego przetwarzania danych i nie narażać się na ryzyko incydentu, polegającego np. na złamaniu tych zabezpieczeń przez czynnik zewnętrzny. Natomiast pracownicy, zaangażowani w przetwarzanie danych osobowych, odpowiednio przeszkoleni, zobowiązani do zachowania poufności, tak jak przy każdej wewnętrznej procedurze, powinni bez problemu poruszać się po dokumencie i umieć na jego podstawie właściwie zareagować np. w sytuacji wyżej wspomnianego incydentu. Można też zastanowić się nad strukturą dokumentów w organizacji i skonstruować Politykę Bezpieczeństwa właśnie dla pracowników, będącą przyjazną praktyczną instrukcją postępowania w konkretnych przypadkach, natomiast bardziej techniczne i newralgiczne elementy zabezpieczeń umieścić np. w Polityce Bezpieczeństwa, będącej dokumentem, do którego dostęp ma ograniczona ilość pracowników decyzyjnych, zaangażowanych w tworzenie procedur zabezpieczeń, np. zarząd, szef IT, Inspektor Ochrony Danych.
