LexDigital

Co to jest RODO albo rozporządzenie o ochronie danych osobowych?

W tym artykule dowiesz się między innymi: jakie cele przyświecały wprowadzeniu RODO w Unii Europejskiej, co RODO oznacza dla przedsiębiorców, jakie prawa mają osoby fizyczne oraz jakie kary przewiduje unijne rozporządzenie?

Co to jest RODO albo rozporządzenie o ochronie danych osobowych?

Co kryje się pod skrótem RODO i jak ono dotyczy ochrony danych osobowych?

Zdaje się, że dla większości osób czytających ten artykuł odpowiedź na pytanie "co to jest RODO?" nie jest już zagadką. Za moment mija 6 lat od momentu stosowania RODO (graniczną datą był 25 maja 2018), stąd zdaje się, że skrót rozporządzenia ujawnił się już wielokrotnie podczas akceptowania regulaminu sklepu internetowego, wyskakującej belki cookies czy polityki prywatności.

RODO ogólne rozporządzenie
RODO to ogólne rozporządzenie o ochronie danych osobowych.


RODO chroni prawa osób, których dane są przetwarzane

RODO to ogólne rozporządzenie o ochronie danych osobowych (właściwie: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r., przyjęte 24 maja 2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu danych osobowych danych oraz uchylenia dyrektywy 95/46/WE), w języku angielskim General data protection regulation, czyli skrótowo GDPR.

RODO jest rozporządzeniem regulującym kwestie ochrony danych osobowych w całej Unii Europejskiej. To oznacza, że tekst rozporządzenia został przetłumaczony na wszystkie języki krajów członkowskich — można zatem uznać, że mamy jedno RODO, które lokalnie jest doprecyzowane w ustawodawstwie krajowym np. poprzez ustawę, jak to ma miejsce w Polsce.

RODO unia europejska
RODO (ogólne rozporządzenie o ochronie danych osobowych) obowiązuje w Polsce od 2018 r.

Sprawdź nasz artykuł: Dane osobowe wrażliwe, a dane osobowe zwykłe

Jakie cele przyświecały wprowadzeniu rozporządzenia o ochronie danych osobowych w Unii Europejskiej?

Celem rozporządzenia jest zapewnienie równoważnego stopnia ochrony osób fizycznych i swobodnego przepływu danych osobowych w całej Unii Europejskiej.

Niniejsze rozporządzenie ma na celu przyczyniać się do tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz unii gospodarczej, do postępu społeczno-gospodarczego, do wzmacniania i konwergencji gospodarek na rynku wewnętrznym, a także do pomyślności ludzi

– ogólne rozporządzenie o ochronie danych osobowych Parlamentu Europejskiego i Rady UE, motyw 2.

Rozporządzenie ma też na celu zaktualizować przepisy, by te spełniały swoje funkcje w XXI wieku i odpowiadały na zagrożenia wynikające z użycia w przetwarzaniu danych osobowych nowoczesnych technologii. Ogólne rozporządzenie o ochronie danych jest częścią pakietu UE dotyczącego reformy ochrony danych osobowych.

"To najbardziej niszczycielski rodzaj cyberataku". W tle rosyjski rząd. Eksperci ostrzegają przed ransomware

RODO w Polsce. Podstawa prawna

Rozporządzenie zostało przyjęte 27 kwietnia 2016. W momencie wejścia w życie (od 25 maja 2018), po dwuletnim okresie przejściowym, zaczęło obowiązywać w krajach UE bezpośrednio, bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego. Zastąpiło wówczas dyrektywę 95/46/WE.

Rozporządzenie dopuszcza pewne zmiany wprowadzane w ustawodawstwach krajów członkowskich. 10 maja 2018 roku Sejm VIII kadencji uchwalił nową ustawę o ochronie danych osobowych, która zapewnia stosowanie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 o ochronie danych osobowych na terytorium Polski oraz ustanawia nowy organ właściwy w sprawie ochrony danych osobowych – Prezesa Urzędu Ochrony Danych Osobowych (zlikwidowano urząd Generalnego Inspektora Ochrony Danych Osobowych).

Ustawa weszła w życie 25 maja 2018 roku. Oficjalna strona Sejmu pozwala w każdej chwili przeczytać jej tekst jednolity.

uodo rodo
Urząd Generalnego Inspektora Ochrony Danych zastąpiono UODO.


RODO w praktyce

RODO stanowi odpowiedź na wyzwania technologiczne XXI wieku, tj. dynamiczny rozwój nowych technologii przetwarzania danych osobowych przez:

  • serwisy społecznościowe
  • usługi chmury obliczeniowej
  • usługi mobilne (geolokalizacja)

Z uwagi na zasięg terytorialny rozporządzenia, jego głównym celem jest standaryzacja i ujednolicenie zasad dotyczących ochrony danych osobowych, we wszystkich krajach Unii Europejskiej. Ma to związek z globalizacją gospodarki oraz współpracą na arenie międzynarodowej w obszarach, które dotyczą przetwarzania danych osobowych.

Takie podejście pozwala na swobodny przepływ danych w ramach Unii Europejskiej. Jest to korzystne dla przedsiębiorców, ponieważ nie muszą oni za każdym razem analizować, czy kraj, z którym podejmują współpracę, odpowiednio dba o ochronę danych osób fizycznych. RODO gwarantuje, że wymagania w każdym z krajów powinny być tożsame — oczywiście nie gwarantuje to, że każda organizacja wdroży jego zasady.

rodo gdpr
General Data Protection Regulation (lub RODO) obowiązuje od 2018 r.


RODO jest neutralne technologicznie — jak wskazuje sama nazwa, jest to OGÓLNE rozporządzenie. Stanowi to wadę i zaletę: z jednej strony trudno jest oczekiwać konkretnych rozwiązań w tekście rozporządzenia, z drugiej strony daje ono dużą samodzielność w ustalaniu, co dla danego biznesu będzie najbardziej optymalnym podejściem.

Podczas wdrożenia RODO w organizacji konieczne jest zbadanie kontekstu wewnętrznego i zewnętrznego, a następnie wdrożenia odpowiednich środków minimalizujących ryzyko naruszenia praw i wolności osób. Zdaje się, że takie podejście jest bardzo rozsądne ponieważ nie narzuca ono konkretnych rozwiązań, które dla małego przedsiębiorstwa nie byłyby możliwe do wprowadzenia, natomiast dla dużego przedsiębiorstwa byłyby one zbyt słabe.

Ustawodawcy unijni zakładają, że RODO będzie nam służyć przez 50 lat, z uwagi na wspomnianą neutralność technologiczną jest to możliwe. RODO wskazuje nam cel, do którego mamy dążyć, nie wskazuje jednak konkretnych środków bezpieczeństwa takich jak: niszczarka zgodna z RODO, szafa pancerna zgodna z RODO itd.

rodo 50 lat
Ogólne rozporządzenie o ochronie danych osobowych ma nam służyć przez pół wieku.


Co RODO oznacza dla osoby fizycznej, czyli dla każdego z nas?

Zdecydowanie daje nam poczucie bezpieczeństwa — na pewno dużo większe, niż zanim ogólne rozporządzenie weszło w życie. Wdrożenie wymagań RODO przez przedsiębiorców ma dać nam poczucie kontroli nad naszymi danymi osobowymi.

W każdej chwili powinniśmy mieć możliwość uzyskania informacji od przedsiębiorstwa, któremu przekazujemy nasze dane osobowe na temat:

  • tożsamości i danych kontaktowych przedsiębiorcy,
  • gdy ma to zastosowanie – danych kontaktowych inspektora ochrony danych,
  • celów przetwarzania danych osobowych oraz informacje o podstawie prawnej przetwarzania,
  • poznać prawnie uzasadniony interes administratora
  • informacji o odbiorcach danych osobowych lub o kategoriach odbiorców,
  • informacji o zamiarze przekazania danych osobowych do państw trzecich lub organizacji międzynarodowych
  • okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
  • informacji o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania, lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  • informacji o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
  • informacji o prawie wniesienia skargi do organu nadzorczego,
  • informacji, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy,
  • informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

rodo obowiązek informacyjny
Administrator danych musi spełnić obowiązek informacyjny.

Powyższe informacje pozwalają nam na podjęcie decyzji o nieprzekazaniu danych danemu podmiotowi, jeżeli zapisy są dla nas niepokojące. Na przykład okazuje się, że podmiot przetwarzający dane wskazuje, iż nasze dane będzie przekazywał 100 innym podmiotom w celach marketingowych.

Jeżeli już przekażemy nasze dane osobowe, mamy możliwość skontaktowania się z Administratorem albo Inspektorem ochrony danych osobowych, który jest zobowiązany odpowiedzieć na nasze pytania związane z przetwarzaniem danych.

RODO u swoich źródeł zakłada transparentność przekazywania informacji o przetwarzaniu, oczekuje prostego i jasnego języka, który będzie zrozumiały dla odbiorcy oraz daje mu możliwość skorzystania z praw, określonych przez ogólne rozporządzenie.

rodo podstawa prawna
RODO jest podstawą prawną przetwarzania danych w Polsce.


Jaka jest różnica między administratorem, a podmiotem przetwarzającym dane osobowe? Dowiesz się z tego artykułu

Prawa osoby, której dane dotyczą

Wielu z nas kojarzy już dość dobrze prawo do bycia zapomnianym, co oznacza usunięcie danych osobowych danej osoby np. z baz wysyłki newsletterów marketingowych.

RODO to jednak nie tylko prawo do usunięcia danych. Przysługuje nam też:

  • Prawo dostępu przysługujące osobie, której dane dotyczą
  • Prawo do otrzymania kopii danych
  • Prawo do sprostowania danych
  • Prawo do usunięcia danych („prawo do bycia zapomianym”)
  • Prawo do ograniczenia przetwarzania
  • Prawo do przenoszenia danych
  • Prawo do sprzeciwu
  • Prawo do wniesienia skargi do organu nadzorczego

Więcej o konkretnych możliwościach w ramach danego prawa znajdziecie w naszym artykule.

prawnie uzasadniony interes administratora
Prawnie uzasadniony interes administratora uprawnia go do przetwarzania danych.


Co RODO oznacza dla przedsiębiorców?

Wdrożenie rozporządzenia o ochronie danych osobowych ma naturę wirusową tzn. oczekiwanym jest, aby duże organizacje wymagały odpowiedniego poziomu bezpieczeństwa przetwarzania danych przez swoich mniejszych kontrahentów, a ci mniejsi od swoich jeszcze mniejszych podwykonawców.

Nie da się ukryć, iż dla przedsiębiorców wdrożenie RODO zawsze wiąże się z dodatkowymi kosztami. Nawet w przypadku bardzo dobrze funkcjonujących środków bezpieczeństwa, dużej świadomości pracowników, wielu procedur itd. RODO będzie wymagało ciągłego monitorowania systemu ochrony danych osobowych.

To pokazuje, że nie istnieje coś takiego jak jednorazowe wdrożenie RODO, spisanie kilku dokumentów i zamknięciu ich w segregatorze o nazwie "RODO" a później schowaniu ich głęboko w szafie.

Poniższa checklista obrazuje zakres elementów, które powinny zostać opracowane i wdrożone w organizacji:

  1. Powołanie IOD (Inspektor Ochrony Danych)
  2. Wdrożenie wewnętrznej dokumentacji systemu ochrony danych osobowych np. polityki ochrony danych, procedury realizacji praw osób, procedury zarządzania incydentami. Pakiet dokumentów możesz kupić w naszym sklepie internetowym
  3. Przygotowanie rejestrów: RCP, RKCP, incydentów, obsługi praw osób, nadanych upoważnień.
  4. Przeszkolenie pracowników
  5. Nadanie upoważnień do przetwarzania danych osobowych
  6. Podpisanie stosownych umów powierzenia przetwarzania danych osobowych
  7. Wdrożenie tzn. frontowe RODO tj. przygotowanie polityki prywatności, polityki cookies, zgód na przetwarzanie danych, obowiązków informacyjnych
  8. Przeprowadzenie analizy ryzyka wpływu procesów przetwarzania na prywatność osób fizycznych
inspektor ochrony danych osobowych
Powołanie inspektora ochrony danych osobowych to podstawowy wymóg RODO.


Oczywiście każdy z przedsiębiorców może zastosować środki bezpieczeństwa, które odpowiadają zakresowi oraz ilości danych, jakie przetwarza oraz infrastrukturze, na której dane osobowe są gromadzone i przetwarzane. Każdy z przedsiębiorców może mieć również inny apetyt na ryzyko — to oznacza, że mimo wiedzy o pewnych wymaganiach RODO nie stosować ich z uwagi na zagrożenie utraty przychodów itd. Jednak każdy właściciel firmy powinien być świadomy konsekwencji, jakie niesie za sobą niedostosowanie się do obowiązku prawnego, określonego w RODO.

Zasady ogólne przetwarzania danych osobowych wg RODO

Oficjalna strona rządowa biznes.gov.pl prezentuje krótkie kompendium na temat RODO.

RODO dzieli dane osobowe na:

  • zwykłe dane osobowe
  • szczególne dane osobowe (dawniej dane wrażliwe takie jak pochodzenie, przynależność religijna, związkowa, dane dotyczące zdrowia, dane genetyczne itp.)

Przetwarzanie danych osobowych obejmuje:

  • zbieranie, utrwalanie
  • organizowanie, porządkowanie
  • przechowywanie, adaptowanie lub modyfikowanie
  • pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie
  • rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie albo
  • łączenie, ograniczanie, usuwanie lub niszczenie

W jakim charakterze można przetwarzać dane osobowe?

Jeżeli jesteś przedsiębiorcą, to możesz przetwarzać dane osobowe jako:

  • administrator danych
  • podmiot przetwarzający dane

Administrator ustala cele i sposoby przetwarzania danych. Jeśli Twoja firma lub organizacja decyduje o tym, "po co" i "w jaki sposób" powinno się przetwarzać dane, to znaczy, że jest administratorem. Twoja firma jest współadministratorem, jeśli wspólnie z co najmniej jedną organizacją ustala cele i sposoby przetwarzania danych osobowych. W takim wypadku należy dokonać między sobą uzgodnień na piśmie i określić zakresy odpowiedzialności za przetwarzanie przepisów RODO, a następnie przekazać ustalenia osobom, których dane są przetwarzane.

Podmiot przetwarzający dane (nazywany też czasem "procesorem) dokonuje przetwarzania danych osobowych wyłącznie w imieniu administratora. Podmiot przetwarzający dane jest zazwyczaj stroną trzecią, czyli podmiotem zewnętrznym wobec firmy. W roli administratora lub podmiotu przetwarzającego dane osobowe zawsze występuje firma, a nie jej pracownik. Pracownik, który zajmuje się przetwarzaniem danych osobowych w firmie, powinien być upoważniony do czynności w tym zakresie.

Obowiązki podmiotu przetwarzającego względem administratora muszą koniecznie zostać określone za pomocą umowy powierzenia przetwarzania danych osobowych, która m.in wskaże, co stanie się z danymi po rozwiązaniu umowy. Nie obędzie się też bez wdrożenia odpowiednich środków technicznych i organizacyjnych, służących ochronie danych.

Podmiot przetwarzający dane może zlecić podwykonawstwo swoich obowiązków. Jednak przepisy jasno określają, że podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

Od podmiotów przetwarzających należy odróżnić osobę, która przetwarza dane osobowe z upoważnienia administratora. Są to osoby fizyczne, a nie firmy czy organizacje - pracownicy, praktykanci, stażyści, wolontariusze, lub wykonawcy i zleceniodawcy przetwarzający dane na podstawie umów cywilnoprawnych.

Administrator i podmiot przetwarzający. Komisja Europejska wyjaśnia relacje w systemie ODO.

Firmy przetwarzające dane podlegają prawu Unii Europejskiej. Wiele tłumaczy plastyczny przykład, który znajdziemy na oficjalnej stronie Komisji Europejskiej:

Browar zatrudnia wielu pracowników. Podpisuje umowę ze spółką świadczącą usługi płacowe w celu wypłaty pracownikom wynagrodzeń. Browar informuje spółkę o terminach wypłacania wynagrodzeń, urlopach i podwyżkach pensji, a ponadto przekazuje wszystkie inne szczegóły dotyczące wynagrodzeń i płatności. Spółka świadczącą usługi płacowe zapewnia system IT i przechowuje dane pracowników.

Browar jest w tym przypadku administratorem, a spółka obsługująca płace jest podmiotem przetwarzającym dane - wyjaśniają urzędnicy z Brukseli.

komisja europejska
Komisja Europejska


Kolejny przykład dotyczy współadministracji danymi.

Twoja firma/organizacja oferuje poprzez platformę internetową usługi opieki nad dziećmi. Jednocześnie Twoja firma/organizacja podpisała umowę z innym przedsiębiorstwem, co umożliwia Ci oferowanie usług o wartości dodanej. Usługi te dają rodzicom możliwość nie tylko wyboru opiekunki do dziecka, ale także wypożyczenia gier i filmów na DVD, które opiekunka ze sobą przyniesie. Obie firmy zajmują się technicznymi ustawieniami strony internetowej. W tym przypadku obie firmy postanowiły wykorzystać platformę do realizacji obu celów (opieka nad dziećmi i wypożyczalnia gier/DVD), w związku z czym będą bardzo często dzieliły się nazwiskami klientów. Zatem firmy te stają się współadministratorami, ponieważ nie tylko zgodziły się na świadczenie „usług połączonych”, ale także tworzą i wykorzystują wspólną platformę.

Czytamy na stronie Komisji Europejskiej.

Kiedy możesz przetwarzać dane osobowe?

Aby przetwarzać dane, musisz mieć do tego podstawę. W przypadku zwykłych danych podstawą do przetwarzania jest:

  • zgoda osoby, której dane są przetwarzane
  • sytuacja, w której przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dane dotyczą (dane do przygotowania umowy cywilnej sprzedaży)
  • sytuacja, w której przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (np. wpisywanie danych klienta do ksiąg rachunkowych, których prowadzenie jest narzucone przepisami prawa o rachunkowości)
  • sytuacja, w której przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (np. złożenie pozwu do sądu o zapłatę przeciwko nieuczciwemu klientowi)

W przypadku szczególnych kategorii danych (wyznanie, orientacja seksualna, poglądy polityczne, pochodzenie) podstawą do przetwarzania danych są:

  • wyraźna zgoda osoby, której dane dotyczą
  • sytuacja, w której przetwarzanie danych jest niezbędne do wykonania zadań związanych z zatrudnieniem czy ubezpieczeniem społecznym pracowników
  • sytuacja, w której przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, a także do oceny zdolności pracownika do pracy
  • sytuacja, w której przetwarzanie danych jest niezbędne w celu dochodzenia praw przed sądem

Jako administrator musisz zawsze wykazać, że posiadasz odpowiednią podstawę do ich przetwarzania (tzw. rozliczalność).

Ustawa o ochronie danych osobowych z 29.08.1997 ze zmianami

Jak uzyskać zgodę na przetwarzanie danych

Każda zgoda na przetwarzanie danych powinna być:

  • dobrowolna – zgoda może być ważna tylko wtedy, gdy osoba, której dane dotyczą, wyrazi ją bez przymusu
  • konkretna – aby zgoda była ważna, musi dokładnie określać cel przetwarzania i być wyrażona oddzielnie dla każdego celu
  • jednoznaczna – zgoda musi mieć charakter wyraźny, a nie domniemany

Aby uzyskać zgodę na gromadzenie danych, musisz przekazać osobie, której dane dotyczą, informacje o:

  • celach i podstawie przetwarzania danych
  • odbiorcach danych osobowych lub o kategoriach odbiorców
  • zamiarze przekazania danych osobowych do państwa trzeciego
  • prawie do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub o prawie do wniesienia sprzeciwu wobec przetwarzania
  • prawie do cofnięcia zgody w dowolnym momencie lub wniesienia skargi do UODO

W myśl art. 7 ust. 3 RODO zgoda jest odwoływalna i uprawnienie to przysługuje osobie, której dane dotyczą, w każdym czasie. Osoba ta ma więc prawo w dowolnym momencie wycofać zgodę. Przepis nakłada na administratora obowiązek poinformowania osoby o tym prawie, zanim wyrazi zgodę. Wycofanie zgody musi być tak samo łatwe jak jej wyrażenie.

Dlatego jeżeli np. na stronie internetowej istniał mechanizm do wyrażenia zgody, to powinien być również podobny do jej wycofania. Rozwiązanie takie nie powinno być w żaden sposób ukryte. Podobnie gdy administrator odbierał zgodę drogą mailową czy telefoniczną, to w tym wypadku jej odwołanie powinno być możliwe w ten sam sposób.

Więcej o tym, kiedy jest potrzebna zgoda na przetwarzanie danych, przeczytasz tutaj.

Rejestrowanie czynności przetwarzania

Jednym z obowiązków nałożonych na administratorów danych osobowych jest konieczność prowadzenia rejestru czynności przetwarzania. To podstawowy dokument, dotyczący ochrony danych osobowych w organizacji. Powinien być sporządzony przez zdecydowaną większość organizacji, które przetwarzają dane osobowe. Administratorzy Danych Osobowych lub podmioty przetwarzające mają obowiązek udostępniania rejestrów na każde żądanie organu nadzorczego.

Zgodnie z przepisami Rozporządzenia Ogólnego o Ochronie Danych (RODO), Administratorzy Danych Osobowych (ADO) są zobowiązani do prowadzenia rejestru czynności przetwarzania. Stanowi on bazowy dokument dotyczący ochrony danych osobowych.

Taki rejestr muszą prowadzić administrator danych oraz podmiot przetwarzający dane.

Administrator danych musi odnotować w rejestrze:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora, przedstawiciela administratora oraz inspektora danych osobowych IOD
  • cele przetwarzania
  • opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione
  • przekazanie danych osobowych do państwa trzeciego - jeśli do niego doszło
  • planowane terminy usunięcia poszczególnych kategorii danych - jeżeli jest to możliwe
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych - jeżeli jest to możliwe

Z kolei podmiot przetwarzający musi umieścić w rejestrze:

  • imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego oraz każdego administratora, w imieniu którego działa podmiot przetwarzający
  • rodzaj przetwarzań dokonywanych w imieniu każdego z administratorów
  • przekazania danych osobowych do państwa trzeciego - jeśli do niego doszło
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych - jeżeli jest to możliwe

Przykładowe rejestry znajdziesz w naszym sklepie z wzorami dokumentów. Więcej o wzorach przeczytasz tutaj.

Inspektor Ochrony Danych (IOD)

Musisz powołać inspektora ochrony danych, jeśli w swojej firmie przetwarzasz dane na dużą skalę (musisz to samodzielnie ocenić - takie przetwarzanie dotyczy banków czy firm ubezpieczeniowych).

IOD jest niezbędny również, jeśli przetwarzasz szczególne kategorie danych lub monitorujesz osoby na dużą skalę. Inspektor ochrony danych musi być powołany także w przypadku, gdy dane będą przetwarzane przez organ publiczny (urzędy).

Przekaż nam pełnienie funkcji Inspektora Ochrony Danych Osobowych w swojej firmie! Outsourcing funkcji IOD.

RODO - kluczowe definicje przy przetwarzaniu danych osobowych

Poniżej znajdziesz listę kluczowych pojęć RODO wraz z podstawą prawną (w każdym przypadku są to cytaty z art. 4 Rozporządzenia).

„dane osobowe” oznaczają:

informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej

"przetwarzanie danych osobowych"

oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

"administrator"

oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania

„podmiot przetwarzający”

oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora

Ile mln euro zapłaci twoja firma albo jakie kary finansowe przewiduje RODO?

Nieprzestrzeganie przepisów RODO może skutkować nałożeniem na spółkę administracyjnej kary pieniężnej w wysokości aż do 10 000 000 euro, a w przypadku przedsiębiorstwa w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa, lub w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Jednak prezes UODO może również ustalić, że kara nie będzie miała charakteru finansowego. Wszystko zależy od kilku czynników, głównie mówimy tu o charakterze i wadze czynu, czasie trwania naruszenia, liczbie poszkodowanych osób i rozmiarze poniesionej przez nich szkody oraz rodzaju działań podjętych w celu zminimalizowania szkody.

Gigantyczna kara UODO dla Santander Bank Polska

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk