LexDigital

RODO - pytania i odpowiedzi. Tłumaczymy najważniejsze kwestie z zakresu ochrony danych osobowych i odpowiadamy na najczęściej zadawane pytania

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. obowiązuje już prawie 5 lat, jednak wiele osób wciąż ma wątpliwości co oznaczają niektóre pojęcia, które występują w rozporządzeniu oraz jak rozumieć niektóre obowiązki z niego wynikające.

RODO - pytania i odpowiedzi. Tłumaczymy najważniejsze kwestie z zakresu ochrony danych osobowych i odpowiadamy na najczęściej zadawane pytania

Tekst poniżej to wypisane najpopularniejsze pytania z zakresu danych osobowych, na które szuka się odpowiedzi. RODO albo w języku angielskim — GDPR (General Data Protection Regulation) określa prawa osób, których dane dotyczą oraz obowiązki podmiotów przetwarzających te dane, takich jak firmy, instytucje czy organizacje. Poniższe pytania i odpowiedzi pomogą poznać ci podstawy RODO. Jeśli chcesz dowiedzieć się więcej, to napisz do nas.

questions, answers, Q&A

Kim jest administrator danych?

Administrator danych to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi decyduje o celach i sposobach przetwarzania danych osobowych, np. spółka w stosunku do danych osobowych swoich klientów, kontrahentów i pracowników. Administratorami danych osobowych zwykle są przedsiębiorcy (np. prowadzące jednoosobową działalność gospodarczą), organizacje lub inne jednostki.

Administratorem danych zawsze jest określony podmiot, a więc np. urząd, szkoła, spółka z o.o. a nie dyrektor, prezes zarządu, kierownik działu HR, Inspektor Ochrony Danych. Administrator przetwarza dane osobowe sam lub korzystać z usług podmiotu zewnętrznego, który w jego imieniu przetwarza dane (podmiot przetwarzający).

O roli podmiotu przetwarzającego pisaliśmy w więcej w artykule "Powierzenie a udostępnianie danych"

pytania, questions, raised hands

Jakie prawa przysługują osobom, których dane są przetwarzane?

Zgodnie z RODO osoby, których dane są przetwarzane, mają szereg praw, dających im większą kontrolę nad danymi osobowymi. Dane osobowe, to informacja, która pozwala bezpośrednio lub pośrednio zidentyfikować osobę: np. imię, nazwisko, adres zamieszkania, numer telefonu, adres poczty elektronicznej. Więcej o tym, jakie informacje mówią o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej przeczytasz w naszym artykule Dane osobowe wrażliwe, a dane osobowe zwykłe.

Katalog praw:

  1. Prawo do bycia zapomnianym (prawo do usunięcia danych);
  2. Prawo do przeniesienia danych;
  3. Prawo do sprostowania danych;
  4. Prawo do dostępu do danych w tym uzyskania ich kopii;
  5. Prawo do ograniczenia przetwarzania danych osobowych;
  6. Prawo do sprzeciwu oraz do niepodleganiu decyzji opartych na zautomatyzowanym przetwarzaniu;
  7. Cofnięcia zgody;
  8. Wniesienia skargi do UODO.

Każdy administrator, który przetwarza dane osobowe, może otrzymać wniosek od osoby, która chce skorzystać ze swoich praw. Taki administrator powinien bez zbędnej zwłoki, a w każdym razie najpóźniej niż w ciągu 1 miesiąca od otrzymania wniosku odpowiedzieć na niego. Czas ten może zostać wydłużony o kolejne 2 miesiące w przypadku skomplikowanych wniosków, pod warunkiem, że administrator poinformuje o tym wnioskującego.

Istotny jest fakt, iż żadne zgłoszenie nie może pozostać bez odpowiedzi tj. jeśli administrator odrzuci wniosek, musi powiadomić osobę, której dotyczą dane o przysługującym prawie do złożenia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych.

zasady przetwarzania danych osobowych, dane osobowe, przetwarzanie danych

Jakie są najważniejsze zasady przetwarzania danych osobowych?

Do najważniejszych zasad przetwarzania danych osobowych w rozumieniu ROzporządzenia należą:

a.    zasada legalności — przetwarzanie danych osobowych jest dopuszczalne gdy odbywa się zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osób, których dotyczą te dane,

b.   zasada celowości — przetwarzanie ograniczone do pierwotnego celu,

c.    zasada adekwatności — przetwarzanie ograniczone do niezbędnego minimum (minimalna ilość danych niezbędna do realizacji celu — minimalizacja danych),

d.   zasada prawidłowości — przetwarzane dane są dokładne i aktualne,

e.   zasada ograniczenia przechowywania — przetwarzanie trwa nie dłużej, niż jest to konieczne do realizacji określonego celu biznesowego,

f.     zasada integralności i poufności — stosowane są adekwatne do ryzyka środki zabezpieczenia ochrony danych osobowych również, gdy przetwarza je strona trzecia,

g.   zasada rozliczalności — konieczność wykazania dowodów na przestrzeganie wszystkich zasad przetwarzania danych,

h.   zasada przejrzystości — przekazywanie przez administratora danych wszystkich informacji i komunikatów do osoby, której dotyczą te dane w sposób łatwo dostępny, zwięzły i zrozumiały.

podstawy prawne przetwarzania, przetwarzanie danych, data processing

Jakie są przesłanki legalizujące przetwarzanie danych osobowych?

Dane osobowe, zgodnie z zasadą legalności, mogą być przetwarzane tylko, gdy spełniony jest co najmniej jeden warunek przewidziany w art. 6 ust. 1 lit. a–f, art. 9 ust. 2 lit. a-j oraz art. 10 RODO.

Zgodnie z art. 6 ust. 1 RODO, przesłankami legalizującymi przetwarzanie danych osobowych są:

  1. zgoda osoby, której dane dotyczą na przetwarzanie jej danych osobowych w jednym bądź większej liczbie określonych celów (art. 6 ust. 1 lit. a) RODO);
  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub podjęcia na żądanie osoby, której dane dotyczą, działań niezbędnych przed zawarciem umowy (art. 6 ust. 1 lit. b) RODO);
  3. istnienie obowiązku prawnego, do którego wypełnienia jest zobowiązany administrator (art. 6 ust. 1 lit. c) RODO);
  4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 6 ust. 1 lit. d) RODO);
  5. przetwarzanie jest konieczne w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e) RODO);
  6. przetwarzanie jest niezbędne w celu zrealizowania prawnie uzasadnionego interesu administratora bądź strony trzeciej (art. 6 ust. 1 lit. f) RODO).
    RODO, GDPR, ochrona danych osobowych

Na mocy art. 9 ust. 2 RODO przetwarzanie szczególnych kategorii danych jest możliwe w przypadku spełnienia jednej z poniższych przesłanek:

  1. osoba, której dotyczą dane, wyraziła zgodę na przetwarzanie tych danych (art. 9 ust. 2 lit. a) RODO);
  2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej (art. 9 ust. 2 lit. b) RODO);
  3. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. c) RODO);
  4. przetwarzanie wykonywane jest w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny podmiot niezarobkowy o celach politycznych, światopoglądowych, religijny lub związkowych pod warunkiem, że dotyczy to członków, byłych członków lub osób utrzymujących stałe kontakty z podmiotem (art. 9 ust. 2 lit. d) RODO);
  5. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dotyczą dane (art. 9 ust. 2 lit. e) RODO);
  6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń, lub w ramach sprawowania wymiaru sprawiedliwości przez sądy (art. 9 ust. 2 lit. f) RODO);
  7. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym (art. 9 ust. 2 lit. g) RODO);
    ADO, administrator danych, administrator danych osobowych
  8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego oraz zarządzania systemami i usługami opieki zdrowotnej i zabezpieczenia społecznego (art. 9 ust. 2 lit. h) RODO);
  9. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, art. ochrona przez transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej (art. 9 ust. 2 lit. i) RODO);
  10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych, historycznych lub statystycznych (art. 9 ust. 2 lit. j) RODO).

Dodatkowo należy zaznaczyć, że przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa jest dozwolone wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem, o czym mowa art. 10 RODO.

europe, gdpr, data

Czym jest obowiązek informacyjny (art. 13 i 14 RODO)?

Administrator, pozyskując dane osobowe bezpośrednio od osoby, której dotyczą dane, (art. 13 RODO) zobowiązany jest spełnić obowiązek informacyjny tj. podać następujące informacje:

  • swoją tożsamość i dane kontaktowe,
  • dane kontaktowe Inspektora Ochrony Danych (o ile został wyznaczony),
  • cele i podstawy prawne przetwarzania danych osobowych,
  • udzielenie informacji o odbiorcach danych lub kategoriach odbiorców,
  • informacje o zamiarze przekazania danych osobowy do państwa trzeciego lub organizacji międzynarodowej (o ile dotyczy),
  • okres, przez który dane będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
  • jeżeli przetwarzania odbywa się na podstawie art. 6 ust. 1 lit. f) RODO - informacje o prawnie uzasadnionym interesie realizowanym przez administratora lub przez stronę trzecią,
  • jeżeli przetwarzanie odbywa się na podstawie zgody, której dane dotyczą — informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięcie,
  • prawa przysługujące podmiotom danych,
  • informacje o zautomatyzowanym podejmowaniu decyzji.

Jeżeli dane osobowe zostały pozyskane z innego źródła niż od osoby, której dotyczą, wówczas administrator zobowiązany jest spełnić obowiązek informacyjny zawierający ww. treści (art. 14 RODO) uzupełnione o źródło, z których posiada dane. Obowiązek ten musi być spełniony w rozsądnym terminie po pozyskaniu danych osobowych — najpóźniej w ciągu miesiąca. Mając na uwadze konkretne okoliczności przetwarzania danych osobowych, najpóźniej przy pierwszej komunikacji z osobą, której dane dotyczą, jeżeli dane osobowe mają być stosowane do komunikacji z tą osobą lub najpóźniej przy ich pierwszym ujawnieniu, jeżeli planuje się ujawnić dane osobowe.

obowiązek informacyjny, inspektor ochrony danych, IOD

Na czym polega zasada ochrony danych w fazie projektowania i domyślnej ochrony danych?

Zgodnie z art. 25 RODO administrator, uwzględniając stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst, cel przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych zobowiązany jest:

  1. na etapie projektowania systemu, a potem w trakcie jego użytkowania wdrożyć i stosować odpowiednie zabezpieczenia techniczne i organizacyjne, które zapewnią zgodność z prawem oraz ochronę danych użytkowników,
  2. wdrożyć takie środki techniczne i organizacyjne, aby domyślnie przetwarzane były tylko te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu (dotyczy to zarówno ilości zbieranych danych, jak i ich zakresu, okresu przechowywania oraz dostępności).

Szczegółowe informacje na temat zasady privacy by design znajdziesz tutaj.

Czym jest ocena skutków przetwarzania?

Na mocy art. 35 RODO administrator zobowiązany jest przeprowadzać ocenę skutków planowanych operacji przetwarzania dla ochrony danych w przypadku, gdy dany rodzaj operacji niesie ze sobą duże ryzyko naruszenia praw lub wolności osób.

Przeprowadzenie oceny jest obowiązkowe, gdy:

a.       zachodzą przesłanki wskazane w art. 35 ust. 1 lub 3 RODO tj.:

  • dany rodzaj przetwarzania ze względu na zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych,
  • przetwarzanie dotyczy systematycznej i kompleksowej oceny czynników osobowych opierającej się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które jest podstawą do podejmowania decyzji wywołujących skutki prawne wobec osoby fizycznej,
  • przetwarzanie na dużą skalę szczególnych kategorii danych osobowych lub danych dotyczących wyroków skazujących i naruszeń prawa,
  • systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie.
    CCTV, monitoring wizyjny, kamera monitoringu

b. organ nadzorczy uzna, że określone przez niego operacje przetwarzania danych wiążą się z obowiązkiem przeprowadzenia oceny (art. 35 ust. 4 RODO) tj.:

  • ewaluacja lub ocena, w tym profilowanie i przewidywanie wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych, np. media społecznościowe,
  • zautomatyzowane podejmowanie decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki, np. sklepy oferujące ceny promocyjne dla określonej grupy klientów,
  • systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie wykorzystujące elementy rozpoznawania cech lub właściwości obiektów, które udostępniane są w monitorowanej przestrzeni, np. środki komunikacji miejskiej, systemy informujące o lokalizacji,
  • przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych, np. systemy kontroli czasu pracy, systemy przetwarzające dane dotyczące stanu zdrowia,
  • dane przetwarzana na dużą skalę (pod kątem liczby osób, zakresu przetwarzania, okresu przechowywania lub zasięgu geograficznego przetwarzania), np. centralny system informacji oświatowej,
  • przeprowadzanie porównań, ocena lub wnioskowanie na podstawie analizy danych pozyskanych z różnych źródeł, np. banki i instytucje finansowe,
  • przetwarzanie danych dotyczących osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami władczymi i/lub oceniającymi, np. systemy służące zgłaszaniu nieprawidłowości,
  • innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych, lub organizacyjnych, np. serwisy internetowe przetwarzające dane z urządzeń typu internet rzeczy,
  • przetwarzanie uniemożliwia osobom, których dane dotyczą wykonywanie prawa lub korzystanie z usługi, lub umowy, np. podmioty udzielające pożyczek i kredytów oraz oferujące sprzedaż ratalną.
    kary RODO, money, pieniądze

Czym są organizacyjne i techniczne środki ochrony danych osobowych?

Zgodnie z art. 24 i 32 RODO administrator zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych służących ochronie danych osobowych, uwzględniając przy tym stan wiedzy technicznej, koszty wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Wdrożone środki powinny być adekwatne do oszacowanego ryzyka czynności przetwarzania danych, a administrator musi być w stanie wykazać ich skuteczność.

Oceniając ryzyko w zakresie bezpieczeństwa w ochronie danych osobowych, należy wziąć pod uwagę zagrożenia związane z przetwarzaniem danych, takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, które w szczególności mogą prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych (motyw 83 RODO).

Nieprzestrzeganie prowadzi do kar

Nieprzestrzeganie RODO prowadzi nie tylko do tego, że ochrona danych osobowych w organizacji jest zagrożona, ale również naraża organizacje na kary. Więcej o karach przeczytasz w artykule Kary RODO - skąd tyle szumu wokół kar finansowych?. Masz jakieś pytanie? Napisz do nas biuro@lexdigital.pl

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk