Ochrona danych osobowych
RODO w firmie
Rozporządzenie o Ochronie Danych Osobowych (RODO) obowiązuje w Polsce (i UE) od 25 maja 2018 r. i zastąpiło przepisy dotychczasowej ustawy.
RODO, zwane także „GDPR” lub „Ogólnym Rozporządzeniem o Ochronie Danych”, to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Rozporządzenie obowiązuje bezpośrednio w krajowych porządkach prawnych od 25 maja 2018 r. Niniejsze Rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą przebywających w Unii przez Administratora lub podmiot przetwarzający, jeżeli czynności przetwarzania wiążą się z oferowaniem towarów lub usług takim osobom, których dane dotyczą lub monitorowaniem ich zachowań.
7 zasad przetwarzania danych osobowych
W przepisach RODO sformułowanych zostało siedem zasad przetwarzania danych osobowych. Są nimi:
- Zasada zgodności z prawem, rzetelności i przejrzystości – art. 5 ust. 1 a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”)
- Zasada ograniczenia celu przetwarzania danych – art. 5 ust. 1 b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; („ograniczenie celu”)
- Zasada minimalizacji danych – art. 5 ust. 1 c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”)
- Zasada prawidłowości danych – art. 5 ust. 1 d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”)
- Zasada ograniczenia przechowania danych – art. 5 ust. e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”)
- Zasada integralności i poufności danych – art. 5 ust.1 f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”)
- Zasada rozliczalności oznacza, że administrator musi być w stanie wykazać, że podejmowane przez niego działania są zgodne z w/w zasadami
W celu sprostania wymogom przepisów rozporządzenia proponujemy Państwu usługę polegającą na wykonaniu następujących prac:
1. | Audyt zgodności z RODO, czyli weryfikacja: |
|
|
2. | Przygotowanie i/lub uzupełnienie wymaganej dokumentacji |
3. | Powołanie Inspektora Ochrony Danych Osobowych |
4. | Przeszkolenie pracowników w zakresie bezpieczeństwa i zasad przetwarzania danych zgodnie z RODO oraz obowiązku zgłoszenia naruszeń ochrony danych w ciągu 72 godzin. |
Kontakt: kontakt@kompix.pl, tel. 94 340 49 49 wew. *29, kom. 602 585 375
Krótkie Vademecum
Konwencja 108
Najstarszym aktem prawnym o zasięgu międzynarodowym, kompleksowo regulującym zagadnienia związane z ochroną danych osobowych jest Konwencja Rady Europy Nr 108 z dnia 28 stycznia 1981 r. o Ochronie Osób w Związku z Automatycznym Przetwarzaniem Danych Osobowych.
Konwencja ta nałożyła na kraje członkowskie zobowiązanie stworzenia ustawodawstwa w zakresie ochrony danych osobowych, wskazując jednocześnie, w jakim kierunku ustawodawstwo to ma zmierzać.
Celem Konwencji jest zapewnienie, na obszarze państw członkowskich, każdemu – niezależnie od obywatelstwa i zamieszkania – ochrony jego praw i wolności, a w szczególności prawa do poszanowania sfery osobistej, w związku z automatycznym przetwarzaniem danych osobowych. Konwencja określiła minimalny zakres tych praw i skorelowanych z nimi obowiązków. Konwencja weszła w życie 1 października 1985 r.
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady
Efektem prac nad ochroną danych osobowych było wydanie Dyrektywy Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/EC) w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu tych danych. Termin na jej implementację do porządków prawnych państw członkowskich wyznaczono na 23 października 1998 r.
Dyrektywa przyjęła bardzo szerokie rozumienie pojęcia danych osobowych oraz przetwarzania danych. Danymi osobowymi określiła wszystkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przetwarzaniem zaś określiła wszystkie – wymieniając je – operacje dokonywane na danych osobowych. Wprowadziła katalog minimalnych praw służących osobom, których dane są zbierane. Ich naruszenie miałoby skutkować możliwością dochodzenia tych praw na drodze sądowej. Dopuszczalność przetwarzania danych została uzależniona od woli (zgody) osoby, której dotyczą dane osobowe. Przewidziano jednak zamknięty katalog sytuacji, gdy jest to możliwe, bez takiej zgody. Dyrektywa wyodrębnia grupę danych osobowych tzw: “sensytywnych”;. W przypadku ich przetwarzania wymagana jest zgoda wyrażona na piśmie. Odrębnie potraktowano też dane dotyczące “skazań kryminalnych”;, które mogą być przetwarzane jedynie przez podmioty publiczne. Sprecyzowano, kiedy możliwe jest odstępstwo od zasady zakazu przetwarzania takich danych. Jednocześnie, zgodnie z Dyrektywą, dane mogą być wykorzystywane wyłącznie zgodnie z celem, dla którego zostały zgromadzone. Dyrektywa wprowadziła obowiązek informowania osoby o zasadach przetwarzania jej danych, przed ich zgromadzeniem. Może ona sprzeciwić się przetwarzaniu swoich danych, jeśli tylko posiada w tym uzasadniony cel. Każda osoba, której dane już znalazły się w zbiorze ma prawo dowiedzieć się o zasady ich przetwarzania, począwszy od możliwości ustalenia informacji o administratorze, skończywszy na ustaleniu treści tych danych. Dyrektywa wprowadziła też prawo kontroli danych osobowych przez osobę, której one dotyczą, w tym prawo wniesienia sprzeciwu przeciwko przetwarzaniu danych. Osobie, która poniosła szkodę wynikającą z przetwarzania danych niezgodnie z Dyrektywą przysługuje, zgodnie z Dyrektywa, odszkodowanie. Jedną z najważniejszych, wprowadzonych Dyrektywą, regulacji jest kwestia przekazywania danych osobowych do krajów trzecich (jest to możliwe wtedy, gdy kraj docelowy zapewnia odpowiedni poziom ochrony).
Ponadto, Dyrektywa przewidziała powołanie Krajowych Organów Nadzorczych. Ich zadaniem jest monitorowanie przestrzegania Dyrektywy. Także, na podstawie art. 29 Dyrektywy, powołana została Grupa Robocza ds. Ochrony Danych. W jej skład wchodzą przedstawiciele Krajowych Organów Nadzorczych oraz przedstawiciel Komisji Europejskiej Wspólnoty Gospodarczej. Jej celem jest przyczynianie się do jednolitego stosowania Dyrektywy w krajach członkowskich, opiniowanie istniejącego poziomu ochrony danych w różnych krajach oraz opiniowanie unijnych aktów normatywnych z zakresu ochrony prywatności, na potrzeby Komisji UE. Dyrektywa przewidziała też powołanie Komitetu Doradczego, złożonego z przedstawicieli krajów członkowskich. Jego zadaniem jest projektowanie i opiniowanie nowych aktów normatywnych z zakresu uregulowanego Dyrektywą.
Konstytucja Rzeczypospolitej Polskiej
Pierwsze gwarancje ochrony danym osobowym zapewniła w Polsce nowa Konstytucja z 1997r. Jej art. 47 zagwarantował obywatelom prawo do prywatności, a art. 51 – każdej osobie – prawo do ochrony dotyczących jej informacji.
Jednakże z międzynarodowych zobowiązań Polski, związanych z akcesją do Unii Europejskiej, wynikła konieczność zapewnienia ochrony danym osobowych takiej, jaką na swoim terytorium, zapewniały państwa Unii. Wszystkie ustawy europejskie wzorowane były lub dostosowano do Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady.
Ustawa o ochronie danych osobowych
Zasady ochrony danych ustanowione Dyrektywą 95/46/EC wprowadzone zostały do polskiego porządku prawnego ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). Ustawa o ochronie danych osobowych wprowadziła szczegółowe normy służące ochronie danych osobowych w Polsce, a do dnia 1 maja 2004 r., czyli wstąpienia Polski do Unii Europejskiej, przeniosła do polskiego porządku prawnego wszystkie zasady określone w Dyrektywie 95/46/WE Parlamentu Europejskiego i Rady. Przepisy ustawy obowiązują od dnia 30 kwietnia 1998r.
Ustawa określa zasady, jakie należy stosować przy przetwarzaniu danych osobowych, precyzuje prawa i obowiązki organów, instytucji i osób prowadzących zbiory danych osobowych oraz prawa osób, których dane dotyczą, w taki sposób, aby zagwarantować maksymalną ochronę praw i wolności każdej osobie fizycznej oraz poszanowania jej życia prywatnego. Wśród obowiązków dysponentów danych osobowych znajduje się ich zabezpieczenie przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem, czyli takie zorganizowanie postępowania z danymi osobowymi i użycie takich środków technicznych, aby zapewniły one ochronę odpowiednią do zagrożeń i kategorii wykorzystywanych danych. Obowiązki odnośnie zabezpieczenia danych określone są w rozdziale 5 ustawy oraz rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Ustawa w sposób bardzo precyzyjny określa zasady udostępniania danych. Udostępnianie danych osobowych (poza tymi, które objęte zostały szczególną ochroną), w celu włączenia do zbioru, jest możliwe po spełnieniu jednego z warunków określonych w art. 23 ust. 1 ustawy. Jednym, ale nie jedynym, z tych warunków jest zgoda osoby. Dane można wykorzystywać także, gdy jest to niezbędne dla zrealizowania uprawnienia, bądź spełnienia obowiązku wynikającego z przepisu prawa, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną, dla dobra publicznego, i też wtedy, gdy jest to konieczne do realizacji prawnie usprawiedliwionego celu administratora danych. Istotne jest przy tym, że wystarczające jest spełnienie jednego z powyższych warunków, by dane można było udostępnić. Jeśli zaś o udostępnienie danych występuje pojedyncza osoba -tę sytuację ustawa określa jako “udostępnienie danych w celu innym niż włączenie do zbioru” -zastosowanie znajduje art. 29 ustawy, zgodnie z którym zachodzi w takim przypadku konieczność złożenia pisemnego, umotywowanego wniosku. W uzasadnieniu osoba lub podmiot zwracający się o dane musi wskazać przepis prawa, który upoważnia ją do posiadania tych danych, lub wykazać potrzebę ich posiadania, przy czym udostępnienie danych nie może w takim przypadku naruszać praw i wolności osób, których one dotyczą. W sposób szczególny w ustawie potraktowane zostały dane ujawniające pochodzenie rasowe i etniczne, poglądy polityczne, przekonania religijne i filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualny, dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Ich przetwarzanie jest zabronione chyba, że zachodzi jedna z sytuacji wymienionych w art. 27 ust. 2 ustawy. Gdy o dane występuje pojedyncza osoba – czyli w celu innym niż włączenie do zbioru – można je udostępnić jedynie wtedy, gdy podmiot zwracający się o nie jest do tego upoważniony przez przepisy prawa. Jeśli takich przepisów nie ma, nie jest możliwe udostępnienie danych szczególnie chronionych, chociażby osoba zwracająca się o nie jak najbardziej uwiarygodniała potrzebę ich posiadania. Od 1 maja 2004 r., czyli od wejścia Polski do Unii Europejskiej, przekazywanie danych pomiędzy Polską a krajami należącymi do Unii Europejskiej podlega takim zasadom jak na terytorium Polski, natomiast zasady przekazywania danych poza terytorium Europejskiego Obszaru Gospodarczego uregulowane są w rozdziale 7 ustawy o ochronie danych osobowych, zgodnie z którym przekazanie może nastąpić, gdy państwo trzecie gwarantuje na swoim terytorium ochronę danych osobowych przynajmniej taką, jaka obowiązuje na terytorium Rzeczypospolitej Polskiej, ale też w innych szczególnych sytuacjach wymienionych w ust. 2 i 3 art. 47 ustawy o ochronie danych osobowych. Jeśli żadna z tych szczególnych sytuacji nie ma miejsca, do państwa trzeciego dane można przekazać również po uzyskaniu zgody Generalnego Inspektora, ale wtedy administrator musi zapewnić zabezpieczenie ochrony prywatności, praw i wolności osób, których dane dotyczą.
Źródło: www.giodo.gov.pl
RODO – ważne pojęcia związane z RODO
Dane osobowe
- wg art. 4 ust. 1 RODO – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
- wg art. 4 ust. 1 –możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak:
- imię i nazwisko,
- numer identyfikacyjny,
- dane o lokalizacji,
- identyfikator internetowy
- jeden bądź kilka szczególnych czynników określających: fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
- dane osobowe dzielą się na zwykłe oraz „zaliczające się do szczególnej kategorii danych” (dawniej nazywało się je „danymi wrażliwymi), czyli np. te dotyczące pochodzenia, religii, światopoglądu, zdrowia, seksualności itp.
Dla lepszego zrozumienia definicji danych osobowych, zerknijmy do dokumentu źródłowego i zacytujmy treść RODO:
- motyw 30 preambuły – „osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawieniem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i identyfikowania tych osób”
- motyw 26 preambuły – „Aby stwierdzić, czy dana osoba jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób identyfikacji może być z uzasadnionym prawdopodobieństwem wykorzystany do identyfikacji danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebny do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny”
Zbiór danych (art. 4 pkt. 6) – oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie
Przetwarzanie (art. 4 pkt. 2) – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie
Administrator (art.4 pkt.7) – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania
Podmiot przetwarzający (art.4 pkt.8) – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora
Zgoda osoby, której dane dotyczą (art.4 pkt.11) – oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych
Naruszenie ochrony danych osobowych (art.4 pkt.12) – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych
Więcej RODO
Zobacz też program RODO-KOMPIX ANALIZATOR RYZYKA