Unia Europejska - Europejski Fundusz Rozwoju Regionalnego

Wróć do słownika

RODO

RODO - ogólne rozporządzenie o ochronie danych, tj. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. W Polsce RODO zaczęło być stosowane 25 maja 2018 r.

RODO zmieniło zasady ochrony danych osobowych w całej Unii Europejskiej, a więc nie tylko w Polsce. Musiały się do niego dostosować także wszystkie inne podmioty działające w UE.

Na uchwalenie RODO wpłynęły takie czynniki jak:

  • postęp technologiczny, gdyż obecnie obowiązujące przepisy nie nadążają za rozwojem nowych technologii i nowymi wyzwaniami (portale społecznościowe, big data, biometria itd.),
  • stosunkowo niskie sankcje, które powodowały częste nieprzestrzeganie przepisów,
  • dostrzeżenie konieczności wzmocnienia praw osób, których dane są przetwarzane.

RODO wprowadziło szereg nowych zmian:

  • nowe obowiązki np. zmiana zakresu informacji, jakie trzeba przekazać klientowi zbierając jego dane osobowe
  • zwiększenie zakresu praw, które przysługują osobie, której dane są przetwarzane np. klient w pewnych okolicznościach może zażądać przekazania jego danych innemu podmiotowi
  • przewidywane bardzo wysokie kary finansowe za jego nieprzestrzeganie (do 20 mln EURO)

Spośród wszystkich informacji, które są danymi osobowymi można wyróżnić 3 grupy:

  • szczególne kategorie danych art 9 RODO

-dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych,

-dane genetyczne,

-dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej,

-dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

  • dane dotyczące wyroków skazujących i naruszeń prawa art.10
  • dane zwykłe

Tak ustalony podział odzwierciedla, iż pewne rodzaje danych powinny być chronione w większym stopniu, gdyż ich ewentualne naruszenie bardziej ingeruje w sferę prywatną człowieka, tzn. poczujemy mniejszy dyskomfort, jeżeli ktoś uzyska informację, że jesteśmy pracownikiem określonej Spółki, a większy w przypadku, gdy osoba nieuprawniona zapozna się z naszymi wynikami badań lekarskich. Dlatego część danych znajduje się pod wzmocniona ochroną.

Zgodnie z RODO, Administratorem danych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Inaczej mówiąc Administratorem jest podmiot, który decyduje m.in. o tym czyje dane będą zbierane, w jakich celach i w jaki sposób przetwarzane.

Zasady ogólne dotyczące wszystkich procesów przetwarzania danych osobowych, którymi musimy się kierować zawsze przetwarzając dane osobowe zostały wymienione w art. 5 RODO.

  • Zasada zgodności z prawem, rzetelności i przejrzystości - dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Każdy proces przetwarzania danych musi mieć zatem podstawę prawną (musimy spełniać warunki umożliwiające przetwarzanie danych), a także musi być prowadzony w sposób uczciwy, staranny i zrozumiały. Zasada ta ma szczególne znaczenie w odniesieniu do sposobu komunikacji z klientami – proces przetwarzania ich danych osobowych musi być bowiem dla nich jasny.
  • Zasada ograniczenia celu - dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Np. jeśli kandydat do pracy ujawnił Spółce swoje dane osobowe w celach rekrutacyjnych, nie można jego danych osobowych wykorzystać w innych celach (przykładowo marketingowych poprzez dołączenie adresu e-mail potencjalnego pracownika do bazy mailingowej). Jeśli dane zostały zebrane w określonym celu, mogą one być przetwarzane tylko w tym ściśle określonym celu. Niezgodne z RODO jest zatem założenie, iż skoro określona osoba podała nam swoje dane, możemy je już przetwarzać w dowolnych celach, w zależności od sytuacji i naszych potrzeb.
  • Zasada minimalizacji danych - dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Zasadę tę należy rozumieć jako nakaz zbierania jak największego zakresu danych (nieprawidłowe jest zbieranie danych „na zapas/na przyszłość”). Jesteśmy uprawnieni wyłącznie do zbierania tych danych, które są dla nas niezbędne bez których nie zrealizujemy określonego celu.
  • Zasada prawidłowości - dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane.
  • Zasada ograniczenia przechowywania - dane osobowe muszą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Nie możemy zatem przechowywać danych dłużej niż wynika to z przyjętych przez Spółkę wytycznych (np. instrukcji archiwizacyjnej) bądź przepisów prawa.
  • Zasada integralności i poufności – dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Istotą tej zasady jest więc obowiązek odpowiedniego zabezpieczania przetwarzanych danych. Dlatego też bardzo ważne jest przestrzeganie w bieżącej pracy obowiązujących w Spółce zasad/wytycznych dotyczących zabezpieczania danych osobowych.
  • Zasada rozliczalności – Administrator (Spółka) jest odpowiedzialny za przestrzeganie wszystkich powyższych zasad i musi być w stanie wskazać ich przestrzeganie. Inaczej mówiąc, administrator musi być w stanie udowodnić/udokumentować m.in., że przetwarza dane osobowe legalnie (np. dysponuje papierowym formularzem/skanem ze zgodą klienta na przetwarzanie jego danych osobowych).

Zgoda na przetwarzanie danych osobowych musi być więc:

  • Dobrowolna - nikt nie może nikogo zmusić do jej wyrażenia
  • Konkretna - nie może być zbyt ogólna, musi precyzyjnie wskazywać to, na co się godzimy (np. nieprawidłowe byłoby sformułowanie: „wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z przepisami” – nie wiemy bowiem, kto będzie te dane przetwarzał, w jakim celu itp.
  • Świadoma - osoba wyrażająca zgodę musi wiedzieć, na jakie działania zezwala
  • Jednoznaczna - jej treść nie może budzić wątpliwości

Administrator zbierający zgody musi być w stanie wykazać, że zostały one wyrażone np. przechowując skan podpisanego formularza bądź archiwizując zgody udzielone w formie elektronicznej.

Nad spełnieniem wymogów z zakresu ochrony danych osobowych czuwa inspektor ochrony danych tzw. IOD. Do zadań IOD należy m.in.:

  • Informowanie administratora (Spółki) oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO
  • Monitorowanie przestrzegania RODO
  • Działanie zwiększające świadomość, szkolenia, audyty
  • Współpraca z organem nadzorczym (GIODO / Urząd Ochrony Danych Osobowych).

Wymagania, które musi spełniać IOD oraz jego status:

  • Obowiązkiem administratora (Spółki) jest włączanie IOD we wszystkie sprawy dotyczące ochrony danych osobowych (IOD musi być informowany o wszystkich procesach związanych np. z pozyskiwaniem danych osobowych)
  • Inspektor ochrony danych nie może otrzymywać instrukcji dotyczących wykonywania swoich zadań (jest niezależny)
  • Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora
  • Osoby, których dane dotyczą (np. pracownicy, klienci), mogą kontaktować się z IOD we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych
  • Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań.

OPRACOWANIE: Monika Czekaj

Jesteś ekspertem kredytowym?