RODO - informacje ogólne

Rozporządzenie o Ochronie Danych Osobowych - RODO

Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego ich przepływu.

Wstęp

RODO lub Ogólne Rozporządzenie o Ochronie Danych Osobowych, to Rozporządzenie Parlamentu Europejskiego i Rady UE nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego ich przepływu oraz uchylenia dyrektywy 95/46/WE.

Kwestie dotyczące ochrony danych osobowych zostały uregulowane w postaci rozporządzenia, a nie dyrektywy, aby nie trzeba było implementować tego prawa na gruncie praw krajowych poszczególnych krajów.

Rozporządzenie zacznie obowiązywać od 25 maja 2018 r.

Dane osobowe

Definicja

Dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Brak definicji zidentyfikowanej osoby fizycznej. Przyjmowane jest, że chodzi o osobę, której tożsamość jest znana i nie trzeba przeprowadzać jej identyfikacji.

Osobą fizyczną możliwą do zidentyfikowania jest taka osoba, której tożsamości nie znamy, ale możemy poznać, korzystając z dostępnych środków.

Art. 4 ust. 1 Rozporządzenia mówi:

„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Preambuła nr 26 Rozporządzenia:

Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.

Osoby prawne (przedsiębiorcy) nie mają danych osobowych.

Kategorie danych osobowych

Wyróżnia się dwie kategorie danych osobowych:

  • dane osobowe zwykłe,
  • dane osobowe zaliczające się do szczególnej kategorii danych (dane wrażliwe): pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne itp.

Okres przechowywania danych osobowych

Dane osobowe nie powinny być przechowywane w nieskończoność, bez ograniczenia czasowego.

Jeżeli podstawą przetwarzania danych osobowych jest zgoda, wówczas można je przetwarzać tak długo, aż zgoda nie zostanie odwołana. Po odwołaniu zgody, przez okres odpowiadający okresowi przedawnienia roszczeń, jakie może podnosić administrator danych i jakie mogą być podnoszone wobec administratora danych. Obecnie okres ten wynosi 10 lat.

Jeżeli podstawą przetwarzania danych jest wykonywanie umowy, wówczas dane mogą być przetwarzane tak długo, jak jest to niezbędne do wykonania umowy, a po tym czasie przez okres czasu odpowiadający okresowi przedawnienia roszczeń, jakie może podnosić administrator danych i jakie mogą być podnoszone wobec administratora danych. W przypadku przedsiębiorców ten okres czasu co do zasady wynosi nie dłużej, niż 3 lata i różni się w zależności od tego, jakiej umowy dotyczyło przetwarzanie danych.

Jeżeli istnieją przepisy szczególne określające czas, przez jaki powinny być przechowywane dane osobowe, wówczas takie przepisy mogą wydłużać lub skracać czas przetwarzania danych osobowych (np. przepisy o rachunkowości nakazują przechowywać dowody księgowe przez 5).

Podstawa prawna - art. 5 ust 1 pkt e) Rozporządzenia.

Przetwarzanie danych osobowych

Definicje

Przetwarzaniem danych osobowych są jakiekolwiek operacje wykonywane na danych osobowych, takie jak:

  • zbieranie danych,
  • przechowywanie danych,
  • usuwanie danych,
  • opracowywanie danych,
  • udostępnianie danych.

Art. 4 ust. 2 Rozporządzenia mówi:

„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

Kategorie podmiotów przetwarzających dane osobowe:

  • administrator danych osobowych - decyduje o celach (po co) i sposobach (jak) przetwarzania danych,
  • podmiot przetwarzający dane osobowe - działa na podstawie umowy z administratorem, nie decyduje o celach i środkach przetwarzania.

Podmiot przetwarzający dane na zlecenie zawiera z administratorem tzw. umowę powierzenia, w której określone są zasady przetwarzania danych.

Art. 4 ust. 7 definiuje administratora danych:

„administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania; Art. 4 ust 8 definiuje podmiot przetwarzający: „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

Upoważnienie do przetwarzania danych osobowych

W danej organizacji, dane osobowe faktycznie przetwarzają konkretne osoby fizyczne – pracownicy lub współpracownicy administratora lub podmiotu przetwarzającego dane. Takie osoby powinny posiadać upoważnienie do przetwarzania danych osobowych.

Upoważnienie do przetwarzania danych osobowych wystawia administrator danych osobowych oraz podmiot przetwarzający dane. Zarejestrowane upoważnienie powinno zawierać (na podstawie obecnej ustawy o ochronie danych osobowych; RODO nie zawiera takich wytycznych):

  • imię i nazwisko osoby upoważnionej,
  • datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
  • identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Administrator oraz podmiot przetwarzający dane prowadzą ewidencję osób, które zostały upoważnione do przetwarzania danych osobowych.

Art. 29 Rozporządzenie mówi o przetwarzaniu z upoważnienia administratora lub podmiotu przetwarzającego:

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

Podstawa przetwarzania danych osobowych

Dane osobowe można przetwarzać wyłącznie wtedy, gdy istnieje odpowiednia podstawa prawna.

Podstawą przetwarzania danych osobowych może być:

  • zgoda osoby na przetwarzanie swoich danych w jednym lub większej liczbie określonych celów,
  • wykonanie umowy, której stroną jest osoba lub podjęcie działań na żądanie osoby przed wykonaniem umowy,
  • obowiązek prawny ciążący na administratorze danych osobowych,
  • wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowanej władzy publicznej powierzonej administratorowi,
  • cele wynikające z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Administrator danych powinien móc wykazać, że dysponuje odpowiednią podstawą prawną przetwarzania danych. Jest to jego prawny obowiązek wynikając z tzw. zasady rozliczalności (art. 6 i 9 Rozporządzenia).

Minimalizacja danych osobowych

Zgodnie z zasadą minimalizacji danych osobowych, można przetwarzać wyłącznie takie dane osobowe, które są niezbędne do osiągnięcia celu ich przetwarzania (art. 5 ust. 1 pkt c).

Zgoda na przetwarzanie danych osobowych

Zgoda na przetwarzanie danych osobowych musi dotyczyć konkretnego celu, być dobrowolna, świadoma i jednoznaczna. Formularz zgody musi być wyrażony jasnym i czytelnym językiem (art. 6 Rozporządzenia).

Zgody muszą być ewidencjonowane, aby w razie skargi osoby fizycznej administrator mógł wykazać, że rzeczywiście wyraziła ona zgodę.

Osoba ma prawo w dowolnym momencie wycofać udzieloną zgodę. Od tego momentu administrator musi zaprzestać przetwarzania jego danych w celu, o którym mówiła zgoda (chyba, że jest inna podstawa prawna przetwarzania w określonym celu).

Podczas zbierania zgody na przetwarzanie danych osobowych należy przekazać szereg informacji (art. 6, art. 12 i 13 Rozporządzenia):

  • o tożsamości administratora danych i o jego danych kontaktowych,
  • jeżeli administrator powołał Inspektora Ochrony Danych (IOD) - o danych kontaktowych IOD,
  • o celach i podstawie przetwarzania danych,
  • o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
  • o okresie czasu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
  • o prawie do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, wniesienia sprzeciwu, a także o prawie do przenoszenia danych,
  • o prawie do cofnięcia zgody,
  • o prawie do wniesienia skargi do organu nadzorczego.

Odwołanie zgody na przetwarzanie danych

Zgoda na przetwarzanie danych osobowych może być odwołana w każdej chwili. Jej odwołanie powinno być równie proste, jak jej udzielenie. Odwołanie zgody wywołuje wyłącznie skutki na przyszłość - wszystkie te czynności, które opierały się na zgodzie i miały miejsce wcześniej pozostają ważne (art.7 ust. 3 Rozporządzenia).

Kiedy nie trzeba zbierać zgody na przetwarzanie danych

Zgoda na przetwarzanie danych nie jest potrzebna w przypadkach:

  • przetwarzanie danych jest niezbędne do wykonania umowy,
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (np. przetwarzanie w celach związanych z prowadzeniem ksiąg rachunkowych nie wymaga zgody osób, których dane dotyczą, a jego podstawą są przepisy o rachunkowości),
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (np. skierowanie do sądu pozwu o zapłatę).

Podstawa prawna: art. 6, 12 i 13 Rozporządzenia (i inne ustawy).

Profilowanie

Profilowanie to szczególny rodzaj przetwarzania danych osobowych, który:

  • odbywa się w sposób automatyczny,
  • ma na celu ocenę osoby fizycznej lub przewidywanie jej zachowania.

Profilowanie najczęściej jest wykorzystywane jako narzędzie do automatycznego podejmowania decyzji wobec osób, których dane dotyczą. Jeżeli te decyzje wywołują skutki prawne wobec osób, których dane dotyczą, lub w podobny istotny sposób wpływa na te osoby, można taki mechanizm stosować wyłącznie wtedy, gdy spełniony jest jeden z następujących warunków:

  • osoba profilowana wyrazi na to wyraźną zgodę,
  • profilowanie jest niezbędne do zawarcia lub wykonywania umowy z tą osobą,
  • profilowanie jest dopuszczalne przez szczególne przepis prawa.

Katalog zasad przetwarzania danych osobowych

Wprowadzony w celu zapewnienia spójnej i jednolitej ochrony prywatności osób, których dane są przetwarzane. Są to następujące zasady:

  • zgodność z prawem - każdy proces przetwarzania danych musi opierać się na co najmniej jednej podstawie prawnej wskazanej w Rozporządzeniu,
  • rzetelność i prawidłowość danych - administrator danych musi zapewnić, że zgromadzone dane osobowe są poprawne i aktualne, a ich przetwarzanie przebiega bez zakłóceń,
  • ograniczenie celu - dane osobowe mogą być zbierane jedynie w konkretnym celu, wyraźnym i prawnie uzasadnionym (cel przetwarzania musi być określony w momencie ich pozyskiwania),
  • minimalizacja danych - zakres pozyskiwanych danych musi być adekwatny i ograniczony do minimum niezbędnego do realizacji wskazanego celu,
  • integralność - administrator danych osobowych ma obowiązek zapewnienia, aby przetwarzanie danych gwarantowało odpowiedni poziom bezpieczeństwa (dane nie mogą być zmodyfikowane, usunięte lub zniszczone w sposób nieautoryzowany),
  • poufność - zapewnienie, że dane osobowe nie są udostępniane lub ujawniane nieautoryzowanym podmiotom czy procesom,
  • rozliczalność - wymaga wdrożenia odpowiednich procedur i prowadzenia rzetelnej dokumentacji, które pozwolą wykazać fakt spełniania przewidzianych Rozporządzeniem wymogów (zasada ta jest ściśle powiązana z obowiązkiem notyfikowania organu nadzorczego o stwierdzeniu naruszeń danych osobowych),
  • przejrzystość - wszelkie informacje kierowane do osób fizycznych muszą być formułowane językiem prostym i przejrzystym.

Organizacja przetwarzania danych

Organizacja przetwarzania danych i jego zabezpieczenie to domena administratora danych osobowych i podmiotów przetwarzających.

Zabezpieczenie danych osobowych

W Rozporządzeniu nie ma wskazanych konkretnych środków zabezpieczenia danych osobowych, które powinny być wdrożone przez administratora lub podmiot przetwarzający. Zamiast tego jest podejście oparte na ryzyku, które sprowadza się do tego, że każdy podmiot przetwarzający dane osobowe powinien samodzielnie określić, jakie konkretnie środki zabezpieczenia danych należy wdrożyć. Dobór środków zabezpieczenia powinien być oparty o:

  • charakter, zakres, kontekst i cele przetwarzania,
  • ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia,
  • stan wiedzy technicznej,
  • koszt wdrażania.

Każdy podmiot przetwarzający dane osobowe powinien więc:

  • ustalić, jakie dane osobowe, w jakim charakterze, po co i w jakim środowisku przetwarza,
  • określić ryzyko naruszenia praw lub wolności osób fizycznych związane z takim przetwarzaniem,
  • dobrać odpowiednie środki zabezpieczenia danych, uwzględniając istniejące możliwości techniczne i własne możliwości finansowe.

Rozporządzenie wskazuje przykładowe środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa odpowiadający ryzyku. Są nimi w szczególności:

  • pseudonimizacja i szyfrowanie danych osobowych,
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Podstawa prawna - art. 32 Rozporządzenia.

Rejestrowanie czynności przetwarzania danych

Rejestr czynności przetwarzania danych osobowych jest elementem dokumentacji ochrony danych. Obowiązek jego prowadzenia dotyczy administratora danych oraz podmiotu przetwarzającego dane.

Administrator odnotowuje w rejestrze:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także, gdy ma zastosowanie - przedstawiciela administratora oraz IOD,
  • cele przetwarzania,
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
  • gdy ma zastosowanie, przekazanie danych osobowych do państwa trzeciego,
  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
  • jeżeli jest to możliwe, ogólny opis techniczny i organizacyjny środków bezpieczeństwa danych.

Podmiot przetwarzający dane odnotowuje w rejestrze:

  • imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający,
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
  • gdy ma zastosowanie, przekazanie danych osobowych do państwa trzeciego,
  • jeżeli jest to możliwe, ogólny opis techniczny i organizacyjny środków bezpieczeństwa danych.

Rejestr może być prowadzony w formie pisemnej bądź w postaci elektronicznej.

Na podstawie art. 30 Rozporządzenia.

Informacje przekazywane podczas pozyskiwania danych osobowych

Art. 13 Rozporządzenia określa informacje, które zobowiązany jest podać administrator osobie fizycznej, od której pozyskuje dane osobowe.

Informowanie osoby fizycznej przez administratora nie ma zastosowania, gdy osoba fizyczna już dysponuje tymi informacjami.

Art. 14 określa informacje podawane przez administratora osobie fizycznej, której dane dotyczą, w przypadku, gdy nie są one pozyskiwane bezpośrednio od tej osoby.

W obydwu artykułach mowa jest o ‘’’kategorii danych osobowych’’’. Należy przez nią rozumieć rodzaj danych osobowych, np. imię, nazwisko, adres, rasa, pochodzenie itp. ([ https://www.poradyodo.pl/administracja-publiczna/czym-sa-kategorie-danych-osobowych-wedlug-rodo-8385.html na podstawie]).

Inspektor Ochrony Danych (IOD)

Inspektor Ochrony Danych to następca Administratora Bezpieczeństwa Informacji (ABI). Rozporządzenie nakazuje wyznaczenie IOD w pewnych przypadkach:

  • gdy dane są przetwarzane przez podmioty z sektora publicznego,
  • gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  • gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę,
  • szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących.

Ocena skutków dla ochrony danych osobowych

Zbiory danych osobowych nie podlegają obowiązkowej rejestracji, a rejestr zbiorów danych zostaje zlikwidowany. Zamiast tego Rozporządzenie wprowadza procedurę tzw. oceny skutków dla ochrony danych.

Ocena skutków dla ochrony danych to proces służący zapewnieniu i wykazaniu zgodności przetwarzania danych z Rozporządzeniem. Jest to narzędzie istotne dla celów rozliczalności. Ocena skutków jest obowiązkowa, jeżeli dochodzi do:

  • systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną,
  • przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących, lub
  • systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Obowiązek zgłaszania naruszeń ochrony danych

Podmioty przetwarzające dane osobowe mają prawny obowiązek informowania o incydentach bezpieczeństwa danych osobowych. Zgodnie z Rozporządzeniem incydent bezpieczeństwa to naruszenie ochrony danych osobowych i może polegać na:

  • naruszeniu bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem niszczenia, utracenia, zmodyfikowania danych osobowych,
  • naruszeniu bezpieczeństwa prowadzącym do nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

O wystąpieniu incydentu należy niezwłocznie poinformować organ nadzorczy (PUODO). W pewnych przypadkach należy również poinformować osoby, których dane dotyczą (np. wtedy, gdy naruszenie może powodować wysokie ryzyko naruszenia praw i wolności osoby, której dane dotyczą).

Prawo do przenoszenia danych

Prawo do przenoszenia danych, to prawo do:

  • otrzymania przez osobę, której dane dotyczą, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, danych osobowych jej dotyczących, które dostarczyła administratorowi,
  • prawo przesłania przez osobę, której dane dotyczą, danych osobowych jej dotyczących, które dostarczyła administratorowi, innemu administratorowi, bez przeszkód ze strony administratora danych.

Prawo do przenoszenia danych może być wykonane wyłącznie wtedy, gdy:

  • przetwarzanie danych odbywa się na podstawie zgody lub w celu wykonania umowy,
  • przetwarzanie danych odbywa się w sposób zautomatyzowany.

Anonimizacja i pseudonimizacja danych osobowych

Dane anonimowe to dane, które nie pozwalają na identyfikację osoby, której dotyczą. Nie podlegają one Rozporządzeniu.

Pseudonimizacja danych osobowych polega na takim ich przekształceniu, by nie można ich było przypisać konkretnej osoby. Przekształcenie powinno być odwracalne, ale potrzebne do tego informacje powinny być przechowywane osobno i zabezpieczone przed nieautoryzowanym dostępem.