FAQ

Przegląd najczęściej zadawanych pytań dotyczących RODO

RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych). W dokumentach anglojęzycznych Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku jest określane skrótem GDPR, od angielskiej nazwy: General Data Protection Regulation.

RODO to skrót oznaczający Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (rozporządzenie ogólne o ochronie danych), który zastępuje dotychczasowa dyrektywę 95/46/WE z 1995 roku.

RODO będzie obowiązywać w każdym z krajów Unii Europejskiej.

Finalna wersja RODO dostępna jest na

Oficjalnej stronie Generalnego Inspektora Ochrony Danych Osobowych

Zapisy RODO w życie wchodzą 25 maja 2018 roku. Datę uznaje się jako ostateczną, a to oznacza, że od 25 maja br. wszystkie podmioty, które podlegają RODO, powinny być gotowe do stosowania zapisów.  

Rozporządzeniem RODO objęte są wszystkie podmioty prowadzące działalność na terytorium Unii Europejskiej, niezależnie od formy prawnej, narodowości osób, których dane osobowe są przetwarzane, czy to gdzie przetwarzane są dane (miejsce umiejscowienia serwera). Jednym zdaniem – każdy przedsiębiorca. 

Ważne: Regulacje RODO nie znajdują zastosowania w przypadku działalności osobistej i domowej, czyli w celach czysto prywatnych np.: do danych osobowych adresatów kartek świątecznych.

Dane osobowe są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osoba możliwa do zidentyfikowania to osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Pamiętajmy, że dane osobowe to informacje o osobach fizycznych. Podmioty prawne nie mają danych osobowych – ale ich pracownicy mają dane osobowe, jak każda inna osoba fizyczna.

RODO stosuje się do przetwarzania danych osobowych, czyli jakichkolwiek operacji wykonywanych na danych osobowych. W szczególności: zbieranie danych, przechowywanie, usuwanie, opracowanie, odsprzedawanie i udostępnianie podmiotom trzecim.

Dlatego zapisy rozporządzenia RODO powinni stosować wszyscy, począwszy od przedsiębiorców, których głównym profilem działalności jest przetwarzanie danych np. firmy archiwizujące jak i przedsiębiorcy, którzy przetwarzają dane osobowe przy okazji świadczenia innych usług, jak np.: pośrednicy ubezpieczeniowi, agenci biur podróży, księgowi, sklepy internetowe, zarządcy nieruchomości itp.

Podmiot przetwarzać dane może na dwa sposoby:

  • Jako administrator danych
  • lub jako podmiot przetwarzający dane.

 

Administrator danych zgodnie z art. 7 pkt 4 ustawy o ochronie danych osobowych pojęcie administrator danych osobowych oznacza organ, jednostkę organizacyjną, podmiot lub osobę decydującą o celach i środkach przetwarzania danych osobowych, są to organy i podmioty, o których mowa w art. 3 ustawy. Administrator danych to zawsze określony podmiot, a nie jego pracownik. Inaczej administratorem danych jest spółka, ale już nie jej prezes czy dyrektor marketingu.

 

Podmiotem przetwarzającym dane nazywamy natomiast podmiot lub konkretne osoby, które działają w oparciu o umowę z administratorem danych. Każdy jeden podmiot, bez wyjątku przetwarzający dane powinien bezwzględnie z administratorem danych zawrzeć tzw. umowę powierzenia, która określa dokładne zasady przetwarzania danych. Osoby przetwarzające dane zarówno w przypadku administratora danych lub podmiotu przetwarzającego dane powinny posiadać stosowne upoważnienia do przetwarzania danych osobowych.

Zgoda na przetwarzanie danych osobowych powinna być dobrowolna, konkretna, świadoma i co ważne jednoznaczna. Przy czym dobrowolność rozumie się jako sytuację, w której osoba wyrażająca zgodę dokonuje świadomego wyboru. Nie jest wprowadzana w błąd, zastraszana bądź przymuszana, a brak zgody nie niesie za sobą negatywnych konsekwencji. Zgoda musi być konkretna. W sposób konkretny wyrażać cel przetwarzania danych.

W żadnym wypadku zgoda nie może być formułowana ogólnie, bez określenia celu przetwarzania danych. Zgodę świadomą rozumie się poprzez brak jej abstrakcyjnego charakteru. Musi odnosić się do konkretu, obejmując ściśle określone dane oraz sprecyzowany sposób i cel ich przetwarzania danych. Ponad to zgoda musi być jednoznaczna i jasna dla składającego.

Definicja zgody jest dostępna na:

Stronie Internetowej GIODO

Tutaj nastąpiła istotna zmiana względem Ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Zgoda na przetwarzanie danych osobowych zgodnie z rozporządzeniem RODO nie musi być wyrażona na piśmie. Może być wyrażona w dowolnej formie np. poprzez udzielenie zgody w Internecie poprzez zaznaczenie odpowiedniego pola wyboru. Ważne aby taka zgoda była zgodą „wyraźną”.

Jedynym wymogiem jest to, aby administrator danych w każdej sytuacji, gdy zostanie podważona wiarygodność zgody lub zgłoszona wątpliwość mógł bezsprzecznie wykazać jej udzielenie.

Temat szeroki jak morze. Niemal tyle formuł ilu prawników. Pamiętajmy zgoda musi mieć formę zwięzłą, przejrzystą, jasną, klarowną, łatwo przyswajalna i napisaną prostym językiem.

Przykład:

Zgadzam się na przetwarzanie moich danych osobowych przez spółkę Bisnode Polska sp. z o. o. z siedzibą w Warszawie, ul. Plac Europejski 2, w celu kontaktów marketingowych. Podanie danych jest dobrowolne. Podstawą przetwarzania danych jest moja zgoda. Odbiorcami danych będą osoby zajmujące się działaniami marketingowymi w Bisnode Polska Sp. z o.o. Mam prawo do wycofania zgody w dowolnym momencie. Dane osobowe będą przetwarzane odwołania zgody. Mam prawo żądania od administratora pełnego i przejrzystego dostępu do moich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia skargi do organu nadzorczego. W przypadku pytań dotyczących przetwarzania danych osobowych prosimy o kontakt z Inspektorem Ochrony Danych.

Należy zwrócić uwagę, że jest to tylko przykład, a każda zgoda musi być dedykowana i przypisana do konkretnego administratora danych jak i działania. W przykładzie został jasno wskazany administrator danych, cel przetwarzania danych, odbiorcy danych, czas, przez jaki dane osobowe będą przechowywane, prawo do żądania od administratora dostępu do danych osobowych, prawo do cofnięcia zgody w dowolnym momencie, wniesienia skargi. Jeżeli zachodzi taka potrzeba i administrator danych powołał Inspektora Ochrony Danych (IOD), to należy podać także dane kontaktowe do IOD, a także zamiar przekazania danych osobowych do państwa trzeciego w każdym przypadku, gdy ma to zastosowanie.

Zgód na przetwarzanie danych nie potrzeba zbierać w przypadku kiedy przetwarzanie danych jest niezbędne do wykonania zawartej umowy. Doskonałym przykładem jest działalność handlowa. Wówczas nie musi być zgody na przetwarzanie danych osobowych, ponieważ przetwarzanie danych będzie zgodne z RODO jako niezbędne do wykonania umowy sprzedaży, np. umowy sprzedaży zawartej pomiędzy księgarnią internetową a konsumentem.

Zgody na przetwarzanie danych nie potrzeba także w przypadku kiedy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego. Także w przypadku kiedy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora danych lub przez stronę trzecią. Przykładem jest skierowanie do sądy pozwu o brak zapłaty lub niewywiązanie się z umowy przez nieuczciwego klienta.

Można odwołać zgodę na przetwarzanie danych w dowolnym momencie. Przy czym odwołanie zgody musi być tak samo łatwe i przystępne jak jej wyrażenie.

Jeśli zgody na przetwarzanie danych udzieliliśmy poprzez stronę internetową administratora, ta także odwołanie zgody powinno być możliwe poprzez stronę WWW, a nie poprzez np. wysłanie poczty papierowej.

Rozporządzenie RODO mianem „incydentu bezpieczeństwa” definiuje naruszenie bezpieczeństwa prowadzące do:przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania danych osobowych, bądź też nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.