Poniżej znajdziesz odpowiedzi na podstawowe pytania dotyczące RODO.
Czy wszyscy przedsiębiorcy powinni wdrożyć RODO?
Tak. „Zgodnym z RODO” musi być każdy, kto przetwarza dane osobowe (czyli np. je zbiera) i kto wykorzystuje je w swojej działalności gospodarczej – niezależnie od tego, czy jest to jednoosobowa firma, czy spółka licząca kilkuset pracowników.
Jedynym wyjątkiem jest aktywność czysto osobista lub domowa – na przykład przechowywanie korespondencji prywatnej lub prowadzenie notatnika z adresami.
Czy każda firma musi mieć swojego inspektora ochrony danych (IOD)?
Prawny obowiązek wyznaczenia IODO spoczywa na:
* wszelkich instytucjach publicznych,
* każdym, kogo działalność polega na systematycznym i regularnym monitorowaniu osób na dużą skalę,
* każdym, kogo działalność obejmuje przetwarzanie tzw. danych wrażliwych na dużą skalę.
Jednocześnie każdy przedsiębiorca, niezależnie od skali działalności, może powołać IODO w ramach dbałości o wyższy standard ochrony danych osobowych w firmie.
* wszelkich instytucjach publicznych,
* każdym, kogo działalność polega na systematycznym i regularnym monitorowaniu osób na dużą skalę,
* każdym, kogo działalność obejmuje przetwarzanie tzw. danych wrażliwych na dużą skalę.
Jednocześnie każdy przedsiębiorca, niezależnie od skali działalności, może powołać IODO w ramach dbałości o wyższy standard ochrony danych osobowych w firmie.
Czy przepisy przewidują obowiązek odbycia szkolenia z RODO? Kto powinien przejść szkolenie?
Szkolenie z RODO ma prowadzić do zapoznania się z zasadami ochrony danych osobowych w firmie lub urzędzie. Jest ono jednym z podstawowych sposobów na zapewnienie danym właściwego stopnia bezpieczeństwa. Im więcej osób w organizacji wie, jak postępować z danymi, tym lepiej są one chronione.
Szkolenie powinna przejść każda osoba, która wykorzystuje dane osobowe w codziennej pracy.
W którym momencie powstaje obowiązek informacyjny?
Jeżeli zbieramy dane o osobie od niej samej (np. do wykonania usługi niezbędne jest wypełnienie przez nią formularza), to obowiązek informacyjny powinniśmy spełnić w chwili pozyskania od niej danych.
Jeżeli natomiast zgromadziliśmy dane o osobie z innego źródła niż ona sama (np. od współpracownika, pracodawcy), spełnienie obowiązku powinno nastąpić w rozsądnym terminie, maksymalnie po miesiącu od zebrania danych, przy czym:
* jeżeli są to dane kontaktowe i mają służyć do komunikacji z tą osobą – najpóźniej przy pierwszym kontakcie z nią (np. przy wysyłaniu pierwszego maila);
* jeżeli dane planuje się ujawnić innemu podmiotowi – najpóźniej w chwili ich ujawnienia.
Jeżeli natomiast zgromadziliśmy dane o osobie z innego źródła niż ona sama (np. od współpracownika, pracodawcy), spełnienie obowiązku powinno nastąpić w rozsądnym terminie, maksymalnie po miesiącu od zebrania danych, przy czym:
* jeżeli są to dane kontaktowe i mają służyć do komunikacji z tą osobą – najpóźniej przy pierwszym kontakcie z nią (np. przy wysyłaniu pierwszego maila);
* jeżeli dane planuje się ujawnić innemu podmiotowi – najpóźniej w chwili ich ujawnienia.
Czy wszystkie incydenty trzeba zgłaszać do Urzędu Ochrony Danych Osobowych?
Nie. Zgłoszeniu Urzędowi podlegają tylko takie incydenty, które mogą powodować ryzyko dla osób, których dane były objęte incydentem (np. straty finansowe, kradzież tożsamości, ośmieszenie, wykluczenie społeczne itp.).
Jeśli w przypadku określonego incydentu jest mało prawdopodobne, aby takie ryzyko występowało, to nie ma obowiązku zgłaszania go do Urzędu Ochrony Danych Osobowych. Przykładowo: jeśli zginął nam odpowiednio zaszyfrowany pendrive z kopią plików, które mamy na innym nośniku, to generalnie jest mało prawdopodobne, aby powstało zagrożenie dla osób, których dane były zapisane na pendrive’ie. Pliki nadal są dostępne na innym nośniku, nie zostały zmienione i w praktyce nikt poza nami nie jest w stanie odczytać pendrive’a.
Jeśli w przypadku określonego incydentu jest mało prawdopodobne, aby takie ryzyko występowało, to nie ma obowiązku zgłaszania go do Urzędu Ochrony Danych Osobowych. Przykładowo: jeśli zginął nam odpowiednio zaszyfrowany pendrive z kopią plików, które mamy na innym nośniku, to generalnie jest mało prawdopodobne, aby powstało zagrożenie dla osób, których dane były zapisane na pendrive’ie. Pliki nadal są dostępne na innym nośniku, nie zostały zmienione i w praktyce nikt poza nami nie jest w stanie odczytać pendrive’a.
Czy otrzymanie wiadomości e-mail od Jana Kowalskiego już stanowi przetwarzanie danych osobowych?
Tak. Wszelkie operacja dokonywane na danych osobowych stanowią ich przetwarzanie, zatem również dostęp do nich.
Czy numer ewidencyjny PESEL, numer dowodu osobistego lub numer rachunku bankowego to także dane osobowe szczególnej kategorii?
Nie. Są to dane zwykłej kategorii. Choć ich przetwarzanie może wiązać się z wyższym ryzykiem, to jednak formalnie nadal są to dane zwykłe.
Czy nagranie utrwalone w postaci monitoringu wizyjnego to także dane osobowe?
Tak, wizerunek stanowi również przykład zwykłych danych osobowych i podlega ochronie.
Czy dane osobowe szczególnej kategorii wymagają wprowadzenia dodatkowej formy zabezpieczeń przed dostępem do nich osób nieupoważnionych?
Tak. Dane osobowe szczególnej kategorii powinny posiadać dodatkowy poziom zabezpieczeń, np. być przechowywane w dodatkowo wzmocnionej szafie, zamykanej na klucz, a dostęp osób upoważnionych powinien być ograniczony oraz prowadzony rejestr wydawania dokumentów.
Czy podmiot przetwarzający musi również zadbać o bezpieczeństwo ochrony danych osobowych, które zostały mu powierzone, czy może obowiązek ten spoczywa jedynie na administratorze danych?
Zgodnie z art. 28 ust. 1 RODO podmiot przetwarzający musi również zapewnić wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego Rozporządzenia i chroniło prawa osób, których dane dotyczą.
Czy rzeczywiście firma powinna uzyskiwać od wszystkich zgody na każdy przypadek przetwarzania danych osobowych?
Absolutnie nie. Zgoda na przetwarzanie danych osobowych to tylko jedna z podstaw przetwarzania danych. Stosuje się ją wyjątkowo – wtedy, kiedy nie można zastosować żadnej innej podstawy. Dane osobowe firma można przetwarzać np. wówczas, gdy:
a) jest to niezbędne do wykonania umowy zawartej z osobą, której dane mamy przetwarzać albo podejmowaniem różnych działań na żądanie tej osoby przed zawarciem umowy (np. jeśli ktoś coś od nas kupił, nawet w sklepie internetowym, to nie musimy uzyskiwać zgody na przetwarzanie danych w celu zrealizowania zamówienia i dostarczenia towaru);
b) jest to niezbędne do wypełnienia obowiązku prawnego, który na nas ciąży (np. wystawienie faktury);
c) jest to niezbędne do realizacji celów wynikających z naszych prawnie uzasadnionych interesów (np. realizowanie działań marketingowych wobec naszych klientów po poinformowaniu ich o tym, że takie działania będą realizowane) – tu jednak potrzebne jest przeprowadzenie dodatkowej analizy zwanej „testem równoważenia”.
Trzeba pamiętać, że zgoda na przetwarzanie danych zawsze może zostać wycofana. Musimy sobie zadać pytanie „Co będzie, jeśli ktoś wycofa zgodę?”. Jeśli wówczas znajdziemy się w „pułapce” i nie wiemy, co zrobić, to prawdopodobnie zgoda nie jest właściwą podstawą przetwarzania danych osobowych.
a) jest to niezbędne do wykonania umowy zawartej z osobą, której dane mamy przetwarzać albo podejmowaniem różnych działań na żądanie tej osoby przed zawarciem umowy (np. jeśli ktoś coś od nas kupił, nawet w sklepie internetowym, to nie musimy uzyskiwać zgody na przetwarzanie danych w celu zrealizowania zamówienia i dostarczenia towaru);
b) jest to niezbędne do wypełnienia obowiązku prawnego, który na nas ciąży (np. wystawienie faktury);
c) jest to niezbędne do realizacji celów wynikających z naszych prawnie uzasadnionych interesów (np. realizowanie działań marketingowych wobec naszych klientów po poinformowaniu ich o tym, że takie działania będą realizowane) – tu jednak potrzebne jest przeprowadzenie dodatkowej analizy zwanej „testem równoważenia”.
Trzeba pamiętać, że zgoda na przetwarzanie danych zawsze może zostać wycofana. Musimy sobie zadać pytanie „Co będzie, jeśli ktoś wycofa zgodę?”. Jeśli wówczas znajdziemy się w „pułapce” i nie wiemy, co zrobić, to prawdopodobnie zgoda nie jest właściwą podstawą przetwarzania danych osobowych.
Czy zawsze muszę przekazać petentowi dane kontaktowe do inspektora ochrony danych osobowych, jeśli mnie o to poprosi?
Tak. Na podstawie artykułu 38 ust. 4 RODO osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy Rozporządzenia.
Czy inspektor może otrzymywać od administratora instrukcje dotyczące wykonywania swoich zadań?
Nie. Inspektor ochrony danych osobowych jest w swoich zadaniach niezależny i nie może być odwoływany ani karany przez administratora za wypełnianie swoich obowiązków. Musi być obiektywny, a dodatkowo pełnić swoją funkcję z należytą starannością.
Kiedy należy przestawić kandydatom do pracy oraz przyszły uczniom klauzulę informacyjną?
Dokument stanowiący zasady przetwarzania danych osobowych należy przedstawić w momencie uzyskiwania danych osobowych od kandydatów czy uczniów. Jednakże, jeżeli w danym momencie jest to niewykonalne, należy tego dokonać przy pierwszej możliwej okazji.
Placówki oświatowe
z bloga: