Poniżej znajdziesz odpowiedzi na podstawowe pytania dotyczące RODO.
Czy wszyscy przedsiębiorcy powinni wdrożyć RODO?
Czy każda firma musi mieć swojego inspektora ochrony danych (IOD)?
* wszelkich instytucjach publicznych,
* każdym, kogo działalność polega na systematycznym i regularnym monitorowaniu osób na dużą skalę,
* każdym, kogo działalność obejmuje przetwarzanie tzw. danych wrażliwych na dużą skalę.
Jednocześnie każdy przedsiębiorca, niezależnie od skali działalności, może powołać IODO w ramach dbałości o wyższy standard ochrony danych osobowych w firmie.
Czy przepisy przewidują obowiązek odbycia szkolenia z RODO? Kto powinien przejść szkolenie?
W którym momencie powstaje obowiązek informacyjny?
Jeżeli natomiast zgromadziliśmy dane o osobie z innego źródła niż ona sama (np. od współpracownika, pracodawcy), spełnienie obowiązku powinno nastąpić w rozsądnym terminie, maksymalnie po miesiącu od zebrania danych, przy czym:
* jeżeli są to dane kontaktowe i mają służyć do komunikacji z tą osobą – najpóźniej przy pierwszym kontakcie z nią (np. przy wysyłaniu pierwszego maila);
* jeżeli dane planuje się ujawnić innemu podmiotowi – najpóźniej w chwili ich ujawnienia.
Czy wszystkie incydenty trzeba zgłaszać do Urzędu Ochrony Danych Osobowych?
Jeśli w przypadku określonego incydentu jest mało prawdopodobne, aby takie ryzyko występowało, to nie ma obowiązku zgłaszania go do Urzędu Ochrony Danych Osobowych. Przykładowo: jeśli zginął nam odpowiednio zaszyfrowany pendrive z kopią plików, które mamy na innym nośniku, to generalnie jest mało prawdopodobne, aby powstało zagrożenie dla osób, których dane były zapisane na pendrive’ie. Pliki nadal są dostępne na innym nośniku, nie zostały zmienione i w praktyce nikt poza nami nie jest w stanie odczytać pendrive’a.
Czy otrzymanie wiadomości e-mail od Jana Kowalskiego już stanowi przetwarzanie danych osobowych?
Czy numer ewidencyjny PESEL, numer dowodu osobistego lub numer rachunku bankowego to także dane osobowe szczególnej kategorii?
Czy nagranie utrwalone w postaci monitoringu wizyjnego to także dane osobowe?
Czy dane osobowe szczególnej kategorii wymagają wprowadzenia dodatkowej formy zabezpieczeń przed dostępem do nich osób nieupoważnionych?
Czy podmiot przetwarzający musi również zadbać o bezpieczeństwo ochrony danych osobowych, które zostały mu powierzone, czy może obowiązek ten spoczywa jedynie na administratorze danych?
Czy rzeczywiście firma powinna uzyskiwać od wszystkich zgody na każdy przypadek przetwarzania danych osobowych?
a) jest to niezbędne do wykonania umowy zawartej z osobą, której dane mamy przetwarzać albo podejmowaniem różnych działań na żądanie tej osoby przed zawarciem umowy (np. jeśli ktoś coś od nas kupił, nawet w sklepie internetowym, to nie musimy uzyskiwać zgody na przetwarzanie danych w celu zrealizowania zamówienia i dostarczenia towaru);
b) jest to niezbędne do wypełnienia obowiązku prawnego, który na nas ciąży (np. wystawienie faktury);
c) jest to niezbędne do realizacji celów wynikających z naszych prawnie uzasadnionych interesów (np. realizowanie działań marketingowych wobec naszych klientów po poinformowaniu ich o tym, że takie działania będą realizowane) – tu jednak potrzebne jest przeprowadzenie dodatkowej analizy zwanej „testem równoważenia”.
Trzeba pamiętać, że zgoda na przetwarzanie danych zawsze może zostać wycofana. Musimy sobie zadać pytanie „Co będzie, jeśli ktoś wycofa zgodę?”. Jeśli wówczas znajdziemy się w „pułapce” i nie wiemy, co zrobić, to prawdopodobnie zgoda nie jest właściwą podstawą przetwarzania danych osobowych.