Rozporządzenie RODO, choć weszło w życie prawie półtora roku temu, wciąż wywołuje wiele pytań i wątpliwości. Aby nieco przybliżyć zagadnienie ochrony danych osobowych, tym artykułem otwieramy nasz cykl #RODOpozytywni. Będziemy w nim tłumaczyć kwestie związane z RODO i innymi przepisami regulującymi przetwarzanie danych osobowych – poniższy tekst potraktuj jako wprowadzenie do tematu.
Z tego artykułu dowiesz się:
- Co to jest RODO?
- Jaki jest cel tego rozporządzenia?
- Czym są dane osobowe i jakie są rodzaje tych danych?
- Co oznacza przetwarzanie danych osobowych i jakie są zasady ich przetwarzania i udostępniania?
- Jakie kary grożą za naruszenie przepisów RODO?
Czym jest RODO?
Skrótem RODO w Polsce, a GDPR w Europie, określa się rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/94/WE (ogólne rozporządzenia o ochronie danych). To rozporządzenie weszło w życie 25 maja 2018 roku.
RODO jest dyrektywą europejską, co oznacza, że ma moc wiążącą wyłącznie co do rezultatu. To z kolei znaczy, że państwa członkowskie UE muszą wdrożyć przepisy znajdujące się w RODO, jednak mają swobodę co do sposobu ich wdrożenia. RODO nie narzuca żadnych rozwiązań technicznych i organizacyjnych. Podmioty mogą je dobierać według własnych potrzeb. To bardzo korzystne, ponieważ przepisy, które takie rozwiązania narzucają, bardzo szybko się dezaktualizują. W efekcie mogą blokować drogę do wprowadzenia lepszych rozwiązań.
Uzupełnieniem RODO w Polsce jest nowa ustawa o ochronie danych osobowych, która weszła ona w życie 10 maja 2018 roku i określa:
– podmioty publiczne, które są zobowiązane do wyznaczenia inspektora ochrony danych osobowych,
– zasady postępowania w przypadku naruszenia przepisów o ochronie danych osobowych,
– zasady kontroli przestrzegania ww. przepisów,
– odpowiedzialność cywilną za naruszenie ww. przepisów,
– odpowiedzialność karną i administracyjne kary pieniężne za naruszenie ww. przepisów.
Pamiętaj, że RODO i wyżej wymieniona ustawa to niejedyne dokumenty, regulujące przetwarzanie danych osobowych. Istnieje szereg ustaw dotyczących tego zagadnienia, o których wspomnimy w kolejnych artykułach z cyklu #RODOpozytywni, omawiając już konkretne przykłady ich zastosowania.
Jaki jest cel przepisów RODO?
Celem RODO jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych. Przepisy te dotyczą wszystkich podmiotów, które działają na terenie UE i przetwarzają te dane, niezależnie od tego, czy samo przetwarzanie danych osobowych ma miejsce na terenie UE.
W ramach RODO każda osoba fizyczna ma określone prawa. Są to:
– prawo do informacji o przetwarzaniu danych na etapie ich zbierania (art. 13 i 14),
– prawo do dostępu do danych (art. 15),
– prawo do sprostowania danych (art. 16),
– prawo do żądania usunięcia danych, nazywane też prawem do zapomnienia (art. 17),
– prawo do ograniczenia przetwarzania danych (art. 18 i 19).
Co to są dane osobowe?
Według art. 4 RODO dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Dowolna informacja o takiej osobie może stanowić dane osobowe, ale nie wszystkie dane o osobie możemy nazwać danymi osobowymi. Przykładowo, samo imię i nazwisko nie będą danymi osobowymi, ponieważ wyłącznie po tych danych nie jesteśmy w stanie zidentyfikować konkretnej osoby (wiele osób może mieć to samo imię i nazwisko). Dopiero w połączeniu z dodatkowymi informacjami, takimi jak np. adres zamieszkania, będziemy mieć do czynienia z danymi osobowymi. Mając taki komplet danych, jesteśmy w stanie dotrzeć do konkretnego człowieka.
Rodzaje danych o osobie:
– dane zwykłe – podstawowe dane o osobie, takie jak imię, nazwisko, adres zamieszkania, numer PESEL itp., których pozyskanie nie wymaga wielkiego wysiłku;
– dane biometryczne – dotyczą cech fizycznych, fizjologicznych lub behawioralnych, np. wizerunek twarzy lub odcisk palca;
– dane spseudonimizowane – dane, które są w pewien sposób zaszyfrowane, zabezpieczone przed odczytaniem, np. poprzez zamianę imienia i nazwiska na liczbę. Pseudonimizacja pomaga w ochronie danych osobowych, wciąż jednak osoby mające odpowiednią wiedzę są w stanie zidentyfikować konkretnego człowieka na podstawie tych danych;
– dane wrażliwe – to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne (przetwarzane w celu identyfikacji), dotyczące zdrowia lub orientacji seksualnej danej osoby. Dane wrażliwe same w sobie nie są danymi osobowymi, są za nie uznane dopiero w połączeniu z danymi pozwalającymi na identyfikację konkretnej osoby.
Zasady przetwarzania i udostępniania danych osobowych
Przetwarzanie danych osobowych – to operacja lub zestaw operacji wykonywany na danych osobowych, np. zbieranie, utrwalania, organizowanie, porządkowanie, adaptowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie, dopasowywanie, łączenie, ograniczanie, usuwanie, niszczenie. Zatem przetwarzanie to wszelkie możliwe czynności, które wykonuje się na danych osobowych.
Do przetwarzania danych osobowych jest upoważniony m.in. ich administrator. To w dużym skrócie właściciel zebranych danych, który decyduje o tym, co się z nimi dzieje – po co je zbiera, co z nimi robi, komu je przekazuje itp. Administratorem danych może być zarówno osoba fizyczna, jak i prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe.
Udostępnianie danych osobowych stronie trzeciej musi nastąpić na podstawie konkretnego dokumentu, np. umowy o powierzeniu danych. Taka regulacja nie jest jednak wymagana w przypadku udostępnienia danych osobowych odbiorcy będącemu np. zatrudnionym w firmie, która jest administratorem tych danych i jest upoważniony przez administratora do ich przetwarzania. W tym przypadku odbiorca nie jest tożsamy z administratorem danych osobowych.
Zasady dotyczące przetwarzania danych osobowych:
– dane muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą dane (osoba musi wiedzieć, co się stanie z jej danymi),
– dane muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach; przetwarzanie w innych celach jest zabronione – np. jeśli zbieramy dane do wysyłki newslettera o sprzęcie AGD, to nie możemy ich wykorzystywać do innego celu niż ten, np. do wysyłania ofert kredytów bankowych,
– ilość zbieranych danych musi być ograniczona do tego, co niezbędne w celu, w którym będą one przetwarzane, nie zbieramy danych nadmiarowych,
– zebrane dane muszą być prawidłowe i w razie potrzeby uaktualniane,
– dane należy przechowywać przez okres nie dłuższy, niż to konieczne do celów, w których są przetwarzane – np. po odejściu pracownika z firmy pracodawca powinien usunąć jego dane osobowe, takie jak służbowy imienny adres email, CV itp.,
– dane muszą być odpowiednio zabezpieczone przed niedozwolonym przetwarzaniem oraz zniszczeniem.
Kary za naruszenie przepisów RODO
Maksymalna kara za naruszenie przepisów o ochronie danych osobowych to 20 000 0000 euro. W przypadku przedsiębiorstw z kolei to 4% całkowitego rocznego światowego obrotu z poprzedniego roku. W przypadku organów i podmiotów publicznych ta kara wynosi do 100 tys. zł, a dla państwowych i samorządowych instytucji kultury 10 tys. zł.
