Ochrona danych osobowych obowiązuje już od 4 lat, a wprowadziło ją i określiło zasady Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. Powszechnie jest ono znane jako Ogólne Rozporządzenie o Ochronie Danych Osobowych w UE, RODO lub GDPR. Dokument zaczął obowiązywać 25 maja 2018 roku. W jakim zakresie obowiązuje on w 2022 roku?
RODO stanowi zbiór przepisów, które mają na celu zabezpieczenie prywatności jednostek poprzez ograniczenie do minimum możliwości ich bezprawnego wykorzystania, w tym np. wycieku ich danych osobowych. W Polsce, obok RODO, wprowadzona została stawa o ochronie danych osobowych z dnia 10 maja 2018 r.
Większość instytucji i firm w celu realizacji usług dla klientów musi dysponować osobistymi informacjami na ich temat. W intensywnie rozwijającej się branży e-commerce są to jedynie dane kontaktowe czy adresowe, ale w placówkach medycznych, w zbiorach klientów i kontrahentów są gromadzone dane takie jak przykładowo PESEL, NIP czy numer konta w banku.
Wyciek tych danych osobowych stwarzałby okazję dla przestępców, zarówno do popełniania oszustw finansowych, jak i kradzieży tożsamości czy niszczenia cudzej opinii. RODO wprowadza zasady przechowywania i przetwarzania takich danych, dzięki którym te informacje są chronione i niedostępne dla osób nieupoważnionych.
Ochrona danych osobowych polega na zapewnieniu właścicielom tych danych kontroli nad ich wykorzystaniem. Dlatego dane osobowe zawsze muszą być przetwarzane na podstawie odpowiedniej do sytuacji podstawy prawnej, uprawniającej administratora do ich przetwarzania. Administrator ma w tym zakresie szereg obowiązków, począwszy od poinformowania osoby o tym, jak jej dane będą przetwarzana, co najczęściej odbywa się poprzez klauzulę informacyjną czy politykę prywatności strony internetowej. Ponadto właściciel danych ma m.in. prawo do:
Dowiedz się więcej na temat RODO u specjalistów z tej dziedziny: https://zgodnosc.pl/
Administrator danych może mieć przy przetwarzaniu danych wsparcie Inspektora Ochrony Danych (IOD).
Osoba na takim stanowisku przede wszystkim pełni rolę doradcy, służąc pomocą zarówno pracownikom, jak i administratorowi danych w przestrzeganiu obowiązujących zasad. IOD jest osobą niezależną i nie przyjmuje poleceń ani nie wykonuje czynności narzuconych przez administratora. IOD ma w szczególności za zadanie:
IOD może być zatrudniony bezpośrednio w firmie lub być osobą z zewnątrz, a wybór tej drugiej opcji może dodatkowo zwiększyć obowiązkową niezależność Inspektora Ochrony Danych. Rolę IOD można powierzyć osobie z zewnątrz, z firmy Pin Consulting Sp. z o.o., która specjalizuje się w świadczeniu usług z tej dziedziny. Usługa pełnienia funkcji Inspektora Ochrony Danych obejmuje między innymi informację i doradztwo, monitorowanie przestrzegania RODO, pomoc przy przeprowadzaniu oceny skutków dla ochrony danych, współpracę z organem nadzorczym oraz pośrednictwo w kontaktach z osobami czy organami.
W myśl art. 4 RODO dane osobowe to informacje, które pozwalają na zidentyfikowanie konkretnej osoby bez żadnych wątpliwości. Zestaw tych danych nie zawsze będzie taki sam w przypadku wszystkich jednostek. Muszą one też stanowić określony zestaw informacji.
Przykładowo danymi osobowymi nie zawsze będą imię i nazwisko, gdyż wiele osób może nazywać się „Jan Kowalski” czy „Dorota Nowak”. Nie musi to być również data urodzenia, gdyż – chociaż prawdopodobieństwo jest małe – w tym samym dniu mogło urodzić się dwóch Janów Kowalskich. Sytuacja się zmieni, jeśli do tych informacji zostanie dodane np. miejsce urodzenia lub numer PESEL, wskazujący na konkretną i jedyną osobę, lub imię i nazwisko będzie na tyle niepowtarzalne, że będzie wprost na nią wskazywało.
Jak wspomniano wcześniej, przez dane osobowe RODO rozumie wszystkie te informacje, które pozwalają na zidentyfikowanie jednostki. Są to przykładowo:
Należy też dodać, że szczególnej ochronie podlegają dane wrażliwe. Zaliczają się do nich dane:
Za bezpieczeństwo danych odpowiada administrator danych osobowych, w skrócie określany jako ADO. W jego gestii, a także obowiązku leży kontrola, czy zgromadzone informacje są przechowywanie i przetwarzane we właściwy sposób. Administratorem może być osoba fizyczna, prawna lub instytucja.
Gromadzenie danych osobowych klientów, pacjentów, pracowników, kontrahentów itp. ma na celu późniejsze wykorzystanie tych informacji w celu, w jakim były zgromadzone – może być to świadczenie konkretnych usług. Przykładowo firma telekomunikacyjna gromadzi standardowo dane swoich klientów po to, aby realizować zamówione usługi, rozliczać ich należności za te usługi, oferować nowe produkty czy informować o zmianach w przepisach. Wykorzystanie zbioru imion i nazwisk, adresów, numerów klienta i kont jest niezbędne do wystawiania faktur. Takie działanie jest określane jako przetwarzanie danych osobowych.
Każdy taki cel przetwarzania danych powinien być odnotowany w odpowiednim dokumencie, którym jest rejestr czynności przetwarzania.
Z definicji RODO przetwarzanie danych osobowych jest pojedynczą operacją lub całym zestawem operacji wykonywanych na danych. Do przetwarzania zaliczają się wszelkie czynności na danych, w tym zbieranie, porządkowanie, modyfikowanie, utrwalanie, organizowanie, pobieranie, przeglądanie, adaptowanie, wykorzystywanie, rozpowszechnianie, ujawnianie poprzez przesłanie, dopasowywanie, ograniczanie, łączenie, usuwanie, niszczenie.
Brak komentarza, Twój może być pierwszy.
Dodaj komentarz