Data publikacji: 29.01.2022

Ochrona danych zgodnie z RODO

Rozporządzenie o ochronie danych (RODO) zawiera szczegółowe wymogi dla przedsiębiorstw i organizacji dotyczące gromadzenia i przechowywania danych osobowych i zarządzania nimi.

Ma ono zastosowanie zarówno do europejskich organizacji przetwarzających dane osobowe osób fizycznych w UE, jak i do organizacji spoza UE kierujących swoją ofertę do mieszkańców Unii.

Kiedy stosuje się ogólne rozporządzenie o ochronie danych (RODO)?

RODO stosuje się, gdy:

  • Twoja firma przetwarza dane osobowe i ma siedzibę w UE, bez względu na to, gdzie faktycznie dochodzi do przetwarzania danych
  • Twoja firma ma siedzibę poza UE, ale przetwarza dane osobowe w związku z oferowaniem towarów lub usług osobom fizycznym w UE lub monitoruje zachowania osób fizycznych w Unii.
  • Przedsiębiorstwa spoza Unii przetwarzające dane obywateli UE muszą wyznaczyć swojego przedstawiciela w Unii.

Kiedy nie stosuje się ogólnego rozporządzenia o ochronie danych (RODO)?

RODO nie stosuje się, gdy:

  • osoba, której dane dotyczą, nie żyje
  • osoba, której dane dotyczą, jest osobą prawną
  • dane są przetwarzane w celach niezwiązanych z działalnością handlową, gospodarczą lub zawodową osoby przetwarzającej dane.

Co to są dane osobowe?

Dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie, zwanej także podmiotem danych. Dane osobowe obejmują następujące informacje:

  • imię i nazwisko
  • adres
  • numer dowodu tożsamości/paszportu
  • dochody
  • cechy kulturowe
  • adres IP
  • dane będące w posiadaniu szpitala lub lekarza (jednoznacznie identyfikujące daną osobę w celach medycznych).

Szczególne kategorie danych

Zabronione jest przetwarzanie danych osobowych dotyczących:

  • pochodzenia rasowego lub etnicznego
  • orientacji seksualnej
  • poglądów politycznych
  • przekonań religijnych lub filozoficznych
  • przynależności do związków zawodowych
  • danych genetycznych, biometrycznych i zdrowotnych, poza szczególnymi przypadkami (np. gdy uzyskano wyraźną zgodę na ich przetwarzanie lub gdy przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym zgodnie z prawem unijnym lub krajowym)
  • danych osobowych dotyczących wyroków skazujących i naruszeń prawa, chyba że pozwala na to prawo unijne lub krajowe.

 

Kto przetwarza dane osobowe?

Podczas przetwarzania dane trafiają niekiedy do wielu różnych przedsiębiorstw lub organizacji. W cyklu tym występują dwa główne podmioty zajmujące się przetwarzaniem danych osobowych:

  • Administrator danych – decyduje o celu i sposobie przetwarzania danych.
  • Przetwarzający – przechowuje i przetwarza dane w imieniu administratora danych.

Kto monitoruje sposób przetwarzania danych osobowych wewnątrz przedsiębiorstwa?

Inspektor ochrony danych, którego przedsiębiorstwo może wyznaczyć, jest odpowiedzialny za monitorowanie sposobu przetwarzania danych osobowych oraz informowanie pracowników przetwarzających dane osobowe o ich obowiązkach i doradzanie im w tym zakresie. Inspektor ochrony danych współpracuje także z organem ochrony danych, służąc jako punkt kontaktowy dla tego organu i osób fizycznych.

Kiedy należy wyznaczyć inspektora ochrony danych?

Twoja firma musi wyznaczyć inspektora ochrony danych, jeśli:

  • regularnie lub systematycznie monitorujesz osoby fizyczne lub przetwarzasz szczególne kategorie danych
  • przetwarzanie danych stanowi główny przedmiot Twojej działalności
  • przetwarzasz dane na dużą skalę.

Masz na przykład obowiązek wyznaczyć inspektora ochrony danych, jeśli przetwarzasz dane osobowe w celu kierowania reklam do konkretnych konsumentów za pośrednictwem wyszukiwarek internetowych w oparciu o zachowania konsumentów w sieci. Jeśli jednak jedynie wysyłasz swoim klientom raz w roku materiały promocyjne, inspektor ochrony danych nie jest Ci potrzebny. Podobnie jeśli jako lekarz gromadzisz dane na temat stanu zdrowia pacjentów, prawdopodobnie nie potrzebujesz inspektora ochrony danych. Jeśli jednak przetwarzasz dane genetyczne lub dotyczące stanu zdrowia dla szpitala, wyznaczenie inspektora będzie niezbędne.

Inspektorem ochrony danych może być pracownik Twojej organizacji lub osoba z zewnątrz zatrudniona na podstawie umowy o świadczenie usług. Inspektorem może być osoba fizyczna lub część organizacji.

 

Kiedy dozwolone jest przetwarzanie danych?

Unijne przepisy dotyczące ochrony danych wymagają, aby dane były przetwarzane uczciwie i zgodnie z prawem, w konkretnym, prawnie uzasadnionym celu – i tylko takie dane, które są potrzebne do tego celu. Aby móc przetwarzać dane osobowe, musisz spełnić jeden z następujących warunków; jeżeli:

  • otrzymasz zgodę osoby, której dane dotyczą
  • potrzebujesz danych osobowych do wypełnienia zobowiązania umownego względem osoby, której dane dotyczą
  • potrzebujesz danych osobowych do spełnienia obowiązku prawnego
  • potrzebujesz danych osobowych, aby chronić żywotne interesy osoby, której dane dotyczą
  • przetwarzasz dane osobowe, aby wykonać zadanie leżące w interesie publicznym
  • działasz w uzasadnionym interesie swojej firmy, o ile nie wpływa to istotnie na podstawowe prawa i wolności osoby, której dane są przetwarzane. Nie możesz przetwarzać danych osoby, której prawa są nadrzędne wobec interesów Twojej firmy.

 

Zgoda na przetwarzanie danych

W RODO przewidziano ścisłe zasady przetwarzania danych na podstawie zgody. Ich celem jest zapewnienie, by osoba fizyczna rozumiała, na co wyraża zgodę. Oznacza to, że zgoda powinna być dobrowolna, konkretna, świadoma i jednoznaczna, a zapytanie o zgodę musi być wyrażone jasnym i prostym językiem. Zgoda powinna być wyrażona w formie działania potwierdzającego, np. przez zaznaczenie pola wyboru na stronie internetowej lub podpisanie formularza.

Jeśli otrzymasz zgodę na przetwarzanie danych osobowych, możesz przetwarzać je tylko w celach, na które wyrażono zgodę. Musisz także umożliwić wycofanie zgody.

 

Prawo do usunięcia danych (prawo do bycia zapomnianym)

W pewnych okolicznościach, np. gdy dane nie są już potrzebne do celu ich przetwarzania, osoba fizyczna może poprosić administratora danych o usunięcie swoich danych osobowych. Niemniej Twoja firma nie musi tego robić, jeśli:

  • przetwarzanie jest konieczne do poszanowania wolności wypowiedzi i informacji
  • obowiązek przechowywania danych osobowych ciąży na Tobie z mocy prawa
  • dane muszą być przechowywane z innych względów związanych z interesem publicznym, takich jak zdrowie publiczne lub badania naukowe i historyczne
  • przechowywanie danych osobowych jest niezbędne do ustalenia roszczenia.

 

Naruszenia ochrony danych – właściwe powiadomienie

Naruszenie ochrony danych to przypadkowe lub niezgodne z prawem ujawnienie nieupoważnionym odbiorcom danych, za które jesteś odpowiedzialny, a także spowodowanie czasowej niedostępności takich danych lub ich zmiana.

Jeśli dojdzie do naruszenia ochrony danych i zagraża to prawom i wolnościom osoby fizycznej, powinieneś w ciągu 72 godzin od stwierdzenia naruszenia poinformować o tym swój organ ochrony danych.

W zależności od tego, czy naruszenie ochrony danych stanowi wysokie ryzyko dla osób, których dane dotyczą, Twoja firma może także mieć obowiązek odpowiedniego poinformowania wszelkich takich osób.

 

 

Grafika przekierowująca na profil Facebook Europe Direct
Flaga unii europejskiej w odcieniu blękitu
Flaga Unii Europejskiej na granatowym tle z delikatnymi pasami po bokach flagi
Budynki unii schowane pod niebieską poświatą
Cztery okręgi symbolizujące ławy w parlamencie i w narożniku flaga Unii
Tekst na niebieskim tle: Wszystkie oficjalne publikacje UE
Książeczka w chmurach - kącik dla dzieci o UE
Napis EurLex na tle flagi unijnej
Napis Fundusze Europejskie 2014-2020 na niebieskim tle
Napis w języku angielskim: Norway grants, eea grants

Konkursy

Praca w UE

Studia w UE

Eurodeputowani z Wielkopolski

Biuro informacyjne województwa wielkopolskiego

Sieci Europejskie
Copyright © 2021 Wir Poznań | Wszelkie prawa zastrzeżone.