MENU...

Wymagania RODO

Poniżej opisano najważniejsze obszary, o które powinna zadbać każda organizacja przetwarzająca dane osobowe.


Podstawy prawne przetwarzania danych osobowych

By przetwarzać dane osobowe zgodnie z przepisami prawa, każdy administrator danych powinien posiadać podstawę prawną do ich przetwarzania, tzn. powołać się na minimum jedną z następujących przesłanek:

  • osoba, której dane dotyczą wyraziła zgodę na przetwarzanie jej danych, lub
  • przetwarzanie danych jest niezbędne do wykonania umowy lub podjęcia działań na żądanie tej osoby przed jej zawarciem (osoba musi być stroną tejże umowy), lub
  • przetwarzanie jest konieczne do wypełnienia obowiązku prawnego, który ciąży na administratorze (np. dane osobowe pracowników przetwarzane są w związku z licznymi obowiązkami narzuconymi przez ustawy na pracodawcę), lub
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osób - administrator może powołać się na tą przesłankę, gdy dochodzi do zagrożenia interesów osoby, które mają dla niej duże znaczenie, takie jak zdrowie i życie tej osoby oraz nie jest możliwa pomoc tej osobie bez przetwarzania jej danych osobowych, lub
  • przetwarzanie jest niezbędne do wykonywania zadań realizowanych w interesie publicznym, lub
  • przetwarzanie jest niezbędne do realizacji prawnie uzasadnionych interesów realizowanych przez administratora danych - administrator może powołać się na tą przesłankę, gdy zachodzi istotne powiązanie między nim a osobą, której dane dotyczą (np. osoba jest klientem administratora) oraz osoba ta może spodziewać się, że nastąpi przetwarzanie jej danych w określonym celu. Należy pamiętać by przed przetwarzaniem danych na tej podstawie, przeprowadzić szczegółową ocenę konkretnej sytuacji oraz spełnić obowiązek informacyjny (opisany w dalszej części tekstu)
W przypadku przetwarzania szczególnych kategorii danych (np. danych dotyczących stanu zdrowia) powyższe informacje nie mają zastosowania). Podstawy prawne do przetwarzania tych danych wymienione są w art. 9 RODO.

Zasady dotyczące przetwarzania danych osobowych

Przetwarzając dane osobowe należy stosować się do tzw. zasad przetwarzania danych osobowych, tzn dane osobowe muszą być:

  • przetwarzane zgodnie z obowiązującym prawem, rzetelnie oraz w sposób przejrzysty (należy przekazać osobie precyzyjne informacje w jaki sposób przetwarzane są jej dane osobowe)
  • zbierane w konkretnych, zgodnych z prawem celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami
  • adekwatne do celów przetwarzania (każdorazowo należy sprawdzić czy przetwarzane przez administratora danych są adekwatne do celów, tzn. czy są one rzeczywiście niezbędne do osiągnięcia celu przetwarzania)
  • prawidłowe i w razie potrzeby uaktualniane - administrator powinien niezwłocznie sprostować lub usunąć nieprawidłowe dane
  •  przechowywane przez okres nie dłuższy, niż jest to niezbędne do osiągnięcia celów, w których dane te są przetwarzane. Po osiągnięciu celu przetwarzania dane powinny być usunięte (np. dane kandydatów do pracy powinny być usunięte po zrealizowanym procesie rekrutacyjnym - chyba, że administrator posiada odrębną zgodę na przetwarzanie tych danych dla celów przyszłych rekrutacji)
  • przetwarzane w sposób zapewniający właściwe bezpieczeństwo danych osobowych poprzez zastosowanie stosownych środków technicznych i organizacyjnych (opisane szczegółowo w poniższym akapicie)

Zabezpieczenie danych osobowych / Analiza ryzyka

Każdy administrator danych powinien przeprowadzić analizę ryzyka związanego z przetwarzaniem danych osobowych. Proces ten polega na określeniu zagrożeń oraz prawdopodobieństwa ich wystąpienia, a następnie oszacowanie skutków, które mogą te zagrożenia wywołać. Końcowym efektem analizy ryzyka powinny być zdefiniowane zabezpieczenia (fizyczne, informatyczne, organizacyjne), które organizacja powinna obecnie stosować. Administrator powinien wdrożyć wszelkie konieczne środki ochronne określone jako niezbędne w wyniku przeprowadzonej analizy. Co warto podkreślić przeprowadzanie analizy ryzyka powinno być procesem, który przeprowadzany jest regularnie (w szczególności w przypadku zmian zachodzących w organizacji).


Obowiązek informacyjny

Podczas pozyskiwania danych osobowych, należy spełnić tzw. obowiązek informacyjny, tzn. przekazać osobom, których dane osobowe są zbierane, informacje o zasadach przetwarzania ich danych osobowych oraz przysługujących im prawach. Jeżeli dane zbierane są od osób, których dane dotyczą (np. osoba podaje je w formularzu internetowym lub ustnie podczas rozmowy telefonicznej) powinny zostać przekazać informacje o których mowa w art. 13 RODO:

  • informacje o tożsamości i danych kontaktowych administratora - należy wskazać nazwę, adres siedziby oraz dane kontaktowe (np. adres e-mail lub numer telefonu) podmiotu, który pozyskuje dane osobowe.
  • danych kontaktowych Inspektora Ochrony Danych - jeżeli administrator powołał Inspektora Ochrony Danych, dane kontaktowe również powinny znaleźć się w klauzulach informacyjnych.
  • celach przetwarzania danych osobowych oraz podstawach prawnych tego przetwarzania - należy poinformować w jakich celach przetwarzane są dane (np. w celach marketingowych) oraz jaka jest podstawa prawna przetwarzania (jedna z przesłanek wymienionych w art. 5 ust. 1 RODO - opisane dokładnie w pierwszym akapicie tego artykułu).
  • prawnie uzasadnionych interesach realizowanych przez administratora danych - jeżeli podstawą przetwarzania danych są prawnie uzasadnione interesy, należy wskazać przytoczone interesy.
  • informacje o odbiorcach lub o kategoriach odbiorców danych - należy poinformować o podmiotach, którym dane te mogą być przekazywane. Warto podkreślić, że oprócz podmiotów, którym dane są udostępniane (np. podmioty upoważnione na podstawie przepisów prawa) powinno się wskazać również podmioty, którym dane te są powierzane (np. biuro rachunkowe, firma świadcząca usługi IT). Administrator może wskazać konkretne podmioty, natomiast wystarczające będzie wskazanie kategorii odbiorców, czyli np. "dane mogą być przekazane do biur rachunkowych" zamiast "dane mogą być przekazane do Biura Rachunkowego Przykład Sp. z o.o.".
  • informacje dotyczące zamiaru przekazywania danych do państwa trzeciego - jeżeli administrator zamierza przekazać dane do państwa trzeciego, należy wskazać wszystkie informacje zawarte w art. 13 ust. 1 lit. f RODO.
  • okres, przez który dane osobowe będą przechowywane - należy przekazać informacje jak długo będą przechowywane dane osobowe (np. 5 lat) lub gdy nie jest to możliwe kryteria ustalania tego okresu (np. do czasu realizacji działań podjętych na Państwa prośbę).
  • informacje o przysługujących prawach - osobom, od których pozyskiwane są dane osobowe, należy przekazać informacje o przysługujących im prawach, tzn. prawie do dostępu do danych osobowych, ich sprostowania, usunięcia oraz ograniczenia przetwarzania, wniesienia sprzeciwu wobec ich przetwarzania, do przenoszenia swoich danych osobowych a także o prawie do wniesienia skargi do organu nadzorczego (PUODO).
  • informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem - jeżeli przetwarzanie odbywa się na podstawie zgody, należy także poinformować, że osoba ma prawo do wycofania zgody w dowolnym momencie, co nie ma jednak wpływu na przetwarzanie danych w przeszłości (od momentu udzielenia zgody do momentu jej wycofania zgoda prawnie obowiązywała i nie ma możliwości zmiany tego stanu).
  • informacje czy istnieje wymóg podania danych oraz jakie są konsekwencje braku ich podania - administrator powinien poinformować czy istnieje przepis prawny nakazujący podanie danych osobowych (np. art 22 Kodeksu pracy w przypadku danych pracowniczych) oraz co będzie konsekwencją braku podania danych (np. podanie danych osobowych jest dobrowolne, jednakże brak ich podania uniemożliwia zapisanie się do Newslettera).
  • informacje o zauotomatyzowanym podejmowania decyzji, w tym o profilowaniu - jeżeli administrator podczas procesowania danych, korzysta z systemów dokonujących zautomatyzowanych decyzji (np. system, który automatycznie (bez ingerencji człowieka) odrzuca wniosek z powodu błędów formalnych), powinien o tym poinformować osoby, od których dane te są pozyskiwane (uwzględniając zasady podejmowania tych decyzji).

Powyższe informacje powinny zostać zamieszczone w szczególności pod formularzami, z których zbierane są dane osobowe. Jeżeli dane zbierane są w sposób innych niż od osób, których dane dotyczą (np. dane zostały pozyskane z Internetu), powyższe informacje nie będą miały zastosowania - w takiej sytuacji należy przekazać osobom informacje, o których mowa w art. 14 RODO.


Dokumentacja ochrony danych osobowych

Jakkolwiek RODO wprost nie wymaga od każdego administratora prowadzenia dokumentacji analogicznej do tej znanej z przepisów UODO (starej Ustawy o ochronie danych osobowych), jednakże większość administratorów powinna prowadzić stosowne rejestry, ponadto prowadzenie takowej dokumentacji znacząco podnosi poziom bezpieczeństwa przetwarzanych danych osobowych oraz ułatwia wykonywanie obowiązków nałożonych przez RODO. Należy także podkreślić, że prowadzenie stosownych dokumentów, traktowane będzie jako jeden z czynników łagodzących w przypadku nakładania na administratora ewentualnej kary (może także zdecydować o uniknięciu jakiejkolwiek kary).


Umowy powierzenia przetwarzania danych osobowych

W przypadku, gdy dane przekazywane są do zewnętrznego podmiotu, tak by ten przetwarzał dane w imieniu administratora dochodzi do tzw. powierzenia przetwarzania danych osobowych. W takim wypadku należy podpisać specjalną umowę zawierającą przedmiot i czas trwania przetwarzania, charakter i cel tego przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą a także obowiązki i prawa administratora i podmiotu przetwarzającego (Szczegółowe informacje, które powinny być zawarte w umowie zawarte są w art. 28 ust. 3 RODO). Tego typu umowę określa się umową powierzenia przetwarzania danych osobowych. Każdy administrator powinien określić, którym kontrahentom powierza dane i z każdym z tych podmiotów podpisać wskazane wyżej umowy.


Procedury dotyczące przetwarzania danych osobowych

Każda organizacja przetwarzająca dane osobowe powinna wdrożyć stosowne procedury dotyczące przetwarzania danych osobowych zapewniające ich bezpieczeństwo oraz legalność przetwarzania. Procedury powinny obejmować w szczególności:

  • kwestie bezpieczeństwa: polityki czystego biurka i ekranu, polityki haseł w systemach informatycznych, niezwłoczne usuwanie przez osoby upoważnione dokumentów zawierających dane osobowe
  • zasady postępowania w przypadku wystąpienia naruszenia bezpieczeństwa danych osobowych
  • kwestie realizacji praw osób, których dane dotyczą: organizacja powinna określić odpowiedzialne osoby i ścieżkę procesowania wniosków

Szkolenia

Każda osoba dopuszczona do przetwarzania danych osobowych powinna zostać zaznajomiona z przepisami dotyczący przetwarzania danych osobowych, przyjętymi w organizacji politykami oraz zasadami bezpiecznego przetwarzania danych osobowych. W szczególności zalecane są stacjonarne szkolenia, które zapewniają najlepsze efekty i w znaczy sposób podnoszą bezpieczeństwo przetwarzania danych osobowych w organizacji.


Upoważnienia do przetwarzania danych osobowych oraz oświadczenia o poufności

Każda osoba dopuszczona do przetwarzania danych osobowych powinna otrzymać pisemne upoważnienie do przetwarzania danych osobowych oraz podpisać oświadczenie o poufności, w którym zobowiąże się do ochrony przetwarzanych danych, nieudostępniania ich osobom nieupoważnionym oraz wykorzystywania danych osobowych tylko i wyłącznie do celów wynikających z powierzonych jej zadań.


Realizacja praw osób, których dane dotyczą

Każdy administrator danych osobowych powinien wdrożyć u siebie odpowiednie środki techniczne oraz organizacyjne aby umożliwić realizację praw osób, których dane dotyczą:

  • prawo dostępu do danych osobowych
  • prawo do sprostowania danych osobowych
  • prawo do usunięcia danych osobowych (tzw. "prawo do bycia zapomnianym")
  • prawo do ograniczenia przetwarzania
  • prawo do przenoszenia danych osobowych
  • prawo do sprzeciwu
  • prawo do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu


4B sp. z o.o.     
ul. Św. Filipa 23/3     
31-150 Kraków
tel. +48 691 281 107  
mail:
kontakt@4b.net.pl


NIP: 6762470090   
REGON: 122982939   
KRS: 0000485534  

Kapitał zakładowy: 20 000,00 zł 

Jesteśmy firmą zajmującą się profesjonalnym doradztwem i realizacją projektów z zakresu ochrony danych osobowych w firmach i instytucjach. Przeprowadzamy audyty zgodności z RODO, tworzymy wymaganą dokumentację i procedury, nasi pracownicy mogą także realizować zadania jako Inspektorzy Ochrony Danych, kompleksowo zajmując się ochroną danych w danej organizacji. Udostępniamy także usługę pozwalającą samodzielnie wdrożyć RODO w Państwa organizacji.

Realizacja: HEXADE.COM (Grafik, projektant, webdesigner)