RODO

25 maja 2018r. do powszechnego stosowania weszło RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 2016.119.1, dalej: RODO). Rozporządzenie to stosujemy bezpośrednio, choć zostały już wydane krajowe akty prawne w tym zakresie:

  • Ustawa z dnia 10 maja 2018r. o ochronie danych osobowych (Dz.U.2018.1000),

  • Ustawa z dnia 14 grudnia 2018r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U.2019.125).

Najważniejszymi celami RODO jest harmonizacja podstawowych praw osób fizycznych, gwarancja swobodnego przepływu danych osobowych w ramach Unii Europejskiej oraz zwiększenie ochrony danych osobowych m.in. poprzez:

a) wzmocnienie praw osób, których dane dotyczą,

b) ujednolicenie przepisów w zakresie ochrony danych osobowych na terenie UE,

c) usprawnienie wymiany informacji i procedur wewnątrz UE,

d) uatrakcyjnienie rynku UE względem państw trzecich,

e) wyznaczenie standardów bezpieczeństwa odpowiadających obecnej technologii.

RODO nie narzuca sztywnych standardów bezpieczeństwa informacyjnego, zobowiązując każdego administratora, aby stosował zabezpieczenia fizyczne oraz techniczne odpowiednie do skutecznej ochrony danych osobowych przed ich wyciekiem czy utratą. Wspomniana „odpowiedniość” odnosi się do zakresu przetwarzanych danych, który ma większą rangę niż wielkość instytucji lub przedsiębiorstwa, które te dane przetwarza.

Przetwarzanie (art. 4 pkt 1 RODO) oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Zasady przetwarzania danych osobowych:

1) zasada zgodności z prawem, rzetelności i przejrzystości,

2) zasada ograniczonego celu,

3) zasada minimalizacji danych,

4) zasada prawidłowości danych,

5) zasada ograniczenia przechowywania danych,

6) zasada integralności i poufności danych,

7) zasada rozliczalności.

Według definicji Grupy Roboczej art. 29, zawartej w opinii nr 3/2010, rozliczalność oznacza po pierwsze wdrożenie środków (m.in. procedur) zapewniających przestrzeganie przepisów o ochronie danych osobowych, po drugie – opracowanie dokumentacji, która organom nadzoru oraz osobom, których dane są przetwarzane, wskaże, jakie środki zostały wdrożone, aby zapewnić przestrzeganie przepisów o ochronie danych osobowych.

RODO zawiera zamknięty katalog przesłanek przetwarzania danych zwykłych (nie wrażliwych). Zgodnie z art. 6 ust. 1 RDO przetwarzanie danych osobowych jest zgodne z prawem, gdy zostanie spełniona co najmniej jedna z poniższych przesłanek:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie,

b) przetwarzanie jest niezbędne do wykonania umowy,

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego,

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów,

e) przetwarzanie jest uzasadnione interesem publicznym,

f) przetwarzanie jest niezbędne do realizacji uzasadnionych interesów.

Podmiot (np. jst, przedsiębiorca) może przetwarzać dane osobowe jako administrator danych lub podmiot przetwarzający dane.

Administrator danych osobowych (ADO) to podmiot, który decyduje o celach oraz sposobach przetwarzania danych, czyli o tym, po co oraz w jaki sposób dane osobowe wykorzystać.

Podmiot przetwarzający dane działa na podstawie umowy zawartej z administratorem danych osobowych. O celach i sposobach przetwarzania danych w dalszym ciągu decyduje ADO, jednakże powierza on pewne czynności na tych danych odrębnemu podmiotowi. Aby przetwarzanie danych przez podmiot przetwarzający było zgodne z przepisami RODO, podmiot taki powinien zawrzeć z ADO umowę powierzenia przetwarzania danych osobowych.

Comments are closed.