FAQ

Dane osobowe to wszelkie informacje dotyczące konkretnej osoby, za pomocą których bez większego wysiłku można tę osobę zidentyfikować, chociaż nie jest ona wyraźnie wskazana. Możliwą do zidentyfikowania jest taka osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Dane osobowe szczególnej kategorii to grupa danych osobowych określana jako tzw. “dane wrażliwe”, które podlegają szczególnym zasadom przetwarzania i ochrony, ujawniające m.in.: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne i biometryczne, dane dotyczące stanu zdrowia, seksualności lub orientacji seksualnej. Dane te, co do zasady nie mogą być przetwarzane, choć istnieją określone wyjątki, np. w przypadku osób, które udzielą na to wyraźnej zgody lub danych upublicznionych przez osobę, której dane dotyczą. Przetwarzanie danych osobowych szczególnej kategorii możliwe jest również do celów profilaktyki zdrowotnej lub medycyny pracy, oceny zdolności pracownika do pracy, diagnozy medyczne, zapewnienia opieki zdrowotnej i leczenia, a także w przypadku pełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą.

Administratorem Danych Osobowych (ADO) jest każdy podmiot (organ publiczny, jednostka, osoba fizyczna lub prawna lub przedsiębiorstwo) zobowiązany do przestrzegania ustawy o ochrone danych osobowych, który decyduje o celach i środkach przetwarzania danych osobowych, samodzielnie lub wspólnie z innymi podmiotami. Jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii Europejskiej lub w prawie państwa członkowskiego, to również w prawie UE lub państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Współadministrator danych osobowych to administrator danych osobowych, który wspólnie z innym administratorem (lub administratorami) ustala cele i sposoby przetwarzania danych osobowych. Warunkiem konstytutywnym bycia współadministratorem jest fakt zawarcia, w sposób przejrzysty, porozumienia pomiędzy administratorami w zakresie przetwarzania danych przez obie strony, zgodnie z wytycznymi wynikającymi z RODO. W szczególności chodzi o realizację praw osób, których dane są przetwarzane. Współadministratorzy zobligowani są do wyznaczenia punktu kontaktowego dla osób, których dane przetwarzają. Rozwiązanie to znajdzie zastosowanie m.in. w przypadku grup kapitałowych lub podmiotów, które nie są powiązane kapitałowo i organizacyjnie, ale realizują wspólne projekty.

Inspektor Ochrony Danych (IOD) to osoba fizyczna wspierająca Administratora Danych Osobowych (ADO) w realizacji obowiązków dotyczących ochrony danych osobowych, doradzania i monitorowania tych przepisów, określania oceny skutków ochrony danych, a także pełnienia funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych oraz pełnienia funkcji punktu kontaktowego dla osób których dane dotyczą, we wszelkich sprawach związanych z przetwarzaniem danych oraz wykonywaniem praw przysługujących im na mocy RODO oraz innych przepisów.

Podpisane przez osobę uprawnioną do reprezentowania podmiotu zgłaszającego zawiadomienie o wyznaczeniu nowego Inspektora Ochrony Danych (IOD) należy zgłosić Prezesowi UODO w ciągu 14 dni, wskazując imię, nazwisko oraz adres poczty e-mail lub numer telefonu inspektora. Dodatkowo: imię i nazwisko oraz adres zamieszkania, w przypadku, gdy administratorem lub podmiotem przetwarzającym dane jest osoba fizyczna; nazwę przedsiębiorstwa oraz adres prowadzenia działalności gospodarczej, w przypadku, gdy administratorem danych osobowych jest osoba fizyczna prowadząca działalność gospodarczą; pełną nazwę i adres siedziby firmy, w przypadku innym niż wyżej wymienione lub numer identyfikacyjny REGON, jeżeli został nadany. Zawiadomienie należy przygotować w formie elektronicznej przy użyciu kwalifikowanego podpisu elektronicznego lub podpisu potwierdzonego Profilem Zaufanym ePUAP. Imię, nazwisko oraz dane służbowe dane kontaktowe IOD należy ponadto umieścić w treści witryny internetowej przedsiębiorstwa. W ogólnym przypadku należy postępować zgodnie z instrukcjami UODO.

Polityka ochrony danych osobowych to podstawowy, wewnętrzny dokument organizacji (akt prawny) wiążący pracowników przetwarzających danych do stosowania procedur ochrony danych osobowych oraz postępowania zgodnego z wymogami RODO, w przypadku przetwarzania, zabezpieczania, zgłaszania incydentów i podejmowania odpowiednich działań w przypadku ich wykrycia oraz analizy danych osobowych. Wdrożenie zasad polityki ochrony danych i procedur spoczywa na Administratorze Danych Osobowych (ADO). Wymagana lista dokumentacji ochrony danych osobowych zamieszczona jest na stronie internetowej UODO.

Rejestr czynności przetwarzania to dokument informujący o tym, w jakich celach przetwarzane są dane osobowe, kogo dotyczą, jaki jest ich zakres, komu są ujawniane oraz w jakim okresie będą przechowywane. Rejestr, oprócz danych Administratora Danych Osobowych (ADO), powinien zawierać informacje o sposobie zabezpieczania danych osobowych oraz informacje o przekazywaniu danych poza Unię Europejską, jeśli takie transfery mają miejsce. Rozróżnia się rejestr czynności przetwarzania dla ADO, który wszelkie informacje o przetwarzaniu danych oraz rejestr czynności dla podmiotu przetwarzającego, w którym zawarte są informacje przetwarzaniu danych w imieniu ADO i zakres przetwarzania, a także rodzaj danych podlegających przetwarzaniu.

Zasady przetwarzania danych osobowych winny zapewniać zgodność z prawem (identyfikacja podstaw prawnych przetwarzania), rzetelność (obowiązek informacyjny), przejrzystość (transparentna komunikacja z osobami przetwarzającymi dane), ograniczeniem celu (przetwarzanie zgodnie z celem, dla którego dane są zbierane), minimalizacją danych (zakres zbierania wyłącznie niezbędnych danych) i ich prawidłowością (aktualizacja i weryfikacja danych) oraz ograniczeniem przechowywania (okres zasadnego przetrzymywania danych w zasobach i ich usuwanie), a także integralnością i poufnością (środki ochrony danych). Administrator Danych Osobowych (ADO) zobligowany jest do przestrzegania w/w zasad, co określane jest jako “zasada rozliczalności” (zgodność z RODO i dokumentacja ją potwierdzająca).

Zgodnie z rozporządzeniem RODO przetwarzanie danych osobowych uzależnione jest od wyraźnej zgody na przetwarzanie przez osobę, której dane dotyczą, w wyjątkiem procesu usunięcia danych. Rozporządzenie określa okres przechowywania danych jako okres, w których istnieje cel przetwarzania tych danych lub do momentu żądania zaprzestania dalszego przetwarzania. Istotne jest, aby zgoda obejmowała możliwość przetwarzania danych w przyszłości pod warunkiem zachowania tego samego celu przetwarzania.

Aby trwale i ostatecznie usunąć dane należy fizyczne zniszczyć nośnik na którym się znajdują, w sposób uniemożliwiający ich odtworzenie. Jeśli dane zawarte są na dokumentach papierowych należy zniszczyć je w niszczarce, pamiętając o odpowiedniej klasie urządządzenia (zgodnie z normą DIN 66399). Sprawa komplikuje się w przypadku nośników elektronicznych, z których zwykłe usunięcie danych (pomimo wielokrotnego napisania danych innymi danymi) może nie być wystarczające. W większości wypadków zniszczenie fizyczne np. dysku twardego lub pendrive’a, uniemożliwiające ponowne ich użycie, gwarantuje trwałe i ostateczne usunięcie danych. W przypadku nośników magnetycznych należy użyć silnego pola magnetycznego.

Zgodnie z art. 32 unijnego Rozporządzenia o Ochronie Danych Osobowych (RODO) bezpieczeństwo danych powinny być zagwarantowane odpowiednio do ryzyka naruszenia praw lub wolności osób fizycznych. Obowiązek analizy ryzyka powinien zatem uwzględniać stan wiedzy technicznej, koszt jego implementacji oraz charakter i zakres przetwarzania danych osobowych. W praktyce obowiązek ten jest obligatoryjny i powinien być stosowany przez administratorów danych osobowych w każdym przypadku, a jego zaniechanie może doprowadzić do incydentu naruszenia ochrony danych.

Analiza DPIA, zgodnie art. 35 RODO, to analiza oceny skutków planowanych procesów przetwarzania danych, którą administrator danych osobowych musi dokonać przed rozpoczęciem przetwarzania. Ocena taka powinna zawierać co najmniej opis planowanych operacji i celów przetwarza, proporcjonalność operacji przetwarzania w stosunku do celów, skutki ryzyka naruszenia praw lub wolności osób, których dane dotyczą oraz planowane środki zabezpieczające ryzyko. Zatem obowiązek dokonywania DPIA zależy od tego, czy w procesie przetwarzania występują czynniki zwiększające prawdopodobieństwo wystąpienia incydentu.

Zapewnienie zgodności z RODO, zgodnie z zasadą "privacy by design" (nazywaną "zasadą prywatności w fazie projektowania”), oznacza, że administrator danych powinien wdrożyć odpowiednie środki techniczne i organizacyjne, zanim rozpocznie przetwarzanie danych osobowych. To zasada, w myśl której administrator powinien uwzględnić ochronę danych w fazie projektowania, uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych. Administrator zapewniając odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja (w celu skutecznej realizacji zasad ochrony danych), minimalizacja danych czy nadanie przetwarzaniu niezbędnych zabezpieczeń, zobowiązanych jest spełnić wymogi RODO, aby chronić prawa osób, których dane dotyczą.

Zasada "privacy by default" (zwana również "domyślną zasadą prywatności") wymaga od administratorów danych wdrożenia odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były tylko te dane, które są niezbędne do osiągnięcia celu przetwarzania. Inaczej mówiąc "privacy by default" przewiduje szeroką, domyślną ochronę prywatności danych osobowych użytkowników danego systemu lub oprogramowania, która może być rozszerzona wyłącznie na podstawie zmiany ustawień dokonanych przez administratora systemu, na żądanie osoby lub osób przetwarzających dane.

Naruszenie ochrony danych osobowych to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Innymi słowy to każdy incydent, który narusza przepisy RODO.

Art. 57 RODO określa precyzyjnie zadania Prezesa Urzędu Ochrony Danych Osobowych (UODO), do których należą m. in.: monitorowanie i egzekucja stosowania RODO przez inne podmioty, upowszechnianie wiedzy o ryzyku, zabezpieczeniach i prawach związanych z przetwarzaniem, doradztwo w zakresie ochrony danych osobowych, rozpatrywanie skarg i prowadzenie postępowań, orzekanie decyzji oraz ustalanie i nakładanie kar administracyjnych za naruszenia przepisów RODO. UODO to państwowy organ nadzorczy, który stoi na straży przepisów RODO w Polsce.

Polityka kluczy to rozwiązanie organizacyjne, które ma na celu kontrolę i ewidencję dostępu do pomieszczeń oraz innych fizycznych zabezpieczeń, w których znajdują się nośniki z danymi osobowymi zarówno w wersji papierowej jak i elektronicznej. Polityka kluczy to szereg procedur postępowania z kluczami, kartami dostępowymi do pomieszczeń oraz szaf, w których przetwarzane są dane osobowe w celu zabezpieczenia do nich dostępu osobom nieupoważnionym.

Polityka czystego biurka to rozwiązanie organizacyjne, którego celem jest zapewnienie poufności danych osobowych, przetwarzanych przez osoby upoważnione w trakcie wykonywania obowiązków służbowych lub pracowniczych, polegające na usuwaniu z niezabezpieczonego miejsca pracy danych osobowych w wersji papierowej oraz na elektronicznych nośnikach danych osobowych jak również stosowaniu wygaszaczy ekranu w przypadku korzystania z urządzeń wyświetlających dane osobowe. Spis reguł dotyczących pozostawiania stanowiska pracy bez kontroli w sposób zabezpieczający przetwarzane dane osobowe przed dostępem osób nieupoważnionych.

Obowiązek informacyjny to nic innego jak poinformowanie osoby, której dane osobowe są przetwarzane o takim fakcie, ze wskazaniem danych kontaktowych administratora danych osobowych (ADO) oraz (o ile występuje) inspektora ochrony danych osobowych (IOD). Informacja taka powinna zawierać ponadto cele i podstawę prawną przetwarzania, ujawnienia danych innym podmiotom czy transfer danych poza UE, a także okres przechowywania danych i prawa przysługujące osobom, których dane dotyczą. Należy również poinformować o możliwości wglądu, poprawiania i usunięcia danych (o ile to możliwe), tj. prawie do bycia zapomnianym (zgodnie z RODO). Informacja ponadto powinna wskazywać czy dane osobowe są gromadzone wobec wymogów prawa czy też ich podanie jest dobrowolne oraz czy będą wykorzystywane do zautomatyzowanych procesów podejmowania decyzji. Generalnie ADO musi spełnić obowiązek informacyjny (często uformowany w postaci klauzul informacyjnych, polityk prywatności lub regulaminów) przed rozpoczęciem procesu przetwarzania danych w stosunku do każdej osoby, której dane będą przetwarzane, by ta osoba wiedziała co dzieje się z jej danymi.

Zgodnie z RODO każda osoba, która odpowiedzialna jest za przetwarzanie danych lub będzie miała dostęp do przetwarzanych danych, z upoważnieniem od administratora danych osobowych, powinna być zaznajomiona zarówno z przepisami rozporządzenia, jak i wewnętrznymi aktami prawnymi i środkami bezpieczeństwa, do których powinna się stosować w miejscu przetwarzania danych osobowych.

Anonimizacja dokumentów to proces, w którym dane są nieodwracalnie przekształcane do postaci uniemożliwiającej ich bezpośrednie przyporządkowanie do danej osoby fizycznej. Inaczej mówiąc, anonimizacja oznacza, że nie jest możliwe ustalenie, jakiej osoby fizycznej dotyczy dany dokument. Co ciekawe, choć przepisy RODO nie zawierają definicji "anonimizacji danych osobowych", to pojęcie to można spotkać np. na gruncie ustawy o świadczeniu usług drogą elektroniczną. Po dokonaniu anonimizacji administrator danych osobowych nie posiada w zasadzie żadnej technicznej możliwości przywrócenia ich do postaci pierwotnej, a takie dokumenty nie podlegają zasadom ochrony danych (m. in. RODO).