Co to są dane osobowe?
Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Dane osobowe to wszystkie dane, które dotyczą konkretnej osoby fizycznej – od imienia i nazwiska, nr PESEL umieszczonego w dokumencie tożsamości, przez adres e-mail do danych umieszczonych na wizytówce. Danymi osobowymi może być także odcisk palca, adres IP, login do portalu internetowego czy numer telefonu.
Co to jest RODO?
RODO to skrót nazwy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Celem RODO jest ujednolicenie przepisów dotyczących ochrony danych osobowych w państwach Unii Europejskiej. Organizacje, firmy, instytucje publiczne i inne podmioty przetwarzające dane osobowe w państwach należących do UE są zobowiązane do stosowania RODO bezpośrednio.
Na czym polega przetwarzanie danych osobowych?
Przetwarzanie danych osobowych to operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Zakres pojęciowy jest bardzo szeroki, należy więc przyjąć, iż przetwarzanie danych osobowych to każda czynność, którą wykonujemy z wykorzystaniem danych osobowych.
Jakie są przesłanki legalności przetwarzania danych osobowych?
Legalne przetwarzanie danych osobowych oznacza przetwarzanie danych osobowych w zgodności z przepisami prawa.
Aby przetwarzanie danych osobowych odbywało się w zgodzie z prawem powinna zostać spełniona jedna z poniższych przesłanek:
- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie jej danych osobowych,
- przetwarzanie jest niezbędne do wykonania umowy lub czynności przed jej zawarciem,
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej,
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.
Co to jest obowiązek informacyjny?
Obowiązek informacyjny, to obowiązek Administratora do poinformowania osoby, której dane dotyczą o:
- danych identyfikujących administratora,
- danych kontaktowych Inspektora Ochrony Danych,
- przysługujących jej prawach,
- celach przetwarzania danych osobowych,
- odbiorcach lub kategoriach odbiorców danych osobowych,
- okresie przechowywania danych osobowych lub kryteriach określania tego okresu,
- podstawie prawnej przetwarzania danych osobowych,
- przekazywaniu danych do krajów trzecich poza EOG,
- możliwości złożenia skargi do organu nadzorczego,
- tym, czy przetwarzanie jest wymogiem ustawowym, umownym, czy też warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
- zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Obowiązek informacyjny ma na celu uświadomić osobę, której dane dotyczą, o tym na co się godzi wyrażając zgodę na przetwarzanie swoich danych osobowych. Obowiązek ten jest realizowany najczęściej w postaci klauzul informacyjnych, których treść zależy od okoliczności, czy dane są zbierane bezpośrednio od osoby, której dotyczą, czy z innych źródeł.
Jakie prawa posiadają osoby, których dane dotyczą?
Osoba, której dane dotyczą posiada prawo do:
- żądania od administratora dostępu do swoich danych,
- sprostowania swoich danych osobowych,
- usunięcia lub ograniczenia przetwarzania danych osobowych,
- wniesienia sprzeciwu wobec przetwarzania,
- przenoszenia danych,
- wyrażenia/odwołania zgody na przetwarzanie danych osobowych.
Zakres każdego z tych praw oraz sytuacje, w których można z nich skorzystać, wynikają z przepisów ogólnego rozporządzenia o ochronie danych.
Co to jest zgoda na przetwarzanie danych osobowych?
Zgoda na przetwarzanie danych osobowych jest jedną z sześciu legalnych podstaw przetwarzania danych osobowych, rozumianą jako „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych” (art. 4 pkt 11 RODO).
Generalnie zgoda może być odpowiednią podstawą prawną tylko wówczas, jeżeli osoba, której dane dotyczą, ma zapewnioną możliwość sprawowania kontroli oraz rzeczywistą możliwość wyboru, jeżeli chodzi o zaakceptowanie lub odrzucenie proponowanych warunków lub też odrzucenie ich bez niekorzystnych konsekwencji.
Zgoda na przetwarzanie danych osobowych może przyjąć formę oświadczenia woli, wyrażonego w formie pisemnej lub elektronicznej np. klauzula zgody dołączona do kwestionariusza osobowego w formie papierowej lub umieszczenie klauzuli zgody w formularzu elektronicznym przy zastosowaniu checkboxa.
Zgoda na przetwarzanie danych osobowych musi być wyrażona na jasno określony cel np. zgoda na przetwarzanie danych osobowych w procesie rekrutacji do pracy czy udziału w konkursie, konferencji itp.
Co to jest wycofanie zgody na przetwarzanie danych osobowych?
Wycofanie zgody na przetwarzanie danych osobowych przez osobę, której dane dotyczą należy rozumieć jako wycofanie woli przez tą osobę na przetwarzanie jej danych osobowych przez administratora danych.
Osoba, której dane dotyczą ma prawo w dowolnym momencie wycofać zgodę na przetwarzanie danych osobowych jej dotyczących. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
Co to są szczególne kategorie danych osobowych?
Szczególne kategorie danych osobowych to grupa danych określanych też mianem „wrażliwych”, które podlegają szczególnym zasadom przetwarzania i ochrony. Są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane: genetyczne, biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
Przetwarzanie szczególnych kategorii danych osobowych co do zasady jest zabronione, chyba, że m. in.:
- osoba, której dane dotyczą wyraziła wyraźną zgodę na przetwarzanie danych osobowych jej dotyczących,
- przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw administratora danych wynikających z przepisów prawa pracy, zabezpieczenia społecznego i ochrony socjalnej,
- przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości,
- przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.
Co to jest powierzenie przetwarzania danych osobowych?
Powierzenie przetwarzania danych osobowych to przetwarzanie określonego zakresu danych osobowych w imieniu administratora danych (np. PWSIiP w Łomży). Powierzenie przetwarzania danych osobowych odbywa się na podstawie umowy powierzenia przetwarzania danych osobowych lub innego instrumentu prawnego, który wiąże administratora danych i podmiot, który przetwarza dane w imieniu administratora.
Powierzenie przetwarzania danych osobowych powinno regulować m. in.:
- cel i charakter powierzenia,
- przedmiot powierzenia – rodzaj danych, kategorię osób, których dane dotyczą,
- czas trwania powierzenia,
- obowiązki i prawa administratora i podmiotu przetwarzającego,
- zobligowanie osób upoważnionych do zachowania tajemnicy,
- stosowanie odpowiednich zabezpieczeń,
- pomoc w realizacji praw osób, których dane dotyczą oraz pomoc w wypełnianiu obowiązków względem organu nadzorczego.
Powierzenie przetwarzania danych osobowych to przekazanie danych osobowych innemu podmiotowi np. ubezpieczycielowi lub hostingodawcy w celu przechowywania danych na serwerze, czy w sytuacji wymagającej serwisowania systemów IT w których przetwarzane są dane osobowe.
Na czym polega zasada minimalizacji danych i zasada adekwatności przetwarzania danych osobowych?
Zgodnie z zasadą minimalizacji danych, dane osobowe powinny być stosowne oraz ograniczone do tego co niezbędne do celów, w których są przetwarzane. Należy przetwarzać tylko takie dane osobowe, bez których nie da się osiągnąć zamierzonego celu przetwarzania.
Zasada adekwatności oznacza, iż administrator powinien przetwarzać tylko takiego rodzaju dane i tylko o takiej treści, które są niezbędne ze względu na cel zbierania danych. Adekwatność danych powinna być oceniania najpóźniej w momencie ich zbierania. Przyjmuje się, że np. pozyskanie dwóch form kontaktu (nr telefonu i adres e-mail) od osoby, której dane dotyczą jest nadmiarowe i stanowi naruszenie.
Co to są techniczne i organizacyjne środki ochrony danych osobowych?
Techniczne i organizacyjne środki ochrony danych osobowych to środki, które należy zastosować by zapewnić bezpieczeństwo danych osobowych adekwatne do ryzyka przetwarzania danych osobowych.
Środki organizacyjne to np. wdrożenie polityk ochrony danych osobowych, wyznaczenie Inspektora Ochrony Danych, szkolenia z ochrony danych osobowych dla pracowników, wydawanie upoważnień do przetwarzania danych osobowych.
Środki techniczne to np. stosowanie oprogramowania antywirusowego na stacjach roboczych, zapewnienie dostępu do systemu przy użyciu loginu i hasła, stosowanie firewalla czy UPS, odnotowywanie informacji o czynnościach użytkownika wykonanych w systemie informatycznym.
W ramach środków technicznych i organizacyjnych można także wyróżnić środki ochrony fizycznej takie jak np.: drzwi i szafy zamykane na klucz, rolety antywłamaniowe, kraty w oknach, sejfy i kasy pancerne, ochrona czy system alarmowy.
Co to jest naruszenie ochrony danych osobowych?
Przez pojęcie „naruszenia ochrony danych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO).
Aby zaistniało naruszenie muszą być spełnione łącznie trzy przesłanki:
- naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
- skutkiem naruszenia musi być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych;
- naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.
Jednocześnie, jak wskazuje Grupa Robocza Art. 29, można wyróżnić trzy typy naruszenia ochrony danych osobowych:
- naruszenie poufności – polega na ujawnieniu danych osobowych nieuprawnionej osobie;
- naruszenie dostępności – polega na trwałej utracie lub zniszczeniu danych osobowych;
- naruszenie integralności – polega na zmianie treści danych osobowych w sposób nieautoryzowany.
Naruszeniem ochrony danych osobowych jest np. ujawnienie danych osobie nieuprawnionej, publikowanie na stronach internetowych bez podstawy prawnej informacji zawierających dane osobowe takie jak: imię i nazwisko, numer PESEL, nr indeksu, nr telefonu czy ocena z egzaminu. Naruszeniem ochrony danym może być także: wysyłanie pocztą elektroniczną adresów innych adresatów, wrzucenie dokumentów do kosza zamiast do niszczarki, niewystarczające zabezpieczenie danych na stacjach roboczych – brak: haseł dostępu, ochrony antywirusowej itp.