Czym jest RODO?

Pod skrótem “RODO” kryje się Rozporządzenie Ogólne UE o Ochronie Danych Osobowych, które weszło w życie 25 maja 2018 roku. Rozporządzenia w legislacji Unijnej muszą być stosowane w całości na całym obszarze UE w odróżnieniu od dyrektyw, których zadaniem jest jedynie wyznaczenie celu, który muszą osiągnąć wszystkie państwa członkowskie. RODO reguluje kwestie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych. Powstanie rozporządzenia to swoista odpowiedź na postęp techniczny i globalizację, które spowodowały znaczny wzrost skali wymiany danych osobowych na terenie Unii Europejskiej.

Kogo dotyczy RODO?

RODO dotyczy każdego przedsiębiorstwa (zarówno jednoosobowej działalności, jak i spółki) operującego na terenie Unii Europejskiej, które przetwarza dane osobowe.
Przepisów RODO nie stosuje się gdy osoba, której dane dotyczą: nie żyje, jest osobą prawną lub gdy dane są przetwarzane w celach niezwiązanych z działalnością handlową, gospodarczą lub zawodową osoby przetwarzającej dane.

Czym są dane osobowe?

Dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Takie dane to między innymi:

  • imię i nazwisko;
  • numer identyfikacyjny (np. numer PESEL);
  • dane lokalizacyjne (np. adres zamieszkania).

Co to jest przetwarzanie?

Przetwarzanie to czynności wykonywane z wykorzystaniem danych osobowych. Pojęcie przetwarzania wynikające z RODO posiada również katalog takich czynności, są to między innymi: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie danych.

Kto przetwarza dane osobowe?

Dane osobowe przetwarza Administrator, który jest podmiotem ustalającym cele i sposoby przetwarzania danych osobowych, lub podmiot przetwarzający, który przechowuje i przetwarza dane w imieniu administratora danych. Administratorem w znaczeniu RODO jest na przykład pracodawca w stosunku do swoich pracowników.

Kiedy można przetwarzać dane osobowe?

Aby móc przetwarzać dane innej osoby należy spełnić jeden z kilku warunków wskazanych poniżej:

  • warunek otrzymania zgody osoby, której dane dotyczą;
  • zobowiązanie umowne względem osoby, której dane dotyczą;
  • spełnienie obowiązku prawnego;
  • ochrona żywotnych interesów osoby, której dane dotyczą;
  • wykonanie zadania leżącego w interesie publicznym;
  • uzasadniony interes firmy, o ile nie wpływa to istotnie na podstawowe prawa i wolności osoby, której dane są przetwarzane. Nie ma możliwości przetwarzania danych osoby, której prawa są nadrzędne wobec interesów firmy.

Kto stoi na straży prawidłowego przepływu danych w firmie?

Przedsiębiorstwo ma możliwość wyznaczenia Inspektora Ochrony Danych (IOD), który jest odpowiedzialny za monitorowanie sposobu przetwarzania danych osobowych oraz informowanie pracowników przetwarzających dane osobowe o ich obowiązkach i doradzanie im w tym zakresie.

Na stanowisko inspektora być wyznaczona osoba, która posiada odpowiednie kwalifikacje, ekspercką wiedzę oraz predyspozycje. Powinien on stanowić realne wsparcie dla administratorów w zakresie bieżącego zarządzania procesami ochrony danych osobowych w aspekcie organizacyjnym technicznym i prawnym. Nie ma potrzeby tworzenia odrębnego stanowiska do pełnienia tej funkcji, gdyż inspektorem może zostać jeden z dotychczasowych pracowników. Atrakcyjnym rozwiązaniem może okazać się również skorzystanie z opcji outsourcingu funkcji IOD.

Czym są szczególne kategorie danych?

RODO dzieli dane osobowe na zwykłe i szczególne. Dane szczególne mają status szczególnie wrażliwych, toteż ich naruszenie może mieć poważniejsze konsekwencje niż w przypadku naruszenia zwykłych danych osobowych. Danymi szczególnymi są między innymi informacje o:

  • pochodzeniu rasowym lub etnicznym;
  • orientacji seksualnej;
  • poglądów politycznych;
  • przekonań religijnych lub filozoficznych;
  • przynależności do związków zawodowych;
  • danych genetycznych, biometrycznych i zdrowotnych, poza szczególnymi przypadkami;
  • danych osobowych dotyczących wyroków skazujących i naruszeń prawa, chyba że pozwala na to prawo unijne lub krajowe.

Kiedy jest możliwe przetwarzanie danych osobowych szczególnej kategorii?

Administrator może przetwarzać szczególne kategorie danych osobowych, jeżeli:

  • Osoba, której dane dotyczą, udzieliła na to wyraźnej zgody;
  • Przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
  • Przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewniania opieki zdrowotnej, leczenia;
  • Przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, m.in. w dziedzinie prawa pracy.