Czym jest RODO?
Pod skrótem “RODO” kryje się Rozporządzenie Ogólne UE o Ochronie Danych Osobowych, które weszło w życie 25 maja 2018 roku. Rozporządzenia w legislacji Unijnej muszą być stosowane w całości na całym obszarze UE w odróżnieniu od dyrektyw, których zadaniem jest jedynie wyznaczenie celu, który muszą osiągnąć wszystkie państwa członkowskie. RODO reguluje kwestie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych. Powstanie rozporządzenia to swoista odpowiedź na postęp techniczny i globalizację, które spowodowały znaczny wzrost skali wymiany danych osobowych na terenie Unii Europejskiej.
Kogo dotyczy RODO?
RODO dotyczy każdego przedsiębiorstwa (zarówno jednoosobowej działalności, jak i spółki) operującego na terenie Unii Europejskiej, które przetwarza dane osobowe.
Przepisów RODO nie stosuje się gdy osoba, której dane dotyczą: nie żyje, jest osobą prawną lub gdy dane są przetwarzane w celach niezwiązanych z działalnością handlową, gospodarczą lub zawodową osoby przetwarzającej dane.
Czym są dane osobowe?
Dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Takie dane to między innymi:
- imię i nazwisko;
- numer identyfikacyjny (np. numer PESEL);
- dane lokalizacyjne (np. adres zamieszkania).
Co to jest przetwarzanie?
Przetwarzanie to czynności wykonywane z wykorzystaniem danych osobowych. Pojęcie przetwarzania wynikające z RODO posiada również katalog takich czynności, są to między innymi: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie danych.
Kto przetwarza dane osobowe?
Dane osobowe przetwarza Administrator, który jest podmiotem ustalającym cele i sposoby przetwarzania danych osobowych, lub podmiot przetwarzający, który przechowuje i przetwarza dane w imieniu administratora danych. Administratorem w znaczeniu RODO jest na przykład pracodawca w stosunku do swoich pracowników.
Kiedy można przetwarzać dane osobowe?
Aby móc przetwarzać dane innej osoby należy spełnić jeden z kilku warunków wskazanych poniżej:
- warunek otrzymania zgody osoby, której dane dotyczą;
- zobowiązanie umowne względem osoby, której dane dotyczą;
- spełnienie obowiązku prawnego;
- ochrona żywotnych interesów osoby, której dane dotyczą;
- wykonanie zadania leżącego w interesie publicznym;
- uzasadniony interes firmy, o ile nie wpływa to istotnie na podstawowe prawa i wolności osoby, której dane są przetwarzane. Nie ma możliwości przetwarzania danych osoby, której prawa są nadrzędne wobec interesów firmy.
Kto stoi na straży prawidłowego przepływu danych w firmie?
Przedsiębiorstwo ma możliwość wyznaczenia Inspektora Ochrony Danych (IOD), który jest odpowiedzialny za monitorowanie sposobu przetwarzania danych osobowych oraz informowanie pracowników przetwarzających dane osobowe o ich obowiązkach i doradzanie im w tym zakresie.
Na stanowisko inspektora być wyznaczona osoba, która posiada odpowiednie kwalifikacje, ekspercką wiedzę oraz predyspozycje. Powinien on stanowić realne wsparcie dla administratorów w zakresie bieżącego zarządzania procesami ochrony danych osobowych w aspekcie organizacyjnym technicznym i prawnym. Nie ma potrzeby tworzenia odrębnego stanowiska do pełnienia tej funkcji, gdyż inspektorem może zostać jeden z dotychczasowych pracowników. Atrakcyjnym rozwiązaniem może okazać się również skorzystanie z opcji outsourcingu funkcji IOD.
Czym są szczególne kategorie danych?
RODO dzieli dane osobowe na zwykłe i szczególne. Dane szczególne mają status szczególnie wrażliwych, toteż ich naruszenie może mieć poważniejsze konsekwencje niż w przypadku naruszenia zwykłych danych osobowych. Danymi szczególnymi są między innymi informacje o:
- pochodzeniu rasowym lub etnicznym;
- orientacji seksualnej;
- poglądów politycznych;
- przekonań religijnych lub filozoficznych;
- przynależności do związków zawodowych;
- danych genetycznych, biometrycznych i zdrowotnych, poza szczególnymi przypadkami;
- danych osobowych dotyczących wyroków skazujących i naruszeń prawa, chyba że pozwala na to prawo unijne lub krajowe.
Kiedy jest możliwe przetwarzanie danych osobowych szczególnej kategorii?
Administrator może przetwarzać szczególne kategorie danych osobowych, jeżeli:
- Osoba, której dane dotyczą, udzieliła na to wyraźnej zgody;
- Przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
- Przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewniania opieki zdrowotnej, leczenia;
- Przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, m.in. w dziedzinie prawa pracy.