RODO, czyli co należy wiedzieć o Unijnym Rozporządzeniu o Ochronie Danych Osobowych

RODO to skrót, który określa rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Ten przyjęty przez Unię Europejską akt prawny, zastąpi dyrektywę 95/46/WE z 1995 r., aby z dniem 25 maja 2018 roku wejść w życie i bezpośrednio obowiązywać zastępując dotychczasową ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych.

W naszym kraju, RODO zostanie uzupełnione również przepisami ustawowymi, które określą między innymi zasady powoływania następy GIODO – Prezesa Urzędu Ochrony Danych Osobowych (PUODO), postępowanie przed POUDO i związane z nim procedury odwoławcze. Nowe przepisy uwzględnią również niektóre zasady przetwarzania danych kadrowych.

rodo-giodo

Kogo dotyczy RODO i na kim leży obowiązek wdrożenia nowych przepisów

Każdy przedsiębiorca, który prowadzi działalność gospodarczą w Unii Europejskiej jest zobowiązany do bezwględnego dostosowania się do nowych przepisów rozporządzenia. Działalności te – bez względu na ich formę prawną – jednoosobowa działalność gospodarcza, spółka czy jedynie oddział firmy położony w UE należący do przedsiębiorcy którego siedziba leży poza Unią, muszą dostosować się do nowych przepisów. 

Co więcej, w myśl nowego prawa, nie ma znaczenia również narodowość osób, których dane osobowe są przetwarzane, ani też gdzie jest to dokonywane (np. serwery mogą znajdować się poza Unią Europejską). Istotne jest również to, że RODO dotyczy także podmiotów spoza UE, które oferują towary i usługi dla osób przebywających w Unii. 

RODO nie obowiązuje jednak w kwestii działalności osobistej lub domowej.

Czynności podlegające pod przepisy RODO

Rozporządzenie unijne RODO obejmuje swoim zakresem przetwarzanie danych osobowych, a mówiąc precyzyjniej, stosuje się do wszelakich operacji wykonywanych na danych osobowych, w tym między innymi zbieranie danych, ich przechowywanie, usuwanie, opracowywanie, a także udostępnianie. 

Dotyczy ono wszelkich czynności, których przedmiotem są dane osobowe, dlatego też obejmuje zarówno usługi archiwizowania dokumentów, jak również inne usługi, obejmujące swoim zakresem zbieranie danych osobowych. Przepisy RODO zobowiązani są stosować zatem wszyscy przedsiębiorcy, którzy zajmują się przetwarzaniem danych osobowych, bez względu na formę – archiwizowanie danych, usługi kurierskie, niszczenie dokumentów itp., ale również przedsiębiorcy, którzy w ramach świadczenia usług przetwarzają dane osobowe – sprzedaż internetowa, pośrednictwo ubezpieczeniowe, księgowość, zarządzanie nieruchomościami czy agencje biur podróży.

rodo-tychy

RODO i jego główny przedmiot – Dane Osobowe

Ponieważ rozporządzenie RODO traktuje o danych osobowych, warto wiedzieć czym one tak właściwie są. Najogólniej mówiąc, dane osobowe stanowią wszelakie informacje, które odnoszą się do zidentyfikowanej, bądź możliwej do zidentyfikowania osoby fizycznej.

Określenie osoba zidentyfikowana jest to osoba, którą możemy wyróżnić spośród innych, bowiem powiadamy wiedzę o jej tożsamości. Tutaj przykładem może być pracownik lub klient sklepu internetowego, których danymi operuje pracodawca lub operator sklepu online. 

Osoba możliwa do zidentyfikowania to z kolei osoba, której tożsamość nie jest nam znana, jednak korzystając z informacji i środków jakie posiadamy, możemy ją poznać. Osobą taką jest dla przykładu potencjalny kontrahent z określonym numerem CEIDG, bądź nadawca listu poleconego, którego można zidentyfikować bazując na numerze przesyłki. 

Osoby prawne nie posiadają danych osobowych, jednak należy pamiętać, iż osoby będące zatrudnione u osób prawnych są osobami fizycznymi, przez co również ich dane osobowe podlegają ochronie RODO. 

Do danych osobowych zalicza się między innymi:

    • pola danych jak data, osoba fizyczna, miejscowość, kontakt (adres e-mail / telefon), zakres usług czy zamówienia
    • przy newsletterach : imię i nazwisko, dane kontaktowe, program wyboru
    • przy księgowości itp. dane kontrahentów, dane dot. faktur, informacje o płatnościach/zaległościach.

Przetwarzanie danych osobowych i osoby uprawnione do działań z nim związanych 

Przetwarzanie danych osobowych, którego właściwe przeprowadzanie stanowi RODO oznacza wszelakie operacje, jakie wykonywane mogą być na danych osobowych. Można tutaj zatem wymienić:

    • zbieranie danych,
    • archiwizowanie danych,
    • usuwanie danych,
    • opracowywanie danych,
    • a także udostępnianie danych osobowych.

Przedsiębiorca, którego działania obejmują przetwarzanie danych osobowych, może dokonywać tych działań jako administrator danych lub podmiot przetwarzający dane. 

gdpr-karyPoprzez administratora danych rozumiemy podmiot, który decyduje o sposobie i celu przetwarzania danych osobowych, co oznacza, że określa on po co i w jaki sposób wykorzysta uzyskane dane osobowe. Wśród ważnych przykładów administratora danych można wymienić pracodawców przetwarzających dane swoich pracowników, sklepy internetowe (sprzedawca), którzy dysponują danymi osobowymi klientów, właścicieli stron internetowych, w stosunku do użytkowników posiadających newsletter czy firmy ubezpieczeniowe przetwarzające dane swoich podopiecznych. Administratorem danych zawsze określony jest dany podmiot, a nie jego pracownik czy spółka. 

Podmiot zajmujący się przetwarzaniem danych osobowych to z kolei nieco odmienna forma działania z danymi osobowymi, bowiem nie decyduje on o celach czy sposobach wykorzystania informacji osobowych, a jedynie działa w oparciu o umowę z administratorem danych. Tutaj doskonałym przykładem są biura rachunkowe przetwarzające dane przekazane im przez klientów, bądź podmioty profesjonalnie zajmujące się niszczeniem danych osobowych na zlecenie. W przypadku podmiotu przetwarzającego dane, konieczne jest zawarcie umowy powierzenia, w której administrator danych określa zasady ich przetwarzania. Dla przykładu w przypadku określonej organizacji, danymi osobowymi zarządzać powinny osoby posiadające upoważnienie do przetwarzania danych osobowych, będące osobami fizycznymi jak pracownik, współpracownik administratora bądź podmiotu odpowiedzialnego za przetwarzanie danych. 

Do ważnych czynności związanych z ochroną danych osobowych i ich przetwarzania należą:

    • zabezpieczenia organizacyjne;
    • zabezpieczenia techniczne;
    • środki ochrony fizycznej;
    • umowa o zachowaniu poufności;
    • a także szkolenia  w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.
 

Polub lub udostępnij stronę. W kolejnym materiale pojawi się 10 mitów związanych z RODO oraz tworzenie polityki prawatności na stronach internetowych.