Spis treści
Czym są dane osobowe?
Dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Wśród takich informacji znajdują się m.in. imię i nazwisko, data urodzenia, numer PESEL, adres, numer telefonu, e-mail oraz dane związane z tożsamością fizyczną, fizjologiczną, genetyczną, psychologiczną, ekonomiczną lub społeczną danej osoby.
Pojedyncza informacja, taka jak numer PESEL czy NIP, może być uznana za dane osobowe, jeśli sama w sobie pozwala na identyfikację osoby. Zazwyczaj jednak jedna informacja nie wystarcza do jednoznacznej identyfikacji, dopiero jej połączenie z innymi danymi umożliwia ustalenie tożsamości.
W definicji prawnej nie zawsze jest jasno określone, które informacje lub ich zestawy są jednoznacznie uznawane za prywatne dane, dlatego często wymagana jest indywidualna ocena, aby ustalić, czy dany zestaw informacji pozwala na identyfikację osoby.
Na czym polega ochrona danych osobowych?
Podmioty gospodarcze, które zarządzają danymi osób fizycznych, mają obowiązek chronić te informacje. Celem zabezpieczenia danych jest ochrona ich przed przypadkowym ujawnieniem, utratą, dostępem osób nieuprawnionych oraz użyciem danych w celach innych niż te, na które została wyrażona zgoda.
Ochrona dotyczy zarówno pojedynczych danych uznawanych za osobowe, jak i ich zbiorów. Przepisy prawne nie precyzują konkretnych metod ochrony ani wymagań dotyczących zabezpieczeń, co oznacza, że należy dostosować je indywidualnie do specyfiki działalności danej firmy.
W Polsce zasady przetwarzania danych są regulowane przez różne akty prawne, w tym:
- ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych,
- rozporządzenie (UE) 2016/679, znane jako ogólne rozporządzenie o ochronie danych RODO.

Kto jest zobowiązany do przestrzegania przepisów o ochronie danych osobowych RODO?
Przepisów zobowiązani są przestrzegać wszyscy przedsiębiorcy działający na terenie Unii Europejskiej lub przetwarzający informacje o obywatelach UE. Nie ma tu znaczenia, czy jest to duża korporacja, czy mały lokalny biznes ani ile osób zatrudnia. Również osoby prowadzące jednoosobową działalność gospodarczą są zobowiązane do chronienia danych swoich klientów.
Przepisy nie dotyczą natomiast przedsiębiorców, których działalność nie jest w żaden sposób związana z Unią Europejską (nie prowadzą firmy na jej terenie ani nie kierują oferty do jej obywateli). Osoby nie są zobowiązane do przestrzegania tych przepisów, o ile ich działania mają charakter prywatny. Nie ma także obowiązku chronienia danych osoby zmarłej.
Co oznacza przetwarzanie danych osobowych?
Zgodnie z przepisami RODO, przetwarzanie danych obejmuje pojedynczą operację lub zestaw operacji przeprowadzanych na danych osobowych. Mogą to być czynności jak: zbieranie, utrwalanie, przeglądanie, modyfikowanie, wykorzystywanie, udostępnianie, usuwanie lub niszczenie takich danych.
Podmiot zajmujący się przetwarzaniem danych może to robić wyłącznie w określonym celu, który ma uzasadnienie gospodarcze lub prawne. Przetwarzanie danych może odbywać się zarówno w sposób tradycyjny, jak i za pomocą zautomatyzowanych systemów.
Ważne jest, aby przetwarzanie danych odbywało się zgodnie z zasadami ich minimalizacji, co oznacza, że należy gromadzić i przetwarzać tylko te dane, które są niezbędne do wykonania określonego celu.
Kiedy można przetwarzać dane osobowe?
Przetwarzanie danych dozwolone jest pod warunkiem, że robi się to w konkretnym, uzasadnionym prawnie celu i wyłącznie z użyciem tych danych, które są do tego niezbędne. Do legalnego przetwarzania danych musi być spełniony przynajmniej jeden z poniższych warunków:
- posiadanie zgody na przetwarzanie swoich danych osobowych od osoby, której one dotyczą,
- konieczność wypełnienia zobowiązania umownego względem osoby, której dotyczą dane,
- spełnienie obowiązku prawnego,
- ochrona żywotnych interesów osoby, której dotyczą dane,
- wykonanie zadania leżącego w interesie publicznym,
- działanie w uzasadnionym interesie firmy (z zastrzeżeniem, że nie można przetwarzać danych osoby, której prawa są nadrzędne wobec interesów firmy).
Kto zajmuje się przetwarzaniem danych osobowych?
O sposobie i celu przetwarzania danych decyduje administrator. Może to być np. właściciel firmy, lub samo przedsiębiorstwo, w którym rolę administratora pełni zarząd. Administrator odpowiada za to, aby przetwarzanie danych odbywało się zgodnie z przepisami oraz zapewniało odpowiedni poziom bezpieczeństwa danych.
Administrator danych ma możliwość powierzenia przetwarzania danych zewnętrznemu podmiotowi, który będzie działał w jego imieniu. Taki zewnętrzny podmiot, nazywany procesorem danych, musi przestrzegać ustalonych przez administratora standardów i zabezpieczeń.

Jakich danych nie można przetwarzać?
Nie wszystkie dane osobowe można legalnie przetwarzać. Zakaz dotyczy wrażliwych danych osobowych, które ujawniają informacje o:
- rasie,
- pochodzeniu etnicznym,
- poglądach politycznych,
- wierzeniach religijnych,
- przekonaniach światopoglądowych,
- przynależności do związków zawodowych,
- danych genetycznych i biometrycznych,
- zdrowiu,
- seksualności oraz orientacji seksualnej.
Powyżej wspomniane dane można jednak przetwarzać w niektórych przypadkach, m.in. jeśli przetwarzanie:
- danych odbywa się za zgodą osoby, której one dotyczą,
- dotyczy danych, które w oczywisty sposób upubliczniła osoba, której one dotyczą,
- niezbędne jest do obrony roszczeń tej osoby,
- danych jest konieczne do ochrony żywotnych interesów osoby, której te dane dotyczą,
- konieczne jest do celów statystycznych.
Wszystkie przypadki, w których możliwe jest przetwarzanie danych wrażliwych określono w rozporządzeniu RODO a konkretnie w art. 9 ust. 2.
Kto jest odpowiedzialny za monitorowanie przetwarzania danych osobowych w firmie?
Osobą odpowiedzialną za nadzorowanie procesu przetwarzania danych jest inspektor ochrony danych osobowych. Jego rolą jest doradzanie organizacji, edukowanie pracowników zajmujących się danymi na temat ich obowiązków oraz monitorowanie, aby przetwarzanie danych odbywało się zgodnie z przepisami i w sposób bezpieczny.
Nie każda organizacja musi mieć inspektora. Jego powołanie jest wymagane, gdy przetwarzanie danych odbywa się na dużą skalę, stanowi kluczowy element działalności firmy lub gdy regularnie monitorowane są osoby fizyczne czy przetwarzane są szczególne kategorie danych.
Jakie są obowiązki związane ze zgłoszeniem naruszenia ochrony danych osobowych?
Zgodnie z prawem każde naruszenie ochrony danych, takie jak udostępnienie nieupoważnionym odbiorcom, wykorzystanie niezgodnie z przeznaczeniem czy przyczynienie się do czasowej niedostępności danych, powinno być w przeciągu 72 godzin zgłoszone do odpowiedniego organu nadzorczego (PUODO).
Jeśli okaże się, że naruszenie spowodowało wysokie ryzyko w stosunku do osób, których te dane dotyczą, istnieje obowiązek niezwłocznego poinformowania ich o tym fakcie.