Spis treści
- Czym są dane osobowe?
- Które dane to dane osobowe?
- Co to jest ochrona danych osobowych?
- Kto musi przestrzegać przepisów o ochronie danych osobowych?
- Co oznacza przetwarzanie danych osobowych?
- Kiedy można przetwarzać dane osobowe?
- Kto zajmuje się przetwarzaniem danych osobowych?
- Kto jest odpowiedzialny za monitorowanie przetwarzania danych w przedsiębiorstwie?
- Obowiązek zgłoszenia naruszenia ochrony danych osobowych
Czym są dane osobowe?
25 maja 2018 w Polsce weszło w życie ustalone nieco ponad dwa lata wcześniej (27 kwietnia 2016 roku), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, czyli Ogólne Rozporządzenie o Ochronie Danych Osobowych, w skrócie RODO. W art. 4 Pkt 1 tego rozporządzenia pojawia się definicja, która określa, że danymi osobowymi nazywamy informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Mogą to być imię i nazwisko, data urodzenia, PESEL, dane adresowe, numer telefonu czy e-mail.
Rozporządzenie mówi też o informacjach związanych z fizyczną, fizjologiczną, genetyczną, psychologiczną, ekonomiczną czy społeczną tożsamością danej osoby. Uwzględniona została również taka kwestia, jak dane szczególnie chronione, czyli rasa, stan zdrowia, orientacja seksualna czy dane biometryczne – tych danych nie wolno przetwarzać.
Które dane to dane osobowe?
Za dane osobowe może być uznana pojedyncza informacja, pozwalająca ustalić tożsamość danej osoby. Przykładowo może to być numer PESEL lub NIP. Najczęściej jednak pojedyncza informacja to za mało, żeby uznać ją za dane osobowe – często jest ona niewystarczająca, by na jej podstawie zidentyfikować konkretnego człowieka. Dopiero jej połączenie z innymi danymi daje taką możliwość.
Z prawnych definicji nie wynika jasno, które dokładnie informacje lub jaki ich zestaw bez wątpliwości stanowi dane osobowe. W wielu przypadkach konieczna jest indywidualna ocena tego, czy konkretna informacja jest już cechą osobową, umożliwiającą identyfikację.
Co to jest ochrona danych osobowych 2024?
Podmioty gospodarcze, które dysponują danymi osób fizycznych, zobowiązane są chronić posiadane informacje. Ochrona danych osobowych ma na celu zabezpieczenie ich przed wyciekiem, utratą, dostaniem się w niepowołane ręce czy wykorzystaniem w innym celu, niż ten, na który wyrażono zgodę.
Ochronie podlegają zarówno pojedyncze informacje uznane za dane osobowe, jak i całe ich zbiory. Przepisy nie określają dokładnie w jaki sposób dane mają być chronione i jakie zabezpieczenia należy stosować. Jest to kwestia bardzo indywidualna, a metody te powinny być każdorazowo dopasowane do charakteru działalności danej firmy.
Kto musi przestrzegać przepisów o ochronie danych osobowych?
Przepisów o ochronie danych osobowych zobowiązani są przestrzegać wszyscy przedsiębiorcy działający na terenie Unii Europejskiej lub przetwarzający informacje o obywatelach UE. Nie ma tu znaczenia, czy jest to duża korporacja, czy mały lokalny biznes ani ile osób zatrudnia. Również osoby prowadzące jednoosobową działalność gospodarczą są zobowiązane do chronienia danych swoich klientów.
Przepisy o ochronie danych osobowych nie dotyczą natomiast przedsiębiorców, których działalność nie jest w żaden sposób związana z Unią Europejską (nie prowadzą firmy na jej terenie ani nie kierują oferty do jej obywateli). Osoby fizyczne nie są zobowiązane do przestrzegania tych przepisów, o ile ich działania mają charakter prywatny. Nie ma także obowiązku chronienia danych osoby zmarłej.
Co oznacza przetwarzanie danych osobowych 2024?
Według RODO przetwarzanie danych to pojedyncza operacja lub kilka operacji, które są dokonywane na danych osobowych. Przykładowo może to być zbieranie, utrwalanie, przeglądanie, modyfikowanie, wykorzystywanie, udostępnianie, usuwanie lub niszczenie danych.
Podmiot przetwarzający dane osobowe może robić to jedynie w konkretnym celu, który ma uzasadnienie gospodarcze. Dane mogą być przetwarzane w sposób tradycyjny lub zautomatyzowany.
Kiedy można przetwarzać dane osobowe 2024?
Przetwarzanie danych dozwolone jest pod warunkiem, że robi się to w konkretnym, uzasadnionym prawnie celu i wyłącznie z użyciem tych danych, które są do tego niezbędne. Do legalnego przetwarzania danych musi być spełniony przynajmniej jeden z poniższych warunków:
- posiadanie zgody osoby, której dotyczą dane;
- konieczność wypełnienia zobowiązania umownego względem osoby, której dotyczą dane;
- spełnienie obowiązku prawnego;
- ochrona żywotnych interesów osoby, której dotyczą dane;
- wykonanie zadania leżącego w interesie publicznym;
- działanie w uzasadnionym interesie firmy (z zastrzeżeniem, że nie można przetwarzać danych osoby, której prawa są nadrzędne wobec interesów firmy).
Kto zajmuje się przetwarzaniem danych osobowych w 2024?
O sposobie i celu przetwarzania danych osobowych decyduje administrator danych. Może nim być osoba fizyczna, która jest właścicielem przedsiębiorstwa lub samo przedsiębiorstwo – funkcje administratora pełni wtedy zarząd. Administrator jest odpowiedzialny za bezpieczne i zgodne z przepisami przetwarzanie danych.
Administrator danych może powierzyć zadanie ich przetwarzania zewnętrznemu podmiotowi przetwarzającemu, który będzie przetwarzać i przechowywać dane w jego imieniu.
Kto jest odpowiedzialny za monitorowanie przetwarzania danych w przedsiębiorstwie?
Osobą, która monitoruje sposób przetwarzania danych jest inspektor ochrony danych osobowych. Do jego obowiązków należy doradzanie firmie, informowanie pracowników przetwarzających dane o ich obowiązkach oraz kontrolowanie, czy dane przetwarzane są w sposób bezpieczny i zgodny z przepisami.
Nie każda firma jest zobowiązana do powołania inspektora ochrony danych osobowych. Jest to konieczne kiedy przetwarza się dane na dużą skalę, przetwarzanie danych jest głównym obszarem działalności przedsiębiorstwa lub kiedy regularnie monitoruje się osoby fizyczne albo przetwarza szczególne dane.
Obowiązek zgłoszenia naruszenia ochrony danych osobowych
Zgodnie z RODO każde naruszenie ochrony danych osobowych, takie jak udostępnienie nieupoważnionym odbiorcom, wykorzystanie niezgodnie z przeznaczeniem czy przyczynienie się do czasowej niedostępności danych, powinno być w przeciągu 72 godzin zgłoszone do odpowiedniego organu nadzorczego (PUODO).
Jeśli okaże się, że naruszenie spowodowało wysokie ryzyko w stosunku do osób, których te dane dotyczą, istnieje obowiązek niezwłocznego poinformowania ich o tym fakcie.