RODO

RODO

1. Co to są dane osobowe?

 

Zgodnie z treścią RODO dane osobowe to:

„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej 

 

Dane osobowe będą to takie dane,  które już na pierwszy rzut oka jako takie zaklasyfikujemy, jak na przykład – imię, nazwisko, wizerunek, numer PESEL, adres zamieszkania, numer telefonu, adres e-mail osoby fizycznej. Ale danymi osobowymi  będą też zestawy danych, które łącznie prowadzą do łatwego zidentyfikowania osoby, np. imię + wiek + miejsce zatrudnienia.

 

Adres IP to również dana osobowa, ponieważ jest to wskazany w RODO “identyfikator internetowy”.

 

Zdjęcie twarzy to również dana osobowa = wizerunek.

 

Dane osobowe dzielimy na różne kategorie:

  • Zwykłe

  • Biometryczne

  • Szczególne

 

Dane biometryczne:

Zgodnie z RODO oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne (czyli odciski palców).

 

Dane biometryczne to dane uzyskane np. poprzez narzędzie rozpoznające twarze, narzędzie czytające odcisk palca.

 

Dane szczególne to rodzaj danych:

ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. 

 

2. Co to jest zbiór danych?

 

Zgodnie z RODO „zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie. 

 

Zbiór danych osobowych może być prowadzony zarówno w sposób tradycyjny – papierowy, jak i za pomocą systemu informatycznego. Należy jednak pamiętać, że ze zbiorem danych osobowych mamy do czynienia już w momencie gdy kryteria dotyczą danych jednej osoby.

 

Jeżeli mamy dwa narzędzia przetwarzające dane osobowe (np są w CMS i w excelu), ale wszystkie dane osobowe w obu narzędziach są takie same - wtedy mamy jeden zbiór, przetwarzany w dwóch programach. Jeżeli zbiory te się różnią, nawet nieznacznie (np. w excelu mamy wyselekcjonowaną daną grupę z CMSa) to wtedy mamy dwa zbiory. 

 

UWAGA: Jeżeli mamy dwa zbiory, które są identyczne jeżeli chodzi o ich zawartość, ale różni się cel ich przetwarzania (np. jeden zbiór służy do obsługi konkursu, a drugi do wysyłki mailingu) to to również są dwa różne zbiory!

 

3. Co to jest przetwarzanie danych?

 

Zgodnie z RODO:

„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie 

 

To co ważne to to, że samo zbieranie, przechowywanie czy nawet sam dostęp do danych to już jest ich przetwarzanie. Tak więc nawet jeżeli nic z danymi nie robimy, a tylko sobie siedzą na naszym serwerze - to już jest ich przetwarzanie.

 

4. Jakie są podstawy przetwarzania danych osobowych

 

Żeby móc przetwarzać dane osobowe konkretnej osoby, musimy mieć jakąś podstawę legalizującą przetwarzanie. 

 

Jest to wymóg bez wyjątków w Waszej działalności, jak nie ma podstawy = przetwarzamy dane nielegalnie.

 

Podstawy są następujące:

  1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych określonym celu

  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy

  3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; 

  4. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią 

 

Ad. 1

Pamiętajcie, że zgoda jest wymagana tylko w przypadku kiedy nie zachodzi żadna inna przesłanka legalizująca przetwarzanie. Zgoda musi być jasna, dobrowolna. Zgody nie mogą być łączone, w zgodzie muszą być jasno określone cele przetwarzania (jak zmienia się cel przetwarzania trzeba dostać nową zgodę). Checkbox ze zgodą nie może być domyślnie zaznaczony i nie może być wymogiem do podstawowej czynności, przy której podaje się dane np. złożenia zamówienia.

 

Ad. 2

Wykonanie umowy lub czynności zmierzające do jej zawarcia - będą tu wszystkie osoby, które odzywają się do Was przez formularz kontaktowy lub na maila z prośbą o ofertę, o wskazanie doświadczenia, itp.

Dodatkowo mieszczą się tu wszystkie dane osób, na których rzecz świadczymy usługę lub sprzedajemy produkty.

 

Ad. 3

Tu są różne kwestie związane z obowiązkami prawnymi, np: dokonywanie rozliczeń, obowiązki podatkowe, archiwizacyjne, a nawet jak np. policja czy komornik zobowiąże nas do podania danych konkretnej osoby.

 

Ad. 4

Realizacja prawnie usprawiedliwionych interesów administratora to dwa najważniejsze aspekty:

  • Marketing bezpośredni (TAK! Na wysyłanie newslettera nie trzeba mieć zgody na przetwarzanie danych, ale trzeba mieć inne zgody ;))

  • Dochodzenie swoich praw w sądzie - a więc np. korzystanie z firmy windykacyjnej

 

5. Obowiązek informacyjny

 

Kiedy mamy już dane osobowe, które są zbierane legalnie, musimy jeszcze spełnić obowiązek informacyjny wobec osoby, której dane zbieramy. 

Obowiązek informacyjny istnieje zawsze, jest całkowicie niezależny od podstawy przetwarzania. 

 

Zgodnie z RODO podczas zbierania danych osobowych, administrator ma obowiązek w przejrzysty, prosty i napisany ludzkim językiem sposób podać informacje takie jak:

  1. Tożsamość administratora danych i jego dane kontaktowe

  2. Cel i podstawa prawna przetwarzania

  3. Wskazanie uzasadnionych interesów realizowanych przez administratora, jeżeli na tej podstawie dane są przetwarzane (na przykład do celów marketingu)

  4. Okres przechowywania danych (lub sposób jego ustalenia)

  5. Informacje dot. prawa do dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, prawie do wniesienia sprzeciwu oraz prawie do przenoszenia danych

  6. Informacje dot. prawa do cofnięcia zgody w dowolnym momencie

  7. Informacje o prawie wniesienia skargi do organu nadzorczego

  8. Informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych

  9. Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania

 

UWAGA: osoba, której dane zbieramy nie musi w żaden sposób potwierdzić, że zapoznała się z oświadczeniami. Muszą jej one być po prostu wyświetlone, nie musimy robić checkboxów “Zapoznałem się”.

 

6. Kto jest administratorem danych?

 

Administrator danych to podmiot, który ustala cele i sposoby przetwarzania danych osobowych.

 

7. Powierzenie przetwarzania danych

 

W niektórych przypadkach jesteśmy podmiotem powierzającym dane osobowe innym podmiotom do przetwarzania. Rodzaje tych podmiotów mogą być różne:

  • Hostingodawcy

  • Usługodawcy internetowi (narzędzia do mailingu, do zbierania danych, portale społecznościowe)

  • Usługodawcy tradycyjni (księgowa, informatyk, firmy kurierskie)

  • Współpracownicy na umowach B2B (czyli wyłączamy tylko osoby na umowach zlecenia, dzieło i o pracę)

 

Z każdym w/w podmiotem musimy mieć podpisaną umowę powierzenia.

W przypadku dużych podmiotów procedura zawarcia takiej umowy jest zuniformizowana - na ogół wystarczy wysłać do takiego podmiotu maila o treści poniżej, a podmiot taki udostępnia przygotowaną przez siebie umowę.

 

Szanowni Państwo,

 

w związku z faktem, że powierzamy Państwu przetwarzanie danych osobowych naszych …..., proszę o przesłanie projektu używanej przez Państwa umowy powierzenia przetwarzania danych osobowych, dostosowanej do rozporządzenia RODO.

 

Z poważaniem,

XXX

 

Jeżeli podmiot taką umową nie dysponuje - wysyłamy naszą do podpisu.

 

RODO dozwala na zawarcie umowy powierzenia nie tylko w formie pisemnej, ale w każdej, którą jesteśmy w stanie udokumentować. Zapewne więc niebawem umowy te będą wplecione do regulaminów albo zawierane poprzez klikanie checkboxów.

 

8. Odpowiedzialność za naruszenie danych

 

Odpowiedzialność za naruszenie przepisów ma charakter łańcuszkowy.

Zawsze wobec osoby, której dane dotyczą odpowiada administrator. Jeżeli błąd leży niżej - w działaniach lub zaniechaniach procesora, wtedy administrator może dochodzić od niego zwrotu poniesionych kosztów.

 

9. Prawa i obowiązki klientów i administratora

 

Jako administrator danych osobowych swoich klientów, należy spełnić szereg obowiązków wobec tych osób. Należy pamiętać, jakie prawa i obowiązki pod RODO mają administratorzy oraz osoby, których dane dotyczą.

 

Prawa osób, których dane dotyczą (klientów):

  1. Prawo do informacji i przejrzystej komunikacji

  2. Prawo dostępu do danych

  3. Prawo do sprostowania i usunięcia danych

  4. Prawo do ograniczenia przetwarzania

  5. Prawo do przeniesienia danych

  6. Prawo do sprzeciwu

  7. Prawo do niepodlegania zautomatyzowanemu przetwarzaniu danych osobowych

 

Trzeba pamiętać również, że prawo użytkownika to z drugiej strony obowiązek administratora.

 

Dodatkowe obowiązki administratorów i podmiotów przetwarzających dane osobowe:

  1. wdrożenie i utrzymywanie odpowiednich środków technicznych i organizacyjnych,

  2. poddawanie środków przeglądom i aktualizacjom,

  3. współpraca z organem nadzorczym,

  4.  zawiadamianie o naruszeniu ochrony danych,

  5. umożliwienie realizowania praw podmiotom danych.

 

 

INFORMACJE OGÓLNE:

 

  1. Każda osoba, której dane przetwarzamy ma prawo otrzymać od nas informacje o tym jak przetwarzamy jej dane. Ma prawo żądania:

    1. dostępu do treści danych osobowych

    2. ich sprostowania

    3. usunięcia 

    4. prawo do ograniczenia ich przetwarzania

    5. prawo do cofnięcia zgody w dowolnym momencie 

    6. prawo do przenoszenia danych 

    7. prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych.

  2. Wytłumaczenie co kryje się za każdym z powyższych żądań znajduje się poniżej.

  3. Zawsze, zanim udostępnimy osobie jakiekolwiek informacje o przetwarzaniu przez nas danych, należy zweryfikować tożsamość tej osoby.

  4. Uproszczony schemat postępowania w przypadku obsługi żądań osób, których dane dotyczą znajduje się w Załączniku nr 14 do PBI.

 

OMÓWIENIE ŻĄDAŃ OSÓB, KTÓRYCH DANE DOTYCZĄ

 

Ad. 1a

Oznacza to, że jesteśmy zobowiązani do przekazania osobie jakie dane na jej temat przetwarzamy. W praktyce polega to na dostarczeniu osobie kopii danych - np. w formie word/excel. 

 

W prawie dostępu mieści się ponadto udzielenie osobie (tylko na jej żądanie!) następujących informacji:

  • cele przetwarzania;

  • kategorie danych osobowych;

  • informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione;

  • w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

  • jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą - wszelkie dostępne informacje o ich źródle.

 

Ad. 1b

Powinniśmy przetwarzać tylko dane, które są zgodne z prawdą i aktualne. W związku z tym, jak ktoś nas poinformuje, że jego dane się zmieniły - należy zmiany te nanieść w systemie.

 

Ad. 1c

Osoba może żądać usunięcia danych.

Musimy jednak pamiętać, że mamy prawo odmówić usunięcia danych, jeżeli są nam one nadal potrzebne - np. prowadzimy windykację wobec takiej osoby lub kiedy roszczenia wobec tego klienta jeszcze się nie przedawniły.

RODO nie stoi ponad innymi ustawami i ponad słusznym interesem administratorów danych, więc żądanie usunięcia danych nie może paraliżować np. naszej działalności lub możliwości dochodzenia przez nas roszczeń.

 

Ad. 1d

Żądanie te jest ściśle powiązane z pkt 1c. Jeżeli nie usuwamy wszystkich danych to powinniśmy ograniczyć ich przetwarzanie do niezbędnego minimum. 

Np. jeżeli ktoś żąda usunięcia danych, a roszczenia z umowy z nim nie wygasły, to usuwamy dane niesłużące do obrony naszych interesów, czyli np. jego e-mail, na który wysyłamy newsletter.

 

Ad. 1e

Nie przetwarzamy żadnych danych na podstawie zgody, więc nie dotyczy nas te żądanie. 

I w przypadku kiedy osoby kierują do nas takie żądanie należy ich o tym poinformować - że przetwarzamy ich dane osobowe:

  • w związku z realizacją umowy na ich rzecz (klienci);

  • kiedy jesteśmy wierzycielem naszego klienta, który nam nie zapłacił to realizujemy nasze usprawiedliwione interesy tj. dochodzimy roszczenia od byłego klienta.

 

Ad. 1f

Przenoszenie danych to dość skomplikowane zagadnienie, w przypadku skierowania takiego żądania proszę o kontakt.

 

Ad. 1g

W przypadku gdy dane osobowe nie są przetwarzane na podstawie zgody (tylko innej podstawie - patrz ad. 1e) wtedy osoba może złożyć sprzeciw wobec przetwarzania jej danych. Oznacza to tyle - że powinniśmy te dane usunąć (żeby zaprzestać ich przetwarzania). Oczywiście - jeżeli te dane nadal są nam potrzebne - np. w celu określonym w ad. 1e - wtedy wykonujemy sprzeciw już po ustaniu tego okresu.