Jesteś przedsiębiorcą, który codziennie w swojej pracy ma do czynienia z danymi osobowymi? Czy wiesz, jakie obowiązki w związku z tym na Tobie ciążą? RODO, czyli ustawa, która zrewolucjonizowała przepisy dotyczące przetwarzania i zasady ochrony danych osobowych. Wprowadziła podział na zwykłe dane osobowe i te szczególne, zwane także wrażliwymi, do których zaliczają się m.in. informacje o stanie zdrowia, dane genetyczne, pochodzenie i przynależność religijna. Co jeszcze zmieniło się od czasu wprowadzenia ustawy RODO?
Zasady ochrony danych osobowych – na czym polega przetwarzanie?
Głównym celem ustawy RODO jest ochrona osób fizycznych przed nieuprawnionym użyciem ich danych, co może spowodować szkody dla ich osoby np. wykonanie nieuprawnionych transakcji, podszywanie się pod kogoś i innych czynności, które prowadzą do nieporozumień prawnych oraz łamią zasady współżycia społecznego i prawa wolności osób fizycznych. Ustawa nakłada dużą odpowiedzialność na administratorów danych i podmioty przetwarzające.
Zgodnie z RODO przetwarzanie danych to: zbieranie, utrwalanie, porządkowanie, organizowanie, przechowywanie, adaptowanie i modyfikowanie, pobieranie, przeglądanie, ujawnianie, wykorzystywanie, przesyłanie, rozpowszechnianie, udostępnianie, dopasowywanie, łączenie, ograniczanie, usuwanie i niszczenie danych osobowych. Ochrona danych osobowych to obowiązek administratorów, czyli podmiotów (przedsiębiorców), którzy decydują, w jakim celu oraz w jaki sposób będą przetwarzane dane.
Kto może być administratorem danych?
RODO przewiduje, że administratorem albo podmiotem przetwarzającym dane osobowe jest zawsze firma, a nie jej pracownik. Pracownik zajmuje się jedynie przetwarzaniem danych w firmie na podstawie posiadanego upoważnienia. Zgodnie z ustawą RODO administratorem danych może być:
- zakład pracy,
- właściciel strony internetowej.
Podmiotem przetwarzającym dane osobowe może być:
- administrator, który sam przetwarza dane,
- podmiot zewnętrzny przetwarzający dane na podstawie zawartej umowy pisemnej – przetwarza dane w imieniu i na rzecz administratora.
Podmiotami przetwarzającymi dane mogą być biura rachunkowe przetwarzające dane przedsiębiorstwa klientów i instytucji, których podjęły z nimi współpracę. Takimi podmiotami mogą być także przedsiębiorstwa IT, które profesjonalnie zajmują się przechowywaniem albo niszczeniem danych osobowych, które zostały dostarczone przez klientów.
Jeśli w firmie dane przetwarzane są na dużą skalę lub przetwarzanie dotyczy szczególnych kategorii danych, które wymagają stałego monitorowania osób na dużą skalę, to obowiązkowo w firmie musi zostać powołany Inspektor Ochrony Danych. Obowiązek ten dotyczy także sektora publicznego.
Zasady ochrony danych osobowych – zasady bezpieczeństwa
Do przetwarzania danych osobowych może dojść tylko i wyłącznie, jeśli klient wyrazi jasną zgodę na ich przetwarzanie. Zasady ochrony danych osobowych wg RODO to działanie zgodne z zasadą minimalizmu, czyli przetwarzanie tylko tych danych, które są niezbędne do osiągnięcia celu. Kolejną ważną rzeczą jest profilowanie danych, by ocenić osobę fizyczną i przewidzieć jej zachowanie, np. profilowaniem będzie prośba podania daty urodzenia, by zweryfikować wiek.
By można było profilować dane, użytkownik musi wyrazić w wyraźny sposób zgodę. Co więcej, zasady ochrony danych osobowych to także rejestrowanie wszystkich czynności przetwarzania przez administratora oraz stosowanie zabezpieczeń, mających na celu zapobieganie przetwarzania danych w sposób niezgodny z prawem. Administrator może w tym celu np. zaszyfrować dane, by zidentyfikowanie osoby, której dane dotyczą, było niemożliwe. Osoby, których dane są przetwarzane, mają prawo do bycia zapomnianym, ograniczenia przetwarzania, przenoszenia danych oraz sprzeciwu wobec przetwarzania ich danych.