INFORMATOR RODO

Czym jest rozporządzenie 2016/679 zwane także RODO?

Jest to ogólnoeuropejski zbiór praw osób fizycznych i obowiązków administratorów oraz podmiotów przetwarzających. Rozporządzenie określa między innymi na jakich zasadach należy przetwarzać dane osobowe, jakie podstawy prawne należy posiadać aby przetwarzanie było zgodne z prawem oraz jakie prawa osoby fizyczne posiadają związku z przetwarzaniem ich danych.

Czy rozporządzenie 2016/679 jest nadrzędnym aktem prawnym w stosunku do przepisów krajowych?

Nie, wszystkie przepisy są równe i wymagalne w takim samym zakresie. Rozporządzenie 2016/679 jedynie określa ramy w jakich ustawodawcy powinni się poruszać w ustalaniu przepisów krajowych aby nie naruszyć podstawowych praw i wolności osób fizycznych.

Jaki jest cel RODO?

Podstawowym celem RODO jest ochrona osób fizycznych związku z przetwarzaniem ich danych osobowych oraz ujednolicenie przepisów dotyczących przetwarzania danych osobowych w całej Europie.

Kim jest administrator?

Administrator może być wyznaczony przez przepisy do przetwarzania danych osobowych lub może być nim osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Kim jest inspektor ochrony danych zwany, także IOD?

IOD to osoba nadzorująca procesy przetwarzania danych osobowych, badająca ich zgodność
z przepisami. Z IOD kontaktować się mogą wszyscy, których administrator przetwarza dane osobowe.

Czym są dane osobowe?

Wszelkie informacje o osobie fizycznej na podstawie których możemy ją zidentyfikować lub już została zidentyfikowana, np.: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Czym jest przetwarzanie?

Są to różne operacje wykonywane na danych, bez względu czy są wykonywane przez systemy, aplikacje czy przez człowieka, miedzy innymi takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Kto kontroluje przestrzeganie RODO?

W każdym kraju Unii Europejskiej został powołany organ nadzorczy, którego zdaniem jest kontrola przestrzegania przepisów dotyczących przetwarzania danych osobowych. W Polsce organem nadzorczym jest Urząd Ochrony Danych Osobowych na czele, którego stoi Prezes Urzędu Ochrony Danych Osobowych. Urząd mieści się w Warszawie na ul. Stawki 1 a Prezesem obecnie jest Jan Nowak.

Czy każdy może przetwarzać dane osobowe?

Nie, aby przetwarzać dane osobowe należy spełnić jedną z sześciu przesłanek prawnych tj.:

  1. zgoda – posiadać zgodę osoby fizycznej, której dane osobowe dotyczą;

  2. umowa – przetwarzanie danych osobowych musi być niezbędne do realizacji umowy, której stroną jest osoba fizyczna, której dane dotyczą lub na żądanie tej osoby przed zawarciem umowy;

  3. obowiązek prawny – przetwarzanie jest niezbędne do realizacji obowiązku wynikającego z przepisów;

  4. żywotny interes – przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby fizycznej;

  5. interes publiczny i władza publiczna – przetwarzanie jest niezbędne do wykonywania władzy publicznej lub do wykonania zadania realizowanego w interesie publicznym;

  6. prawny interes – przetwarzanie jest niezbędne do realizacji innych prawnie uzasadnionych interesów.

Jakimi zasadami musi się kierować administrator przetwarzając dane osobowe?
  1. ZGODNOŚĆ Z PRAWEM, RZETELNOŚĆ I PRZEJRZYSTOŚĆ – przetwarzanie musi być zgodne z prawem, wykonywane rzetelnie oraz przejrzyście dla osoby fizycznej, której dane dotyczą.

  2. OGRANICZENIE CELU – dane osobowe muszą być zbierane (pobierane) w konkretnych, wyraźnych i przede wszystkim prawnie uzasadnionych celach a dalsze przetwarzanie nie może być realizowane w innym celu.

  3. MINIMALIZACJA DANYCH – przetwarzane dane osobowe muszą być adekwatne, stosowne i ograniczone do tego co niezbędne, do realizacji celu, w którym zostały pobrane.

  4. PRAWIDŁOWOŚĆ – dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane, nieprawidłowe dane muszą być niezwłocznie usunięte lub sprostowane.

  5. OGRANICZENIE PRZECHOWYWANIA – dane osobowe muszą być przechowywane nie dłużej niż jest to niezbędne do realizacji celów przetwarzania.

  6. INTEGRALNOŚĆ I POUFNOŚĆ – dane osobowe muszą być zabezpieczone przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.

Czym jest obowiązek informacyjny?

Obowiązek informacyjny wynika z art. 13 i 14 rozporządzenia 2016/679. Obowiązek informacyjny administrator musi spełnić przy pozyskiwaniu danych osobowych jeżeli je pozyskuje bezpośrednio od osoby fizycznej. Jeżeli dane są pozyskiwane z innego źródła niż osoba fizyczna, której dane dotyczą to obowiązek informacyjny należy spełnić w ciągu 30 dni od pobrania danych. Wykonując obowiązek informacyjny administrator musi podać:

  1. swoją tożsamość i dane kontaktowe;

  2. dane kontaktowe inspektora ochrony danych;

  3. cele i podstawę prawną przetwarzania danych osobowych;

  4. informacje o odbiorcach lub kategoriach odbiorców danych osobowych;

  5. informacje o przekazywaniu danych osobowych do państw trzecich lub organizacji międzynarodowych (jeżeli występuje);

  6. czas przetwarzania danych osobowych;

  7. informacje o przysługujących prawach na mocy RODO;

  8. informacje czy podanie danych jest wymogiem i jakim oraz jakie są ewentualne konsekwencje ich niepodania (jeżeli administrator pobiera dane osobowe bezpośrednio od osoby fizycznej, której dane dotyczą);

  9. informacje o kategoriach danych (jeżeli administrator pobiera dane z innego źródła niż osoba fizyczna, której dane dotyczą);

  10. informacje o źródle danych (jeżeli administrator pobiera dane z innego źródła niż osoba fizyczna, której dane dotyczą);

  11. informacje o zautomatyzowanym przetwarzaniu i profilowaniu, jeżeli występuję.

Co muszę zrobić aby skorzystać z praw przysługujących mi na mocy RODO?

Każda osoba fizyczna, której dane osobowe przetwarza administrator może zażądać realizacji swoich prawa w każdej formie, jednak zawsze musi poddać się weryfikacji tożsamości.
W przypadku braku weryfikacji administrator ma prawo odmówić realizacji praw. Prawa osób fizycznych realizowane są w ciągu 30 dni od złożenia żądania, jeżeli są zasadne. W przypadku braku zasadności żądania osoba fizyczna otrzymuje informację zawierającą uzasadnienie odmowy realizacji prawa także w ciągu 30 dni od złożenia żądania.

Jakie prawa przysługują osobie fizycznej, której dane są przetwarzane?
  1. Prawo do sprostowania danych jeżeli są niepoprawne.

  2. Prawo do usunięcia danych jeżeli nie ma podstawy prawnej do przetwarzania danych osobowych.

  3. Prawo do ograniczenia przetwarzania jeżeli osoba fizyczna, kwestionuje prawidłowość danych osobowych bądź dane osobowe były przetwarzane bez podstawy prawnej.

  4. Prawo do przeniesienia danych do innego administratora jeżeli dane były przetwarzane
    w sposób zautomatyzowany i na podstawie zgody lub umowy.

  5. Prawo do sprzeciwu wobec przetwarzania z powodu szczególnej sytuacji nadrzędnej
    w stosunku do podstawy prawnej do przetwarzania.

  6. Prawo do niepodlegania zautomatyzowanemu przetwarzaniu jeżeli takie występuje.

  7. Prawo do wycofania zgody w dowolnym momencie jeżeli przetwarzanie odbywa się na podstawie zgody.

  8. Prawo do wniesienia skargi do organu nadzorczego jeżeli zostały naruszone przepisy dotyczące przetwarzania danych osobowych.

O czym musi wiedzieć osoba fizyczna, której przetwarzane są dane?
  1. Musi zostać poinformowana o przetwarzaniu zgodnie z art. 13 i 14 rozporządzenia 2016/679.

  2. Musi zostać poinformowana o odmowie realizacji jej żądania zgodnie z art. 12 rozporządzenia 2016/679.

  3. Musi zostać poinformowana o usunięciu, sprostowaniu lub ograniczeniu zgodnie z art. 19 rozporządzenia 2016/679.

  4. Musi zostać poinformowana o naruszeniu ochrony danych osobowych dotyczącym jej danych osobowych zgodnie z art. 34 rozporządzenia 2016/679.