Przedsiębiorco, wchodzi RODO – przetwarzanie danych osobowych

Z tego poradnika dowiesz się:


Podstawy prawne przetwarzania danych osobowych
Od 25 maja 2018 r. podstawą przetwarzania danych osobowych będzie RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady nr 2016/679 z dnia 14 kwietnia 2016 r. w sprawie ochrony danych osobowych, które zastępuje dotychczasową ustawę krajową, czyli ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Pomimo tego, że jest to akt unijny, będzie on również bezpośrednio stosowany w Polsce. Każdy podmiot, który posiada lub przetwarza dane osobowe, będzie musiał go przestrzegać.
Na poziomie krajowym powstanie ustawa, która będzie regulować m.in.:


Dane osobowe według RODO
Podobnie jak dzisiaj, również RODO dzieli dane osobowe na:


Do szczególnych danych osobowych zalicza się dane, które ujawniają:


Jak przetwarzać dane osobowe
Przetwarzanie danych osobowych to czynność, która obejmuje m.in.:

Czynności te mogą być wykonywane w sposób zautomatyzowany lub niezautomatyzowany.

Szczególną formą przetwarzania danych jest ich profilowanie. Jest to nowa instytucja, która ma na celu ocenę osoby fizycznej i jej przewidywane zachowanie. Chodzi na przykład o podanie daty urodzenia lub wieku w celu ustalenia dla danej osoby jej zdolności kredytowej albo propozycji sprzedaży usług medycznych. Osoby starsze zazwyczaj mają ograniczony dostęp do kredytów, natomiast są potencjalnymi klientami usług medycznych. Ustalenie tego przed złożeniem oferty będzie miało istotne znaczenie dla sprzedawcy, wymaga jednak uzyskania zgody potencjalnego klienta. Rozróżnia się profilowanie zwykłe (z udziałem czynnika ludzkiego) oraz zautomatyzowane (gdzie cały proces oceny kończy się podjęciem zautomatyzowanej decyzji).

Dane osobowe muszą być:


Kiedy można przetwarzać dane osobowe
Możesz przetwarzać dane osobowe, gdy:


Zgoda i wyraźna zgoda na przetwarzanie
W RODO występują dwa rodzaje zgody:

Zgoda wyraźna wymagana jest przy przetwarzaniu szczególnych kategorii danych osobowych. Pojawia się przy zautomatyzowanym podejmowaniu decyzji w indywidualnych przypadkach, w tym profilowaniu.
Odbierając zgodę na przetwarzanie danych osobowych przygotuj formularz, w którym odbierzesz zgodę na każdy cel przetwarzania oddzielnie. Nie możesz łączyć celów przetwarzania, czyli odbierać tzw. zgód ogólnych.
Nie nadużywaj przesłanki „zgody” jako podstawy przetwarzania danych osobowych. Osoba, której dane dotyczą, może wycofać zgodę w dowolnym momencie, równie łatwo jak ją wyraziła.
Jeżeli będzie chciała skorzystać z tego prawa, to administrator musi zakończyć przetwarzanie jej danych. Jeżeli przetwarzanie było związane z wykonaniem obowiązku nałożonego przez prawo, to administrator nie będzie mógł zrealizować żądania tej osoby.

Przestrzeganie zasad ochrony danych osobowych
Ochrona danych osobowych jest obowiązkiem:


Jeżeli urząd lub przedsiębiorca będzie przetwarzał dane osobowe, to może występować jako:


Podmiot przetwarzający dane na zlecenie powinien zawrzeć z administratorem danych pisemną umowę powierzenia, w której trzeba określić zasady przetwarzania danych osobowych. W praktyce w firmie dane osobowe przetwarzają konkretni pracownicy lub współpracownicy. Takie osoby powinny posiadać upoważnienie do przetwarzania danych osobowych.

Inspektor Ochrony Danych (IOD)
Będziesz musiał powołać Inspektora Ochrony Danych (IOD), jeśli:

Inspektor musi być powołany także w przypadku, gdy dane będą przetwarzane przez jednostki sektora publicznego (urzędy).

Inspektor danych osobowych to nowa instytucja, która zastąpi dotychczasowego Administratora Bezpieczeństwa Informacji - ABI. Do zadań IOD będzie też należało:

Są to nowe zasady wprowadzone przez RODO.
Więcej na ten temat przeczytasz w dalszej części poradnika.

Ocena skutków dla ochrony danych osobowych
Nowością w RODO jest odejście od obowiązku rejestracji zbiorów danych osobowych. Zamiast tego wprowadza się procedurę tzw. oceny skutków dla ochrony danych osobowych.
Ocena skutków jest związana przede wszystkim z opisem procesu przetwarzania i ma pomóc w zarządzaniu ryzykiem naruszenia praw osób, których dane są przetwarzane. Ocenę przeprowadza się w sytuacji, kiedy przetwarzanie danych osobowych może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych. Obowiązkowo należy dokonać oceny przy przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa albo danych pochodzących z miejsc systematycznie monitorowanych na duża skalę (np. kamery w miejscach publicznych) czy profilowaniu.

Jeżeli będziesz mieć wątpliwości, czy musisz prowadzić ocenę skutków, to skonsultuj się z Urzędem Ochrony Danych Osobowych.

Prawa osób, których dane są przetwarzane
RODO daje także nowe prawa osobom, których dane dotyczą:

Uwaga! Dotyczy to danych, które przetwarza się elektronicznie i nie obejmuje tradycyjnych, papierowych zbiorów danych.

Incydent bezpieczeństwa
RODO wprowadza także obowiązek zgłaszania naruszeń ochrony danych osobowych (incydent bezpieczeństwa). Zgłoszenie powinno być skierowane do UODO w ciągu 72 godzin i powinno obejmować wszystkie zdarzenia, które mogły:

Zgłoszenia dokonuje administrator danych.

Przeczytaj też jak przygotować się do RODO.