April 2021

RODO - Kogo dotyczy Ochrona Danych Osobowych?

4 minut
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Contents

Temat RODO to dla wielu wciąż tajemnica – nie wiedzą co dokładnie oznacza ani w jakim celu zostało wprowadzone. Niejednemu nowe zagadnienia o Ochronie Danych Osobowych spędzają sen z powiek - nie ma się co dziwić, to niełatwy temat.

Nawet jeżeli z grubsza wiesz co to jest RODO (jeżeli nie, możesz przeczytać o tym >>> tutaj), to pozostaje jeszcze pytanie…

... Kogo dotyczy RODO? Czy Ochrona Danych obejmuje Twoją firmę?

RODO dotyczy każdego, kto przetwarza czyjeś dane osobowe. Nie ma potrzeby zajmowania się danymi osobowymi, dopóki nie korzystasz z danych innych ludzi. A korzystanie z danych osobowych to właśnie tzw.: przetwarzanie danych.


Czy zapisywanie danych osobowych, jest równoznaczne z ich przetwarzaniem? A może przetwarzanie tych informacji to moment wysłania maila? Co jest podmiotem przetwarzania danych?



Otóż przetwarzanie danych osobowych oznacza wszelkie operacje wykonywane na danych osobowych. Przykładem takich operacji jest:

  1. Zbieranie,
  2. Utrwalanie,
  3. Organizowanie,
  4. Przechowywanie,
  5. Pobieranie,
  6. Przeglądanie,
  7. Oraz inne wykorzystywanie danych osobowych.

Jeżeli zbierasz dane – to już je przetwarzasz. Jeżeli pracownik w Twojej firmie przegląda dane klientów – to już je przetwarza. Tym bardziej jeżeli do tych klientów później dzwoni lub pisze maile. Dla uproszczenia możesz przyjąć, że przetwarzanie danych osobowych to właściwie każda czynność jaką wykonujesz z danymi – nawet usuwanie danych jest rozumiane jako ich przetwarzanie.

5 podstaw przetwarzania danych („złota piątka RODO”) - Kiedy mogę korzystać z czyiś danych osobowych?

Wiemy już, że przetwarzanie danych osobowych to szerokie pojęcie, w którym zawarte są wszelkie procesy wykorzystywania danych. Czy to oznacza, że można po prostu wziąć dane osobowe dowolnej osoby i zacząć z nich korzystać? Otóż nie.

Żeby w ogóle móc korzystać z obcych danych osobowych, trzeba mieć podstawę do przetwarzania tych danych. RODO dokładnie precyzuje 5 takich przesłanek. W artykule (dla lepszego zapamiętania czytelników), roboczo nazwaliśmy te przesłanki „Złotą piątką RODO”:

  1. Pierwszą wymienioną jest zgoda osoby, której dane będziemy przetwarzać - jeżeli ktoś wyrazi zgodę, abyśmy korzystali z jej danych osobowych, wtedy możemy to robić.
  2. Druga z podstaw pozwala nam na przetwarzanie danych, jeżeli jest to proces niezbędny dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Co to znaczy w praktyce? Przykładowo, prawidłowe będzie przetwarzanie danych osobowych dla celów księgowych na podstawie ustawy o rachunkowości.
  3. Trzecia przesłanka to przetwarzanie danych osobowych, które jest niezbędne do zawarcia umowy. Najczęściej, jeżeli chcemy zawrzeć z kimś umowę – to po pierwsze, musimy te dane otrzymać, żeby przygotować umowę, a następnie, aby ją wykonać.
  4. Czwarta zasada – pozwala na przetwarzanie danych osobowych, gdy jest to niezbędne do wykonania określonych prawem zadań realizowanych np. w ramach sprawowania władzy publicznej. Przykładowo: organy władzy publicznej wykorzystują nasze dane, żeby ułożyć listy wyborców, i tym samym umożliwić nam oddanie głosu w wyborach.
  5. Finalnie, piąta przesłanka pozwala na przetwarzanie danych, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Ta podstawa jest najtrudniejszą do wykazania i jednocześnie może być najkorzystniejsza z punktu widzenia np. marketingu firmy.

Każda z tych przesłanek to tak naprawdę odpowiedni sposób działania – procedura, którą można z powodzeniem wdrożyć w firmie.

8 zasad przetwarzania danych osobowych

Odpowiednia podstawa do przetwarzania danych to jednak nie wszystko. Jeżeli ktoś już wyraził zgodę na przetwarzanie swoich danych, to czy od tego momentu możemy z nimi robić, co nam się podoba? – Znów musimy zaprzeczyć.

Przetwarzanie danych to nieskończenie szeroki katalog możliwości - RODO ustanawia ogólne zasady przetwarzania danych, które tworzą główne ramy dla wszelkiego przetwarzania danych.

Dane zatem możemy przetwarzać, mając odpowiednie podstawy (nasza roboczo nazwana „złota piątka RODO”) oraz stosując do tego przetwarzania omówione poniższe zasady:

  1. Zasada legalności,
  2. Zasada rzetelności i przejrzystości
  3. Zasada celowości,
  4. Zasada minimalizacji,
  5. Zasada prawidłowości
  6. Zasada retencji danych
  7. Zasada integralności i poufności,
  8. Zasada rozliczalności.

Na pierwszy rzut oka zasady te mogą jawić się jako niezrozumiałe, prawnicze zaklęcia, jednak każda z tych zasad, to po prostu pewna praktyka, jaką należy wdrożyć w firmie poprzez np.: odpowiednie procedury lub dokumenty.

Kto przetwarza dane osobowe? - Administrator i procesor.

RODO precyzuje więc, czym są dane osobowe, a także ustanawia podstawy i zasady korzystania z danych. Aby system był kompletny, trzeba jeszcze ustalić, kto dokładnie te dane przetwarza. Dzięki temu wiadomo, kto jest zobowiązany do stosowania wcześniej omówionych zasad.

Najważniejszym podmiotem w łańcuchu przetwarzania danych osobowych jest administrator danych osobowych. Administrator to podmiot, który decyduje o celach i środkach przetwarzania danych – a więc osoba, która najczęściej zbierała dane i decydowała o dalszych losach ich przetwarzania.

W praktyce więc administratorem będzie spółka, która prowadzi sklep internetowy i w ramach swojej działalności zbiera dane klientów oraz użytkowników, którzy np.: zapisali się do otrzymywania firmowego newslettera. Spółka decyduje, jak będzie przetwarzała zebrane dane – np. poprzez wysyłkę reklam pocztą e-mail.

Drugim ważnym podmiotem jest procesor danych osobowych. Jest to podmiot, który przetwarza dane w imieniu administratora danych osobowych. Najlepszym przykładem procesora będzie biuro księgowe – otrzymuje ono od swoich klientów masę danych osobowych, takich jak dane pracowników, ale tylko po to, żeby odpowiednio rozliczyć ich pensje czy podatki - wyłącznie na potrzeby administratora takich danych. Sam procesor nie decyduje co i jak będzie robił z danymi i wręcz nie może używać ich do żadnych swoich celów.

Przetwarzanie danych osobowych w firmie

Jeżeli Twoja firma zbiera dane osobowe użytkowników lub klientów, to z pewnością dokonuje ich przetwarzania. W takim wypadku powinna spełniać wszystkie wymogi RODO – te dotyczące podstawy przetwarzania i ich zasad – ale także powinna prowadzić stosowne rejestry przetwarzania danych osobowych, podpisać umowy powierzenia przetwarzania i pamiętać o koniecznych upoważnieniach.

Jeżeli chcesz się dowiedzieć więcej na ten temat – skontaktuj się z nami, a my odpowiemy na wszystkie twoje pytania!
Write to us!Contact us
Is this article not enough?
If you still haven't found answers to your questions or require legal advice - we're here to help.

Fill out our contact form, let's talk.

Contact us
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Contents