RODO w praktyce: podstawowe pojęcia
Blog

RODO w praktyce: podstawowe pojęcia

RODO w praktyce: podstawowe pojęcia
Agata Podbielska
25.04.2024
5 min read

Odpowiednie pracowanie na danych osobowych lub zestawach danych, a także zapewnienie prawidłowości operacji wykonywanych na danych jak i ich przetwarzanie jest kluczowe do prawidłowego funkcjonowania Twojego przedsiębiorstwa.

W niniejszym artykule spróbujemy odpowiedzieć na nurtujące pytania przedsiębiorców, którzy zobligowani są do prawidłowego przechowywania, a zarazem przetwarzania danych osobowych lub przekazanych zestawów danych i wyjaśnimy podstawowe pojęcia związane z tą problematyką.

Czym jest "przetwarzanie danych osobowych"?

Zgodnie właśnie z RODOD, samo "przetwarzanie danych osobowych" zostało zdefiniowane w art. 4 tj.:

„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

Należy zatem zwrócić uwagę, że przetwarzanie danych osobowych obejmuje wszelkie operacje wykonywane na danych, od momentu ich otrzymania do usunięcia.

RODO posługuje się ogólnymi pojęciami takimi jak "zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie", więc katalog ten jest bardzo szeroki. Co istotne, dotyczy to działania zarówno cyfrowego (w systemach informatycznych) jak i analogowego tj. trzymania danych na papierze.

Warto jednak pamiętać o tym, iż zgodnie z RODO z "przetwarzaniem danych osobowych" nie będziemy mieli do czynienia w przypadku danych wykorzystywanych do własnych celów, nie w związku z prowadzeniem działalności gospodarczej co wynika wprost z RODO tj.:

"Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej, czyli bez związku z działalnością zawodową lub handlową. Działalność osobista lub domowa może między innymi polegać na korespondencji i przechowywaniu adresów, podtrzymywaniu więzi społecznych oraz działalności internetowej podejmowanej w ramach takiej działalności. (...)"

Klasycznymi przykładami procesów przetwarzania danych osobowych oraz operacji wykonywanych na danych osobowych mogą być:

-realizacja zamówień online- przetwarzanie danych osobowych jest niezbędne przy prowadzeniu sprzedaży online. Przetwarzane wówczas dane dotyczą osób fizycznych tj. m.in: imię, nazwisko, adres korespondencyjny i zamieszkania, numer telefonu, adres e-mail itp.;

-zarządzanie zasobami ludzkimi- dane są przetwarzane w celu zarządzania procesem zatrudniania nowych pracowników, jak i w celu dokonywania wypłat, czy zapewnienia szkoleń;

-realizacja kampanii reklamowych- jeśli wysyłasz swoim klientom spersonalizowane oferty lub reklamujesz swoje produkty, to również przetwarzasz dane;

-rejestracja użytkowników na stronach internetowych- jeśli dajesz swoim klientom możliwość rejestracji i stworzenia konta, to ponosisz odpowiedzialność za odpowiednie przetwarzanie danych osobowych gromadzonych na Twoich systemach informatycznych.

Kim jest administrator danych?

Zgodnie z RODO:

administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania"

Administrator danych przede wszystkim więc decyduje o celach i sposobie przetwarzanie danych osobowych, jednak samo ich dalsze przetwarzanie może być zlecone innemu podmiotowi. Ponosi on także odpowiedzialność za zapewnienie żeby jakiekolwiek operacje wykonywane na danych osobowych odbywały się w sposób prawidłowy. Odgrywa więc on kluczową rolę w każdym przedsiębiorstwie, ochronie danych i powinien wykazywać się skrupulatnością w szczególności w zakresie realizacji ciążącego, opisanego wyżej obowiązku prawnego, a także monitorowania danych.

Nie należy także mylić pojęcie administratora danych z podmiotem przetwarzającym dane!

Podmiot przetwarzający to podmiot, który przetwarza dane w imieniu administratora danych oraz zapewnia iż operacje wykonywane na danych osobowych są zgodne z przepisami prawa. Najczęściej działa on na podstawie umowy o powierzenie przetwarzania danych i przede wszystkim nie decyduje on o celach i sposobach danego przetwarzania. Niemniej jego czynności powinny być zgodne z zaleceniami administratora, a także skupiać się na prawidłowej ochronie danych. Musi on także m.in prowadzić stosowny rejestr kategorii czynności przetwarzania (art. 30 RODO), wdrożyć odpowiednie środki (techniczne i organizacyjne) by dalsze przetwarzanie przekazanych danych osobowych było bezpieczne (art. 32 RODO).

Wzajemną relację między administratorem, a podmiotem przetwarzającym może zademonstrować poniższy przykład - Właściciel sklepu internetowego (administrator) zleca firmie kurierskiej (podmiotowi przetwarzającemu) wysyłkę i dostarczenie określonych produktów klientom, którzy swoje dane przekazali w trakcie składania zamówienia.

Jakie są podstawowe zasady związane z przetwarzaniem danych osobowych?

Należy zwrócić uwagę na parę głównych zasad określających prawidłowe przetwarzanie danych osobowych, które muszą być każdorazowo przestrzegane.

Do jednej z najważniejszych, wskazywanych przez ogólne rozporządzenie RODO, należy zaliczyć zasadę zgodności z prawem (1).

Przede wszystkim, ustawodawca unijny w sposób bardzo ogólny wskazuje że: przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

Można więc zauważyć trzy składowe elementy tejże zasady tj. legalność, rzetelność oraz przejrzystość.

Pierwszy należy rozumieć tak, że administrator danych musi mieć podstawę prawną do przetwarzanie danych osobowych. Owa podstawa, musi także być w wystarczający (transparentny) sposób zakomunikowana osobie, której dane dotyczą.

Rzetelność zaś wyraża się w konieczności odpowiedniego aktualizowania danych oraz zapewnienia poprawności przetwarzanych danych.

Zgodnie z zasadą przejrzystości, nieodłącznie związanej z przede wszystkim rzetelnością, podmiot przetwarzający komunikuje się z osobami, których dane dotyczą i informuje ich o całym procesie przetwarzania danych w prosty sposób. Ten element jest przede wszystkim związany z nowością wprowadzoną RODO, jaką jest obowiązek klarownego oraz prostego komunikowania się z użytkownikami, których dane są przetwarzane.

Jeśli więc przetwarzasz dane osobowe, pamiętaj o obowiązku wynikającego z RODO tj. wskazywania celu, podstawy prawnej przetwarzania w sposób zrozumiały dla osoby której dane dotyczą. Możesz to zrobić za pomocą klauzul informacyjnych lub polityk prywatności.

Idąc dalej RODO, możemy wyodrębnić tzw. zasadę celowości (2), która wiąże się z jednym z podstawowych obowiązków administratora danych osobowych jakim jest wskazanie celów przetwarzania danych osobowych, co oznacza że dane mogą być przetwarzane tylko dla celów wynikających ze wskazań administratora. Z nią zaś związana jest kolejna zasada określana jako "minimalizacja danych" (3), która to zabrania zbierania większej ilości danych niż jest w rzeczywistości potrzebne (np. podanie numeru PESEL jest niecelowe przy zakładaniu konta w serwisie społecznościowym) do np. wykonania umowy. Zatem należy zbierać dane jedynie dla usprawiedliwionych celów realizowanych przez administratora danych.

Administrator danych osobowych musi także stać na straży aktualności i prawdziwości przechowywanych danych, co wyraża także zasada prawdziwości (4). Dla przykładu, w trakcie realizacji umowy, podmiot powinien sprawdzić czy przetwarzane dane są zgodne ze stanem rzeczywistym, a jeśli nie, zmuszony on jest do podjęcia działań mających na celu ich zaktualizowanie.

Mamy również zasadę tzw. "ograniczenia przechowania" (5). Ograniczenie przechowywania danych polega na tym, że dane można przetwarzać tak długo jak jest to konieczne dla realizacji celów przetwarzania. Okres przetwarzania danych należy także zakomunikować osobie, której dane dotyczą.

(Wyjątek! W z art. 89 RODO, mamy zabezpieczenia i wyjątki mające zastosowanie do przetwarzania do celów archiwalnych w interesie publicznym (dobra publicznego), do celów badań naukowych lub historycznych lub do celów statystycznych. W skrócie więc, dla tych właśnie celów, pewne dane można przechowywać po upływie określonego czasu, niemniej należy wdrożyć pewne dodatkowe środki mające na celu ochronę tych danych tj. np. należy zanonimizować dane).

W celu spełnienia obowiązku wynikającego z kolejnej zasady tj. "integralności i poufności" (6), od administratora czy też podmiotu, który przetwarza dane wymaga się podjęcia działań mających na celu ochronę danych przed nieautoryzowanym ich wykorzystaniem, a także przed ich utratą, zniszczeniem przy wykorzystaniu dodatkowych środków bezpieczeństwa. Tutaj znowu, najlepszym rozwiązaniem jest wdrożenie specjalistycznych procedur, polityk ochrony, tak żeby pożądane działania zostały skonkretyzowane, a tym samym były egzekwowane.

Ostatnią regułą wskazywaną przez art. 5 ust. 2 RODO jest tzw. zasada rozliczalności (7). Zgodnie z nią, administrator ponosi odpowiedzialność za przetwarzanie danych zgodnie z obowiązującymi przepisami prawa w tym unijnego jak i krajowego. Administrator musi zapewnić odpowiednie środki bezpieczeństwa w wykorzystywanych systemach informatycznych, w których to owe dane są przechowywane, a także musi być w stanie wykazać, że spełnił wszystkie ciążące na nim obowiązki.

Dlatego tak istotnym staje się zaproponowanie np. polityki prywatności czy regulaminów, czy też nawet odpowiednich szkoleń dla pracowników którzy będą przetwarzać dane osobowe lub będą pracować na zestawach danych osobowych. Należy podkreślić, że RODO nie wskazuje na konkretne rozwiązania, w związku z czym możliwa jest różna realizacja i interpretacja tej zasady.

Najważniejsze jest jednak, że to właśnie na administratorze danych spoczywa ciężar udowodnienia m.in przed organem nadzorującym, że działa on zgodnie z obowiązującymi przepisami prawa!

Jakie są prawa osób fizycznych, których dane dotyczą?

Jakiekolwiek operacje wykonywane na danych osobowych, w tym ich przetwarzanie wymagają szczególnego poszanowania praw osób, których dane dotyczą.

W ramach sprawowania roli administratora, musisz także upewnić się że gwarantujesz osobie fizycznej poszanowanie każdego z przysługujących jej praw.

Art. 15 RODO wskazuje na prawo dostępu do danych, co oznacza że osoba, której dane dotyczą lub są przetwarzane ma prawo do informacji w jakim zakresie dochodzi do tego przetwarzania. Zalicza się również do tego prawo do uzyskania dostępu do tych danych lub odpowiednio ich kopii.

Kolejnym prawem jest prawo do sprostowania danych (art. 16 RODO), w przypadku gdy przechowywane dane są np. niekompletne lub nieprawidłowe. Osoba, której dane dotyczą ma prawo do żądania ich odpowiedniego sprostowania.

Jednym z najważniejszych jest również prawo "do bycia zapomnianym" stanowiącym o konieczności usunięcia określonych danych przez administratora na żądanie osoby, której dane są przetwarzane, w przypadku wystąpienia określonych okoliczności np. braku celowości dalszego gromadzenia danych.

Również w przypadku wystąpienia ściśle określonych w art. 18 RODO okoliczności tj. m.in. w sytuacji zgłoszenia sprzeciwu wobec przetwarzanych danych lub gdy brak jest podstawy prawnej do przetwarzania danych osobowych, osobie przysługuje tzw. prawo do ograniczenia przetwarzania danych osobowych.

Dalej można wyróżnić prawo do przenoszenia danych, które określa uprawnienie do przesłania danych pomiędzy różnymi administratorami. Osoba której dane dotyczą może zwrócić się do podmiotu przetwarzającego dane, który musi wówczas przekazać je w sposób możliwy do odczytania, a następnie osoba ta może owe dane dalej przekazać zupełnie innemu podmiotowi.

Podstawowym również prawem jest tzw. prawo do sprzeciwu oraz niepodleganiu decyzjom wydawanych w sposób zautomatyzowany. Osoba, której dane dotyczą ma prawo do wniesienia sprzeciwu jeśli jej dane są przetwarzane w celu realizacji zadania w interesie publicznym lub "prawnie uzasadnionego interesu administratora". Tutaj na Tobie, jako administratorze będzie spoczywał obowiązek analizy otrzymanego sprzeciwu oraz skontaktowanie się z taką osobą i poinformowanie jej o podjętych krokach. Wskazuje się jednak od tego wyjątki np. osobie nie będzie przysługiwało prawo sprzeciwu jeśli przetwarzanie jej danych jest niezbędne w związku z zawarciem umowy lub jej wykonaniu.

Podsumowanie

Z przetwarzaniem danych osobowych mamy do czynienia na co dzień i zdaje się że prawidłowe przechowywanie danych nigdy nie było istotniejsze. W ramach prowadzenia działalności gospodarczej, zawierania umów z kontrahentami dochodzi do przetwarzania wielu danych osobowych. Rola ochrony danych osób fizycznych jest niezwykle ważna, w związku z czym nie można lekceważyć podstawowych zasad i obowiązków nałożonych na m.in administratorów danych.

Należy więc zapewnić zgodność działania i przetwarzania danych osobowych tak aby uniknąć ponoszenia odpowiedzialności oraz kar pieniężnych.

Chcesz wiedzieć więcej o holdingu?

Skontaktuj się z nami! Opowiemy CI na przykładach, w jaki sposób wygląda tworzenie holdingu i na co zwracaliśmy uwagę, projektując i tworząc holdingi dla naszych wspolników.

Chcesz zabezpieczyć się przed przejmowaniem Twoich specjalistów przez klientów albo konkurencję?

Gwarantuję, że nasi specjaliści zapewnią Ci skuteczną ochronę. Skontaktuj się z nami!

Chcesz wiedzieć jak wdrożyć ustawę o sygnalistach w Twojej firmie?

umów się na bezpłatną konsultację, podczas której odpowiemy na Twoje pytania.

Masz pytania dotyczące prokury?

Skorzystaj z naszego wieloletniego doświadczenia w doradztwie korporacyjnym. Odpowiemy na Twoje pytania i pomożemy wybrać optymalne rozwiązanie.

Potrzebujesz napisać ale sprawdzić umowę o zakazie konkurencji?

Umowa o zakazie konkurencji to jeden z podstawowych dokumentów, z których powinna korzystać każda firma w relacjach z partnerami, pracownikami czy podwykonawcami. Skontaktuj się z nami. Stworzymy umowę o zakazie konkurencji, która realnie zabezpieczy Twoje interesy.

Potrzebujesz wsparcia w rejestracji znaku towarowego?

Skontaktuj się z nami. Nasza rzeczniczka patentowa przeprowadzą Cię przez cały proces rejestracji szybko i bezpiecznie. Uzyskaj ochronę swojego znaku w Polsce, w UE albo na świecie.

Źle podpisana umowa online może być nieważna

Ryzykujesz czy wolisz mieć pewność? Skontaktuj się z nami i sprawdź jak poprawnie podpisywać umowy online

Nie wiesz jak wdrożyć przepisy o ochronie sygnalistów?

Nasi specjaliści są gotowi, żeby: 1. przygotować procedurę wewnętrzną obsługi zgłoszeń; 2. wdrożyć przepisy o ochronie sygnalistów 3. przeprowadzić szkolenie 4. pełnić funkcję osoby odpowiedzialnej za przyjmowanie i obsługę zgłoszeń

Nie wiesz jak napisać umowę NDA, która zabezpieczy interesy Twojej firmy?

Dlatego zajmiemy się tym za Ciebie. Skontaktuj się z nami i przekonaj się:)

Nie wiesz jak dostosować się do DSA?

skontaktuj się z naszymi specjalistami. Powiemy Ci co zrobić, żeby być zgodnym z DSA.

Wiemy, że nie masz czasu ani ochoty zajmować się likwidacją spółki

Dlatego zajmiemy się tym za Ciebie. Skontaktuj się z nami i sprawdź jak bezpiecznie i szybko zlikwidować spółkę zoo.

Nie wiesz jak dobrze udzielić licencji albo przenieść prawa autorskie?

Skorzystaj z naszego wieloletniego doświadczenia. Pomożemy Ci przygotować albo wynegocjować korzystną umowę licencyjną albo umowę przenoszącą majątkowe prawa autorskie.

Chcesz zarejestrować znak towarowy z dofinansowaniem SME Fund?

skontaktuj się nami! Nasz rzecznik patentowy odpowie na Twoje pytania, wyjaśni w jaki sposób skorzystać z dofinansowania oraz przeprowadzi Cię przez cały proces rejestracji znaku towarowego.

chcesz reklamować alkohol w Internecie ale nie wiesz jak?

skontaktuj się nami! odpowiemy na Twoje pytania, m.in. - jeżeli jesteś agencją digital i chcesz reklamować markę alkoholową w SoMe - jesteś e-commerce i nie wiesz jak prezentować alkohol w swojej ofercie - jesteś marketplace i nie wiesz jak wprowadzać merchantów alkoholowych do portalu i jak prezentować ich ofertę

chcesz wiedzieć więcej o odpowiedzialności członka zarządu?

skontaktuj się nami! odpowiemy na Twoje pytania, doradzimy jak możesz się zabezpieczyć

Potrzebujesz wsparcia przy checkboxach w swoim sklepie internetowym?

dla nas to piece of cake :) skontaktuj się nami!

Potrzebujesz wsparcia przy tworzeniu regulaminu na Twoją stronę internetową?

Stać Cię na profesjonalne wsparcie naszych prawników. Wykorzystamy nasze najlepsze doświadczenie i stworzymy regulamin dopasowany do twoich potrzeb oraz specyfiki strony.

Potrzebujesz term sheet i nie wiesz jak się do tego zabrać?

Stać Cię na profesjonalne wsparcie naszych prawników. Wykorzystamy naszej najlepsze doświadczenie transkacyjne, żeby przygotować term sheet, który będzie dopasowany do Twoich potrzeb i do Twojej transakcji.

Planujesz ekspansję Twojego biznesu do Polski i potrzebujesz zaufanego partnera?

Skorzystaj z naszego doświadczenia we wprowadzaniu zagranicznych za Polski rynek. Zyskaj sprawdzonego i doświadczonego partnera w rozwoju Twojego biznesu w Polsce

Potrzebujesz wsparcia w umową przeniesienia praw autorskich?

Skontaktuj się z nami jeżeli: - masz już umowę, ale nie wiesz czy zabezpiecza ona Twoje interesy; - chcesz zbyć / nabyć prawa autorskie ale nie masz umowy;

SHADOW IT dotyczy Twojej firmy?

Skontaktuj się z nami i odzyskaj kontrolę nad tym, w jaki sposób Twoi pracownicy korzystają z narzędzi AI.

potrzebujesz wsparcia przy tworzeniu regulaminu SaaS?

Skontaktuj się z nami. odpowiemy na Twoje pytania i zaproponujemy wsparcie.

Zastanawiasz się, czy narzędzia AI, z których korzystasz w firmie są bezpieczne?

Skontaktuj się z nami. odpowiemy na Twoje pytania albo zaproponujemy szkolenie z bezpieczeństwa korzystania z AI

Nie wiesz jak reklamować wyroby medyczne zgodnie z przepisami?

Skontaktuj się z nami. Odpowiemy na Twoje pytania, doradzimy jak reklamować wyroby medyczne zgodnie z nowymi wymogami

Zastanawiasz się jak legalnie wykorzystać treści stworzone z pomocą AI?

Nie tylko doradzamy w kwestiach prawnych związanych z AI, ale sami korzystamy z narzędzi wykorzystującej sztuczną inteligencję w codziennej działalności kancelarii. Chętnie podzielimy się swoimi doświadczeniami.

Nie wiesz jak prawidłowo informować klientów o obniżkach cen?

Przebrnięcie przez wytyczne UOKiK dot. informowania o obniżkach cen to nie lada wyczyn. Nawet dla nas, prawników. Oszczędź swój czas i miej pewność, że działasz zgodnie z przepisami. Skontaktuj się ze mną! Umówienie spotkania zajmie Ci mniej niż 2 minuty! Wspólnie znajdziemy najlepsze rozwiązanie dla Ciebie i Twojego biznesu

Skonsultuj się z ekspertem

Mierzysz się z zagadnieniem, o którym piszemy w tym artykule? Chcesz wiedzieć więcej? Skontaktuj się ze mną! Umówienie spotkania zajmie Ci mniej niż 2 minuty! Wspólnie znajdziemy najlepsze rozwiązanie dla Ciebie i Twojego biznesu

Udostępnij ten post

Zobacz także

Regulaminy korzystania z narzędzi AI - po co je czytać?

Regulaminy korzystania z narzędzi AI - po co je czytać?

Dlaczego powinieneś przeczytać regulamin narzędzia AI z którego korzystasz? Jakie to ma znaczenie dla bezpieczeństwa Twojego, Twojej firmy albo Twoich pracowników? Ten artykuł odpowiada na te pytania.
Marcin Lisowski
Marcin Lisowski
7 sierpnia 2023
Co powinien zawierać regulamin SaaS (Software as a Service)? 15 niezbędnych elementów

Co powinien zawierać regulamin SaaS (Software as a Service)? 15 niezbędnych elementów

Jeżeli tworzysz lub posiadasz aplikację w modelu SaaS i zastanawiasz się co powinien zawierać Twój regulamin, ten artykuł jest dla Ciebie.
Aleksandra Rojek
Aleksandra Rojek
01.09.2023
Shadow IT – związane z nim ryzyka i jak się przed nimi chronić

Shadow IT – związane z nim ryzyka i jak się przed nimi chronić

Z artykułu dowiesz się czym jest SHADOW IT i jakie ryzyka dla Twojej firmy z tego wynikają.
Marcin Lisowski
Marcin Lisowski
05 września 2023

Let's work together

Dziękujemy! Twoje zgłoszenie zostało wysłane!
Ups! Coś poszło nie tak podczas przesyłania formularza.