Ochrona Danych Osobowych – czym jest?

Ochrona danych osobowych to obowiązek każdego przedsiębiorcy. Co więcej, musi zostać konkretnie wskazany cel przetwarzania danych osobowych, a także umieszczone stosowne informacje. W przypadku stron i sklepów internetowych mamy np. regulaminy, informacje o przetwarzaniu danych osobowych i polityce cookies. Należy teraz odpowiedź na pytanie czym są dane osobowe, ich przetwarzanie, a także czy dane przedsiębiorcy podlegają pod RODO?

Czym jest ochrona danych osobowych?

Ochrona danych osobowych to inaczej ochrona wszystkich informacji, które dotyczą osób fizycznych i przetwarzane są przez podmioty dysponujące tymi informacjami. Informacje takie mogą stanowić cały zbiór danych, ale również mogą być pojedynczymi informacjami. Obowiązek ochrony danych osobowych jest regulowany przepisami. Do takiej ochrony ma prawo każda osoba. Ponadto ochrona danych osobowych to również zabezpieczenie przed utratą, wyciekiem, czy przed wykorzystaniem przez osoby nieupoważnione. Należy zwrócić tutaj uwagę, że przepisy o ochronie danych osobowych nie narzucają konkretnych rodzajów zabezpieczeń, ponieważ ich zastosowanie zależne jest od profilu danej firmy. Teraz kiedy już wiesz, czym jest ochrona danych osobowych, należy wyjaśnić, czym są te dane i co do nich zaliczamy.

Kiedy mówimy o danych osobowych?

Powołując się na rozporządzenie RODO dane osobowe to wszelkie informacje, które mogą zidentyfikować osobę fizyczną. Innymi słowy, to wszystkie dane, które umożliwiają określenie tożsamości na podstawie na przykład numer NIP, czy unikalnych czynników określających cechy fizyczne takiej osoby. Warto tutaj zaznaczyć, że chociaż daną osobową może być pojedyncza informacja, to w większości przypadków nie będzie ona uznawana za dane osobowe, ponieważ jest zbyt ogólna. Natomiast do rzeczywistych pojedynczych danych osobowych, które mogą umożliwić identyfikację danej osoby, uważane są numer PESEL i NIP.

Czym jest przetwarzanie danych osobowych?

O przetwarzaniu danych osobowych mówimy wtedy, kiedy dokonywane są jakiekolwiek operację na tych danych. Czyli zbieranie danych osobowych, zmienianie danych, udostępnianie, usuwanie. Co wspominaliśmy na samym występie, każda instytucja przetwarzająca dane musi wskazać uzasadniony cel ich przetwarzania.

Czy informacje o przedsiębiorcy to dane osobowe?

Istnieje pojęcie ochrony danych osobowych, a także ich przetwarzania. Czy ogólnodostępne dane przedsiębiorcy podlegają ochronie i czy w takiej sytuacji możemy mówić o danych osobowych? Wszystkie dane o przedsiębiorcach, czyli osobach fizycznych prowadzących działalność gospodarczą dostępne są na przykład na stronie CEIDG i są to dane ogólnodostępne. Czy takie dane podlegają pod definicję ochrony danych osobowych? W takiej sytuacji należy zajrzeć do artykułu 6 ust. 1 ustawy o ochronie danych osobowych, mówiącej wyłącznie o osobach fizycznych. Zatem można by stwierdzić, że ogólnodostępne dane przedsiębiorców nie podlegają ochronie danych osobowych.

Dane wrażliwe?

Jednakże należy pamiętać, że dane osobowe przedsiębiorcy utożsamiają go z prowadzeniem działalności gospodarczej i na przykład adres, który widoczny jest na stronie CEIDG niekoniecznie musi być rzeczywistym adresem zamieszkania przedsiębiorcy. Mówiąc prościej dane, które można sprawdzić na stronie CEIDG, z założenia powinny zostać wykorzystane tylko i wyłącznie do kontaktu z danym przedsiębiorcą. Nie można jednak zapominać, że oprócz danych stricte kontaktowych w CEIDG mogą znaleźć się również dane wrażliwe na przykład numer PESEL. Ponadto pełne imię i nazwisko, adres zamieszkania i adres e-mail. Na tej podstawie dane takie chronione są przepisami ustawy o ochronie danych osobowych. Zatem każda osoba i każdy podmiot, który ma w zamiarze przetwarzać cudze dane osobowe, musi uzyskać rzeczywistą zgodę od właściciela tych danych. Czyli reasumując, dane przedsiębiorcy również pozdrawiają ochronie, a bezprawne ich wykorzystanie może zostać ukarane.

Warto tutaj zaznaczyć, że ustawa o ochronie danych osobowych dopuszcza przetwarzanie danych bez zgody ich właściciela w wyjątkowych sytuacjach, które zostały wskazane w tejże ustawie.

Dobre szkolenie IOD (ABI), co powinno zawierać i jakie zagadnienia poruszać?

Inspektor Ochrony Danych zgodnie z RODO to odpowiedzialna funkcja, jaką pełni wydelegowana osoba. Dzisiaj przyjrzymy się, jakie powinno być szkolenie IOD, a także czym zajmuje się osoba odpowiedzialna za pełnienie funkcji IOD.

Kim jest Inspektor Ochrony Danych i za co jest odpowiedzialny?

Zgodnie z motywem 97 RODO Inspektorem Ochrony Danych (IOD) jest osoba, która ma wiedzę z dziedziny prawa, RODO, a także musi cechować się znajomością praktyk stosowanych w ochronie danych wynikających z RODO.
IOD (dawniej ABI) powoływany jest z reguły przez podmiot lub administratora danych osobowych.

Czym się zajmuje Inspektor Ochrony Danych?

Zadaniem każdego IOD jest współpraca z organem nadzorczym, monitorowanie działań placówki/organu w zakresie ochrony danych, a także ocena skutków działań ochrony danych. Ponadto w skład obowiązków IOD (ABI) wchodzi:

  • Informowanie o obowiązkach wynikających z RODO.
  • Audyty i szkolenia z zakresu ochrony danych.
  • Wdrażanie polityk zgodnych z RODO.

Należy zwrócić uwagę, że na IOD ciąży obowiązek zachowania tajemnicy zawodowej. Ponadto nie może doprowadzić do konfliktu interesów poprzez działania wynikające z jego obowiązków.

Szkolenie IOD (ABI): na czym powinno się skupić i kto powinien z niego skorzystać?

Każde szkolenie IOD ma na celu przygotowanie oddelegowanej na szkolenie osoby do pełnienia funkcji IOD. Należy mieć na uwadze, że szkolenie może być z różnego zakresu. Dlatego, jeśli zależy nam na przygotowaniu osoby do pełnienia funkcji IOD po raz pierwszy, to trzeba zwrócić uwagę, aby szkolenie IOD było prowadzone na bazie wymagań RODO i innych przepisów prawa.

Kto powinien uczestniczyć w szkoleniu IOD (dawniej ABI)?

Do szkolenia powinny zostać oddelegowane osoby wskazane do pełnienia funkcji IOD, wszyscy pracownicy z działów jakości i IT, a także dyrektorzy, menedżerowie i kierownicy średniego szczebla, którzy w skutek pełnienia swoich obowiązków mają styczność z przetwarzaniem danych osobowych.

Oczywiście nie ma żadnych przeciwwskazań, aby z takiego szkolenia korzystały również osoby, które interesuje tematyka i zagadnienia związane z pracą IOD.

Jakie zagadnienia powinny się znaleźć na szkoleniu IOD (ABI)?

Każde szkolenie IOD powinno skupiać w sobie zagadnienia, które umożliwią uczestnikowi pełnienie funkcji IOD (ABI), a także wzbogacą jego dotychczasową wiedzę. Na każdym szkoleniu szczegółowo powinny zostać omówione wytyczne rozporządzenia o ochronie danych osobowych. Szczególnie omówienie wytycznych Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych i wytycznych Ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Ponadto szkolenie powinno skupiać się na zagadnieniach takich jak:

  • podstawy prawne przetwarzania danych osobowych,
  • privacy by design,
  • privacy by default,
  • analiza ryzyka oraz ocena skutków przetwarzania danych osobowych,
  • obowiązek informacyjny oraz zasady zgłaszania i rejestracji naruszeń,
  • rejestrowanie czynności przetwarzania i przenoszenie danych,
  • powierzanie przetwarzania danych osobowych i profilowanie.

Ponadto powinno skupiać się również na zadaniach i odpowiedzialności ciążącej na Inspektorze Ochrony Danych, prawach właścicieli danych osobowych oraz wszelkich kodeksach, certyfikacjach i znajomości kar za naruszenia ochrony danych.

Szkolenia RODO – rejestr czynności przetwarzania

Szkolenia RODO przeznaczone są dla osób przetwarzających dane osobowe, w szczególności dla administratorów danych oraz ich pracowników. To również początek ścieżki kariery Inspektora Danych Osobowych. Zgodnie z tematyką szkoleń, przedstawiamy dzisiaj jedno z najbardziej podstawowych zagadnień związanych z RODO, czyli rejestr czynności przetwarzania danych osobowych. A także rejestr kategorii czynności przetwarzania danych osobowych.

 

Czym jest rejestr czynności przetwarzania?

Zacznijmy od tego, że samo RODO nie definiuje wprost, czym jest rejestr czynności przetwarzania danych osobowych (RCP), jednak jest to pojęcie często występujące w tej tematyce. Rejestr powinien mieć formę szybkiego dostępu do danych dotyczących przetwarzania i powinien zostać utworzony dla każdego procesu przetwarzania danych osobowych jako odrębny rejestr. Ponadto na wezwanie organu nadzorczego powinien być natychmiast udostępniony. Prowadzeniem rejestru powinny zajmować się osoby uprawnione, czyli administrator danych i procesor. A także, jeśli występuje w danej firmie przedstawiciel RODO.

Wykaz przetwarzanych zbiorów danych, na które dzieli się wszystkie przetwarzane u danego administratora danych informacje ze względu na: zakres przetwarzanych danych, cele przetwarzania oraz kategorie odbiorców, którym dane zostaną udostępnione. – interpretacją dr inż. Andrzeja Kaczmarka

Natomiast Prezes Urzędu Ochrony Danych Osobowych (PUODO) odniósł się do czynności przetwarzania, określając je jako zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób. Wszystkie czynności, które sprowadzają się do przetwarzania danych osobowych takie jak; rekrutacja pracowników, ewidencja pracowników, czy ewidencja wypłat należy umieścić w rejestrze czynności przetwarzania danych osobowych.

Szkolenia RODO i uzupełnienie informacji, czyli kategoria czynności przetwarzania

W RODO funkcjonuje również pojęcie rejestru kategorii czynności przetwarzania (RKCP), które tak jak RCP nie zostało zdefiniowane, ale funkcjonuje. RKCP nie stanowi jednak uzupełnienia RCP, ani nie jest jego zamiennikiem. Co znaczy, że RKCP i RCP nie prowadzi się zamiennie, a jednocześnie, jeśli jest taki obowiązek. Ponadto, jak sama nazwa wskazuje RKCP odnosi się do kategorii czynności, a nie do samych czynności przetwarzania.

Rejestr kategorii czynności przetwarzania (RKCP) to dokumenty wraz z podstawową i dodatkową dokumentacją podmiotu przetwarzającego dane (procesora). Wynikających z przetwarzania danych przez procesora na rzecz innych podmiotów.

Jak należy prowadzić rejestry?

W związku z tym, iż RODO nie określa postaci, ani układu zawartych informacji w RCP i RKCP, należy przyjąć, że forma prowadzenia rejestrów jest dowolna – papierowa lub elektroniczna. Należy jednak mieć na uwadze, aby zachować przejrzystość dokumentu i zadbać o estetyczną prezentację zamieszczonych w rejestrze informacji.

Jakie dane muszą znaleźć się w rejestrze

Zgodnie z art. 30 ust. 2 RODO – “Procesor” zobowiązany jest do zamieszczenia w swoim rejestrze określonych informacji:

  1. Imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego, przedstawiciela podmiotu przetwarzającego oraz inspektora ochrony danych.
  2. Imię i nazwisko lub nazwa oraz dane kontaktowe każdego administratora, w imieniu którego działa podmiot przetwarzający, przedstawiciela administratora oraz inspektora ochrony danych.
  3. Przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń.
  4. Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Ponadto procesor zobowiązany jest do wskazania, jakich środków ochrony danych użył, a także przedstawić stosowną dokumentację. Dotyczy się to zarówno dokumentów w rozumieniu ogólnym np. polityka prywatności, jak i dokumentacji technicznej, jeśli taka ma miejsce np. serwery i hosting strony internetowej.