Wdrożenie RODO w firmie to nie tylko obowiązek, ale też klucz do budowania zaufania klientów. Dla wielu osób temat ochrony danych osobowych wciąż rodzi wiele wątpliwości . Dlatego właśnie przygotowaliśmy zestaw 50 najczęściej zadawanych pytań o RODO wraz z praktycznymi odpowiedziami od naszych specjalistów. Niezależnie od tego, czy prowadzisz sklep internetowy, kancelarię czy zakład usługowy ten przewodnik pomoże Ci zrozumieć najważniejsze zasady przetwarzania danych.
1. Co to jest RODO?
RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych, z ang. GDPR) to rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679, które reguluje zasady przetwarzania danych osobowych osób fizycznych. Obowiązuje we wszystkich państwach członkowskich UE od 25 maja 2018 r. i ma na celu zwiększenie ochrony prywatności obywateli oraz ujednolicenie przepisów w całej Unii.
2. Od kiedy obowiązuje RODO?
RODO obowiązuje od 25 maja 2018 r. Zostało przyjęte 27 kwietnia 2016 r., jednak państwom członkowskim UE dano dwa lata na przygotowanie się do jego stosowania. Od tej daty zastąpiło wcześniejsze przepisy krajowe w zakresie ochrony danych osobowych.
3. Czy RODO obowiązuje każdą firmę?
Tak. RODO ma zastosowanie do wszystkich podmiotów, które przetwarzają dane osobowe osób fizycznych na terenie Unii Europejskiej, niezależnie od lokalizacji siedziby podmiotu. Dotyczy zarówno dużych korporacji, jak i jednoosobowych działalności gospodarczych.
4. Czym są dane osobowe?
Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Do danych osobowych zaliczają się m.in.: imię, nazwisko, adres e-mail, numer telefonu, numer PESEL, adres IP, wizerunek czy dane lokalizacyjne.
5. Co oznacza przetwarzanie danych?
Przetwarzanie danych to każda operacja wykonywana na danych osobowych, niezależnie od tego, czy odbywa się w sposób zautomatyzowany. Obejmuje to m.in.: zbieranie, utrwalanie, organizowanie, przechowywanie, przeglądanie, modyfikowanie, udostępnianie, usuwanie danych.
6. Kim jest administrator danych?
Administrator danych to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administrator ponosi odpowiedzialność za zgodność przetwarzania z RODO.
7. Kim jest podmiot przetwarzający (procesor)?
Procesor to podmiot przetwarzający dane osobowe w imieniu administratora. Działa na podstawie umowy powierzenia i nie może samodzielnie decydować o celach i środkach przetwarzania. Przykładami procesorów są firmy IT, biura rachunkowe, dostawcy chmurowi.
8. Czy muszę zawierać umowę powierzenia z hostingiem lub firmą IT?
Tak, jeśli firma hostingowa lub IT ma dostęp do danych osobowych (np. przechowuje je na serwerze), należy zawrzeć z nią umowę powierzenia przetwarzania danych zgodnie z art. 28 RODO. Umowa powinna określać zakres, cel, czas przetwarzania oraz obowiązki procesora.
9. Co to jest zgoda na przetwarzanie danych?
Zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, przez które osoba, której dane dotyczą, przyzwala na przetwarzanie swoich danych. Może być wyrażona pisemnie, ustnie lub poprzez działanie potwierdzające, np. zaznaczenie checkboxa.
10. Kiedy zgoda nie jest potrzebna?
Zgoda nie jest wymagana, jeśli przetwarzanie danych odbywa się na innej podstawie prawnej, np. w celu wykonania umowy, spełnienia obowiązku prawnego, ochrony żywotnych interesów osoby, realizacji zadania publicznego lub prawnie uzasadnionego interesu administratora.
11. Jak udokumentować zgodę na przetwarzanie danych?
Administrator musi być w stanie wykazać, że zgoda została wyrażona. Najczęściej stosuje się pisemne zgody, formularze elektroniczne, logi systemowe lub nagrania. Ważne, by zgoda była archiwizowana i możliwa do odwołania.
12. Jak długo można przechowywać dane osobowe?
Dane należy przechowywać nie dłużej, niż jest to konieczne do celów, w których są przetwarzane. Po tym czasie należy je usunąć lub zanonimizować. Czas przechowywania może też wynikać z przepisów prawa, np. 5 lat dla dokumentów księgowych.
13. Czy muszę informować osoby o przetwarzaniu ich danych?
Tak. Każda osoba, której dane są przetwarzane, ma prawo do tzw. obowiązku informacyjnego. Administrator musi udzielić tej informacji najpóźniej w momencie pozyskania danych, a jeśli dane pozyskano od innego podmiotu – w rozsądnym terminie (maks. 30 dni).
14. Co powinien zawierać obowiązek informacyjny?
Klauzula informacyjna powinna zawierać: dane administratora, cele i podstawę przetwarzania, informacje o odbiorcach danych, okres przechowywania, prawa osoby, dane kontaktowe IOD (jeśli jest powołany), informację o zamiarze przekazania danych poza EOG, oraz o zautomatyzowanym podejmowaniu decyzji (jeśli występuje).
15. Co to jest rejestr czynności przetwarzania (RCP)?
Rejestr czynności przetwarzania to dokument, który powinien prowadzić każdy administrator danych (a w określonych przypadkach także podmiot przetwarzający). Zawiera on informacje o kategoriach danych, osobach, celach przetwarzania, odbiorcach danych, czasie retencji oraz stosowanych zabezpieczeniach.
16. Co to jest analiza ryzyka w kontekście RODO?
Analiza ryzyka to proces identyfikowania i oceny zagrożeń związanych z przetwarzaniem danych osobowych. Celem jest określenie, czy i w jakim stopniu istnieje ryzyko naruszenia praw lub wolności osób fizycznych oraz wdrożenie odpowiednich środków zabezpieczających. To fundament zgodności z zasadą rozliczalności.
17. Kiedy należy przeprowadzić ocenę skutków dla ochrony danych (DPIA)?
Ocena skutków (DPIA) jest wymagana, gdy przetwarzanie danych może powodować wysokie ryzyko naruszenia praw osób fizycznych, np. w przypadku monitoringu, profilowania, dużej skali przetwarzania danych wrażliwych. DPIA zawiera opis procesu, ocenę ryzyk i plan działań minimalizujących ryzyko.
18. Co to są dane szczególnych kategorii (dane wrażliwe)?
Dane wrażliwe to dane ujawniające pochodzenie rasowe, poglądy polityczne, przekonania religijne, przynależność związkową, dane genetyczne, biometryczne, dotyczące zdrowia, seksualności lub orientacji seksualnej. Przetwarzanie tych danych jest co do zasady zabronione, chyba że spełnione są szczególne warunki z art. 9 RODO.
19. Czy numer PESEL to dane wrażliwe?
Nie. Numer PESEL nie jest formalnie zaliczany do danych szczególnych kategorii, ale ze względu na swój charakter wymaga szczególnej ochrony. Jest to tzw. dane identyfikujące w sposób jednoznaczny, które mogą być wykorzystywane do kradzieży tożsamości.
20. Jakie prawa przysługują osobie, której dane są przetwarzane?
Osoby fizyczne mają szereg praw: prawo dostępu do danych, sprostowania, usunięcia (bycia zapomnianym), ograniczenia przetwarzania, przenoszenia danych, sprzeciwu, cofnięcia zgody oraz wniesienia skargi do organu nadzorczego. Administrator musi umożliwić realizację tych praw bez zbędnej zwłoki.
21. Na czym polega prawo dostępu do danych?
Osoba, której dane są przetwarzane, ma prawo uzyskać informację, czy jej dane są przetwarzane, a jeśli tak – dostęp do nich oraz dodatkowe informacje, m.in. cele przetwarzania, odbiorcy danych, planowany okres przechowywania oraz źródło danych.
22. Co to jest prawo do sprostowania danych?
To uprawnienie do poprawienia nieprawidłowych lub niekompletnych danych osobowych. Administrator jest zobowiązany do dokonania sprostowania bez zbędnej zwłoki.
23. Co oznacza prawo do usunięcia danych („prawo do bycia zapomnianym”)?
Prawo to polega na możliwości żądania usunięcia danych, jeżeli nie są już niezbędne do celów, dla których zostały zebrane, osoba wycofała zgodę, wniesiono skuteczny sprzeciw lub przetwarzanie odbywało się niezgodnie z prawem.
24. Na czym polega prawo do ograniczenia przetwarzania danych?
To możliwość czasowego wstrzymania przetwarzania danych w określonych sytuacjach, np. gdy osoba kwestionuje prawidłowość danych lub sprzeciwia się ich przetwarzaniu. Dane można wówczas jedynie przechowywać.
25. Co to jest prawo do przenoszenia danych?
To możliwość otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz przesłania ich innemu administratorowi bez przeszkód ze strony dotychczasowego administratora. Dotyczy danych przetwarzanych na podstawie zgody lub umowy w sposób zautomatyzowany.
26. Na czym polega prawo do sprzeciwu wobec przetwarzania danych?
Osoba, której dane dotyczą, może w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu administratora lub w celach marketingu bezpośredniego. W przypadku marketingu administrator musi natychmiast zaprzestać przetwarzania danych.
27. Czy RODO dotyczy firm B2B?
Tak, RODO obowiązuje także w relacjach B2B, jeśli przetwarzane są dane osobowe osób fizycznych, np. właścicieli jednoosobowych działalności gospodarczych, pracowników kontrahenta lub osób kontaktowych.
28. Czy RODO dotyczy danych kontaktowych pracowników?
Tak. Imię, nazwisko, adres e-mail czy numer telefonu pracownika są danymi osobowymi, podlegającymi ochronie na gruncie RODO, nawet jeśli są związane z pełnioną funkcją.
29. Jakie są obowiązki administratora danych?
Administrator musi zapewnić zgodność przetwarzania z zasadami RODO, prowadzić dokumentację (np. RCP), realizować prawa osób, wdrażać środki techniczne i organizacyjne, a także zgłaszać naruszenia do UODO i wyznaczyć IOD, jeśli jest to wymagane.
30. Co to jest pseudonimizacja danych?
To przetwarzanie danych w taki sposób, aby nie można było ich przypisać do konkretnej osoby bez użycia dodatkowych informacji. Dane pseudonimizowane nadal są danymi osobowymi, ale ich ochrona może być łatwiejsza dzięki zmniejszonemu ryzyku.
31. Czym różni się pseudonimizacja od anonimizacji?
Anonimizacja to trwałe usunięcie możliwości identyfikacji osoby – dane przestają być danymi osobowymi. Pseudonimizacja to częściowe ukrycie tożsamości, które nadal można odtworzyć.
32. Czy muszę zgłaszać naruszenie danych?
Tak – jeżeli istnieje ryzyko naruszenia praw lub wolności osób fizycznych, naruszenie należy zgłosić do UODO w ciągu 72 godzin od jego stwierdzenia.
33. Kiedy trzeba poinformować osoby o naruszeniu?
Jeśli naruszenie danych może powodować wysokie ryzyko dla praw i wolności osób fizycznych, administrator ma obowiązek niezwłocznie poinformować te osoby.
34. Jakie są przykłady naruszeń danych osobowych?
Przykłady to: wysyłka e-maila do niewłaściwego adresata, zgubienie laptopa z danymi, wyciek loginów i haseł, atak ransomware na systemy IT.
35. Czy monitoring wizyjny podlega RODO?
Tak. Wizerunek osoby fizycznej jest daną osobową. Dlatego instalacja kamer wymaga spełnienia obowiązku informacyjnego, określenia podstawy prawnej oraz ustalenia celu i okresu przechowywania nagrań.
36. Jak długo można przechowywać nagrania z monitoringu?
Standardowy okres to maksymalnie 3 miesiące, chyba że nagranie stanowi dowód w postępowaniu, co może uzasadniać dłuższe przechowywanie.
37. Czy muszę informować o monitoringu?
Tak – należy umieścić stosowną klauzulę informacyjną (np. na tabliczce) oraz udostępnić pełną informację np. w polityce prywatności lub w recepcji.
38. Czy muszę mieć zgodę na przetwarzanie danych pracowników?
Zgoda nie jest podstawą przetwarzania w stosunku pracy. Przetwarzanie danych pracowników najczęściej odbywa się na podstawie przepisów prawa pracy.
39. Co to jest polityka prywatności?
To dokument informujący osoby, których dane są zbierane, o zasadach ich przetwarzania, zgodnie z obowiązkiem informacyjnym RODO. Powinien być łatwo dostępny, zrozumiały i aktualny.
40. Jakie informacje powinna zawierać polityka prywatności?
Dane administratora, cele przetwarzania, podstawy prawne, prawa osób, informacje o przekazywaniu danych, czasie przechowywania oraz informacje o plikach cookies i zautomatyzowanym przetwarzaniu.
41. Co to jest IOD (Inspektor Ochrony Danych)?
To osoba wyznaczona przez administratora lub podmiot przetwarzający, która wspiera w zapewnieniu zgodności działań z przepisami o ochronie danych. Ma obowiązek działania niezależnie i może być zarówno pracownikiem, jak i zewnętrznym doradcą.
42. Kiedy trzeba wyznaczyć IOD?
Obowiązek dotyczy m.in. organów publicznych, podmiotów przetwarzających dane szczególnych kategorii na dużą skalę oraz firm monitorujących osoby na dużą skalę.
43. Czy IOD musi mieć certyfikat?
Nie ma wymogu formalnego posiadania certyfikatu. IOD powinien jednak mieć fachową wiedzę prawną i praktyczną z zakresu ochrony danych.
44. Jakie są obowiązki IOD?
Obowiązki IOD obejmują: informowanie administratora i pracowników o obowiązkach wynikających z RODO, monitorowanie zgodności, doradzanie, prowadzenie szkoleń, kontakt z UODO oraz współpraca w ramach DPIA i reagowanie na skargi.
45. Czym są dane biometryczne?
To dane pozyskiwane na podstawie cech fizycznych osoby, np. odciski palców, obraz siatkówki, rozpoznawanie twarzy. Są to dane szczególnych kategorii wymagające szczególnej ochrony.
46. Czy numer IP to dana osobowa?
Tak, jeśli pozwala na identyfikację konkretnej osoby, zwłaszcza w kontekście działalności online, to traktowany jest jako dana osobowa.
47. Jak zabezpieczyć dane osobowe w firmie?
Poprzez wdrożenie środków technicznych (np. szyfrowanie, hasła, zapory sieciowe) i organizacyjnych (np. polityki bezpieczeństwa, szkolenia, nadawanie uprawnień) oraz monitorowanie ich skuteczności.
48. Czy muszę szkolić pracowników z RODO?
Tak, zgodnie z zasadą rozliczalności pracownicy powinni znać swoje obowiązki. Szkolenie pomaga zapobiegać błędom i naruszeniom.
49. Gdzie zgłosić skargę na nieprawidłowe przetwarzanie danych?
Skargę należy złożyć do Prezesa Urzędu Ochrony Danych Osobowych (UODO), osobiście, pocztą lub elektronicznie, np. przez ePUAP.
50. Jakie są kary za naruszenie RODO?
Kary mogą wynieść do 20 milionów euro lub 4% całkowitego rocznego obrotu firmy w zależności od tego, która wartość jest wyższa. Wysokość kary zależy m.in. od charakteru, wagi i czasu trwania naruszenia.
| Redakcja BPPZ.pl
Przeczytaj także:
