- Co to są dane osobowe ?
- Kto jest zobowiązany do ochrony danych osobowych?
- Co oznacza ochrona danych osobowych?
- Co grozi za nieprzestrzeganie przepisów RODO?
- Poradniki i materiały do pobrania
Danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Za osobą możliwą do zidentyfikowania uważa się osobę, której tożsamość można określić na podstawie numeru identyfikacyjnego lub też ze względu na inne unikalne czynniki określające jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Za dane osobowe uznaje się czasem pojedyncze informacje, takie jak numer PESEL albo NIP, które pozwalają odnieść się do konkretnej osoby. Najczęściej jednak pojedyncza informacja nie będzie uważana za dane osobowe, gdyż jest zbyt ogólna albo zaszyfrowana i dopiero zestawienie jej z dodatkowymi danymi pozwoli na identyfikację konkretnej osoby.
Nie istnieje zamknięty katalog określający, które rodzaje danych uznawane są za dane osobowe. W wielu sytuacjach należy dokonać indywidualnej oceny, czy dana informacja jest już cechą osobową, czy też nie. Danymi osobowymi mogą być np. pseudonim lub cecha charakterystyczna wyglądu. Mogą również zaistnieć sytuacje gdy samo nazwisko osoby fizycznej, nie będzie traktowane jako dane osobowe.
Ze względu na stopień ochrony danych można je podzielić na dwie główne kategorie :
Dane zwykłe, do których zaliczamy miedzy innymi:
- Imię i nazwisko,
- Numer ewidencyjny PESEL
- Numer identyfikacji podatkowej NIP
- Adres zamieszkania
- Numer dokumentu tożsamości
- Numer telefonu
- Adres email
- Adres IP komputera
Dane podlegające szczególnej ochronie, których przetwarzanie jest dozwolone jedynie na zasadach określonych w art. 9 RODO. Zaliczamy do nich w szczególności :
- danych osobowych ujawniających pochodzenie rasowe lub etniczne,
- poglądy polityczne,
- przekonania religijne lub światopoglądowe,
- przynależność do związków zawodowych
- przetwarzania danych genetycznych,
- danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej
- danych dotyczących zdrowia,
- seksualności lub orientacji seksualnej
Rozporządzenie 2016/679 (RODO) nie precyzuje dokładnie, kogo dotyczy obowiązek ochrony danych, ale wskazuje, do kogo się one nie odnoszą.
Z przepisów RODO wynika, że obowiązek zastosowania się do przepisów o ochronie danych osobowych mają wszystkie firmy, które gromadzą, a później wykorzystują dane dotyczące osób fizycznych. Najczęściej dotyczy to danych osobowych pracowników oraz klientów firmy.
Przepisy rozporządzenia dotyczyć więc będą zarówno dużych korporacji, jednoosobowych firm, czy sklepów internetowych.
Podmioty, które rozporządzenie wymienia jako te, których RODO nie dotyczy to osoby fizyczne, które w działalności niemającej związku z działalnością zawodową lub handlową, przetwarzają dane osobowe, np. dane adresowe. Oprócz takich osób, przepisy rozporządzenia nie mają również zastosowania do:
- przetwarzania danych osobowych w ramach działalności, która jest poza zakresem prawa Unii Europejskiej,
- działalności związanej z przetwarzaniem danych przez instytucje unijne lub dyplomatyczne,
- działalności organów właściwych w celu zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania przestępstw, wykonywania kar.
Bezspornym pozostaje również fakt, iż przepisy Rozporządzenia RODO dotyczą wszystkich jednostek administracji publicznej, czy jednostek organizacyjnych z szeroko rozumianego sektora finansów publicznych.
Ochrona danych osobowych to ochrona informacji dotyczących osób fizycznych realizowana przez urzędy administracji publicznej i podmioty gospodarcze, które realizując swoje własne cele lub wykonując obowiązek prawny dysponują danymi osobowymi osób fizycznych.
Dotyczy to zarówno o pojedynczych informacji stanowiących dane osobowe (np. imię i nazwisko lub numer telefonu), jak również o całych zbiorów danych w postaci różnego rodzaju ewidencji i baz danych ( np. baza PESEL).
Obowiązek ochrony danych wynika z przepisów Rozporządzenia RODO jak również bezpośrednio wynika z Konstytucji RP, gdyż każda osoba ma prawo do ochrony swoich danych osobowych.
Ochrona danych osobowych, to zabezpieczenie tych danych przed ich utratą, brakiem do nich dostępu, wyciekiem, czy niepowołanym dostępem.
W przeciwieństwie do nie obowiązującej już Ustawy o ochronie danych osobowych z 1997 r, obecnie przepisy o ochronie danych osobowych nie wskazują konkretnych rodzajów zabezpieczeń, ponieważ metody stosowanych zabezpieczeń mają być dostosowane do specyfiki, struktury organizacyjnej i zakresu przetwarzania danych osobowych, jaki występuje u poszczególnych podmiotów przetwarzających dane osobowe.
Inne procedury bezpieczeństwa będą obowiązywać w małym przedsiębiorstwie, a inne w globalnej korporacji
Każdy kto przetwarza dane osobowe w związku z wykonywaną przez siebie działalnością gospodarczą, wykonywaniem zadań publicznej lub sprawowaniem władzy publicznej , czy to swoich klientów, czy pracowników lub mieszkańców – jest odpowiedzialny za przestrzeganie przepisów RODO oraz za ich złamanie.
Karą za nieprzestrzeganie przepisów zawartych w rozporządzeniu jest kara finansowa, która może przybrać wysokość:
- 10 mln euro lub 2% rocznego światowego obrotu firmy osiągniętego w poprzednim roku obrotowym - dotyczy to w szczególności naruszeń:
1) zasad ochrony danych,
2) w przetwarzaniu danych,
3) rejestracji czynności przetwarzania,
4) zasad współpracy z organem nadzorczym,
5) zasad bezpieczeństwa danych.
- 20 mln euro lub 4% rocznego światowego obrotu firmy osiągniętego w poprzednim roku obrotowym - dotyczy takich naruszeń jak:
1) zasad przetwarzania danych osobowych,
2) warunków wyrażania zgody na przetwarzanie danych,
3) naruszenia dostępu danych dla tych osób, których dane są przetwarzane,
4) naruszeń prawa osób do korygowania i usuwania przetwarzania danych.
RODO przewiduje, że kraj członkowski UE może ograniczyć wysokość kar nakładanych na jednostki z sektora publicznego.
Ustawa o ochronie danych osobowych z dnia 18 maja 2018 r. ograniczyła maksymalną wysokość kar dla organów administracji publicznej do kwoty 100 000,00 złotych.
Wysokość kar została także ograniczona do kwoty 10 000, złotych dla samorządowych i państwowych instytucji kultury.
Organem nadzorczym ds. ochrony danych osobowych, uprawnionym do nakładania kar w trybie postępowania administracyjnego jest Prezes Urzędu Ochrony Danych Osobowych w Warszawie, ul Stawki 2.
- ABC zagrożeń bezpieczenstwa danych osobowych
- ABC zasad bezpieczeństwa przetwarzania danych osobowych przy użyciu systemów
- ABC zasad kontroli przetwarzania danych osobowych
- Obowiązki administratorów związane z naruszeniami ochrony danych osobowych
- Poradnik dotyczący zatrudnienia
- Poradnik RODO dla organizacji pozarządowych
- Skonsolidowany tekst rozporządzenia Parlamentu Europejskiego i Rady UE 2016_67