Wstęp – RODO

25 maja 2018 jest datą, od której zacznie obowiązywać nowe Rozporządzenie o Ochronie Danych Osobowych (GDPR – General Data Protection Regulation). Jest to największa zmiana w ochronie danych osób fizycznych od wielu lat i dotyczy wszystkich państw Unii Europejskiej. W praktyce nakłada ona na wszystkich przedsiębiorców obowiązki nakazującą skuteczną ochronę danych osobowych.

Najczęściej w kontekście zmian pojawia się też informacja o wysokości kar za nieprzestrzeganie ustawy o RODO, zapis artykułu 83 dość jednoznacznie wskazuje jaki jest cel tych kar:

Każdy organ nadzorczy zapewnia by stosowane na mocy niniejszego artykułu za naruszenie nieniejszego rozporządzenia adminstracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające

Kary w zależności od naruszenia przepisów mogą wynosić do 20 000 000 EUR lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrachunkowego przedsiębiorstwa, przy czym zastosowanie ma kara wyższa.

Celem niniejszej miniserii wpisów jest pomoc w przygotowaniu się do zmian, oraz podniesienie świadomości przedsiębiorców i podmiotów przetwarzających dane osobowe.

Część 1: pojęcia podstawowe

Zanim zajmiemy się konkretnym podejściem do zmian w ochronie danych osobowych, warto poznać najważniejsze pojęcia związane z tym zagadnieniem:

„dane osobowe” – oznaczają informacje o zidentyfikowanej lub mozliwej do zidentyfikowania osobie fizycznej, możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Przykładowe dane osobowe to: imię i nazwisko, adres, PESEL, adres e-mail, numer telefonu, adres IP komputera, numer konta bankowego.

Identyfikatory internetowe, są to najczęśiej pliki cookie lub inne identyfikatory, które w sposób pośredni wykorzystując inne dane i informacje umożliwiają przypisanie do konkretnej osoby fizycznej i jej identyfikacje.

„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Najczęściej wykonywane przetwarzanie danych osobowych to: zbieranie, utrwalanie, przeglądanie, rozpowszechnianie lub innego rodzaju udostępnianie, usuwanie lub niszczenie

Warto w tym miejscu zwrócić uwagę na przeglądanie, które z początku nie wydaje się przetwarzaniem, nie zmienia w żaden sposób danych osobowych, jednak jest w rozporządzeniu wymienione wprost jako operacja przetwarzania i również wymaga od osób mających tylko wgląd stosownych upoważnień do przetwarzania danych osobowych lub ograniczenia dostępu do przeglądania dla osób nieupoważnionych

„profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się

„pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób,by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej

„zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie

„administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych

„podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora

„zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych

„naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych

---

w części drugiej zajmiemy się identyfikacją zbiorów danych osobowych w naszej firmie i weryfikacją celu ich przetwarzania