Co to w zasadzie są dane osobowe?
Pytanie jak najbardziej zasadne, gdyż dzisiaj pod pojęciem danych osobowych mieści się zdecydowanie więcej informacji niż imię, nazwisko, adres, które jako pierwsze przychodzą do głowy. Dane osobowe to zatem informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Przykłady: e-mail, pseudonim, nick, login, hasło, nr rejestracyjny samochodu, PESEL, IP, odcisk palca, wizerunek
Ważne: Informacje o osobie zmarłej nie są uznawane za dane osobowe!
Kogo dotyczy ochrona danych osobowych?
Ochrona danych osobowych dotyczy wszystkich tych, którzy takowe dane przetwarzają. Mowa tutaj zarówno o osobach prowadzących jednoosobową działalność gospodarczą jak i międzynarodowych korporacjach. Skala, rozmiar i charakter działalności nie determinują bowiem samej istoty ochrony danych bo te musi chronić każdy. Różnica polega na tym, że niektórzy muszą mieć ten proces zdecydowanie bardziej sformalizowany i do tego w określonych przypadkach posiadać u siebie Inspektora Ochrony Danych.
Kto jest zobligowany do posiadania u siebie Inspektora Ochrony Danych?
O tym kto może a kto musi posiadać u siebie Inspektora Ochrony Danych (IOD) mówi ogólne rozporządzenie o ochronie danych osobowych w art. 37 ust. 1 oraz wytyczne dotyczące inspektorów ochrony danych (‘DPO’) wydane przez Grupę Roboczą art. 29 ds. Ochrony Danych. W obu tych dokumentach czytamy, że Inspektor musi być powołany jeśli:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Powyższe sytuacje zawierają wiele stwierdzeń enigmatycznych. Wątpliwości budzą najczęściej pojęcia „dużej skali” czy „regularne i systematyczne monitorowanie osób”. Niejasna jest też definicja „podmiotu publicznego”. Kwestie te albo zostaną sprecyzowane na gruncie nowej polskiej ustawy o ochronie danych osobowych lub już teraz można znaleźć informacje o tym jak należy je interpretować w przytoczonych wyżej wytycznych, które można pobrać z naszej strony internetowej.
Na kim spoczywa odpowiedzialność za ochronę danych osobowych jeśli nie ma powołanego IOD?
Odpowiedzialność za ochronę danych osobowych, niezależnie od tego czy jest powołany Inspektor Ochrony Danych czy nie, zawsze spoczywa na Administratorze. Nie oznacza to oczywiście, że IOD nie może ponieść konsekwencji jeśli nie dopełnił sowich obowiązków lub gdy wręcz działał na szkodę Administratora z premedytacją.
Czy nadzór nad ochroną danych osobowych może sprawować ktoś inny niż Inspektor Ochrony Danych?
Tak. Jeżeli przepisy nie nakładają na nas obowiązku powołania IOD mamy zasadniczo trzy wyjścia:
- I tak powołać Inspektora Ochrony Danych do czego namawia Grupa Robocza art. 29 ds. Ochrony Danych. Argumentowane jest to tym, że wówczas po prostu będzie łatwiej Administratorowi zadbać o zgodne z przepisami przetwarzanie danych. Pamiętajmy, że dane przetwarza praktycznie każdy podmiot i każdy może zostać poddany kontroli ze strony organu nadzorczego;
- Możemy także stworzyć inne stanowisko (np. Specjalista ds. Bezpieczeństwa, Koordynator ds. ochrony danych etc.), które również będzie zakładało sprawowanie pieczy nad systemem bezpieczeństwa informacji i ochrony danych osobowych. Należy jednak wówczas udokumentować, że osoba je piastująca nie jest IOD w rozumieniu powszechnie obowiązujących przepisów;
- Nie powoływać ani IOD ani żadnego innego stanowiska zajmującego się ochroną danych osobowych i samemu jako Administrator sprawować pieczę nad tą kwestią.
Kogo należy przeszkolić z zakresu ochrony danych osobowych?
Wszystkich, począwszy od pracowników fizycznych na kadrze zarządzającej skończywszy. Należy pamiętać, że każdy pracownik, niezależnie od zajmowanego przez siebie stanowiska, stanowi ogniwo systemu bezpieczeństwa. Co prawda nie wszyscy z racji na charakter swojej pracy będą musieli posiadać upoważnienie do przetwarzania danych, ale już każdy powinien podpisać oświadczenie o zachowaniu poufności i zostać przeszkolony z zakresu ochrony danych osobowych. To pozwoli zminimalizować ryzyko wystąpienia naruszenia bezpieczeństwa informacji i wprowadzić odpowiednią kulturę organizacyjną.
Czy wymagana jest zgoda osób na publikowanie zdjęć na których się one znajdują?
To zależy. Jeśli osoba znajdująca się na zdjęciu jest elementem większej całości to nie. Co rozumiemy przez większą całość? Wydarzenia publiczne np. koncerty, festyny, mogą to być też skromniejsze eventy jak np. wigilia pracownicza. Takie zdjęcia przedstawiają z reguły zbiorowisko ludzi. Wówczas taka zgoda nie jest potrzebna. Jeśli jednak na fotografii znajduje się tylko jedna lub kilka osób, co nie stwarza problemów jeśli chodzi o ich identyfikację, to wówczas należałoby taką zgodę uzyskać. Wyjątkami są jeszcze:
- sytuacja kiedy za zrobienie takiego zdjęcia, osoby na nim się znajdujące otrzymałyby wynagrodzenie. Wtedy w zawieranej z nimi umowie należy umieścić stosowne zapisy traktujące o warunkach upubliczniania ich wizerunku;
- sytuacja kiedy zdjęcie przedstawia osobę powszechnie znaną, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych.
Czym się różni powierzenie danych od ich udostepnienia?
Powierzenie danych to ich przekazanie innemu podmiotowi po to, aby były one przetwarzane przez niego w naszym imieniu. Nie zmienia się zatem Administrator, którym wciąż jesteśmy my. Z takim podmiotem podpisywana jest umowa powierzenia przetwarzania danych, która umożliwia nam także jego kontrolę oraz pozwala wymusić usunięcie przekazanych danych oraz ich kopii papierowych i elektronicznych w momencie zakończenia współpracy.
Udostępnienie danych natomiast, to ich przekazanie uprawnionemu podmiotowi, który w momencie ich otrzymania staje się nowym Administratorem. Od tego mementu nie mamy wpływu ani też nie ponosimy odpowiedzialności za to co się z tymi danymi stanie, oczywiście pod warunkiem, że zostały one udostępnione zgodnie z prawem.
Czy i jakie jeszcze kary, oprócz 10 i 20 mln euro może na nas nałożyć organ nadzorczy?
Kary 10 mln euro lub 2% światowego obrotu za rok poprzedni oraz 20 mln euro i 4% światowego obrotu za rok poprzedni to tylko dwie z wielu możliwych decyzji, jakie może podjąć wobec nas organ nadzorczy w momencie stwierdzenia niezgodnego z przepisami przetwarzania danych osobowych. „Repertuar” możliwości jest naprawdę szeroki i obejmuje m.in.:
- Wydawanie ostrzeżeń przedsiębiorcom przetwarzającym dane osobowe dotyczących możliwości naruszenia przepisów RODO poprzez planowane operacje przetwarzania;
- Udzielanie upomnień przedsiębiorcom przetwarzającym dane osobowe w przypadku naruszenia przepisów RODO przez operacje przetwarzania;
- Nakazanie przedsiębiorcom przetwarzającym dane osobowe spełnienia żądań osoby, której dane dotyczą, wynikających z praw przysługujących jej na mocy RODO;
- Nakazanie przedsiębiorcom przetwarzającym dane osobowe dostosowania operacji przetwarzania do przepisów RODO, a w szczególności, w stosownych przypadkach wskazania sposobu i terminu dostosowania;
- Nakazanie przedsiębiorcom przetwarzającym dane osobowe zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
- Wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania danych, w tym zakazu przetwarzania;
- Nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazania powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
- Cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji lub nakazania podmiotowi certyfikującemu nieudzielenia certyfikacji;
- Nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.
Czego możemy żądać od Administratora jako osoba, której dane są przez niego przetwarzane?
Każda osoba, której dane osobowe są przetwarzane przez określony podmiot, ma prawo egzekwować od niego jako Administratora pewnych praw. Są to:
- Prawo do bycia poinformowanym o operacjach przetwarzania;
- Prawo dostępu;
- Prawo do sprostowania/uzupełnienia danych;
- Prawo do usunięcia danych;
- Prawo do ograniczenia przetwarzania;
- Prawo do przenoszenia danych;
- Prawo do sprzeciwu;
- Prawo do bycia zapomnianym;
- Prawo do tego, by nie podlegać profilowaniu.
Dysponujemy także możliwością wniesienia skargi do GIODO/PUODO jeśli stwierdzimy, że nasze dane są przetwarzane przez Administratora niezgodnie z prawem lub jeśli Administrator bezzasadnie odmówił wykonania wobec nas któregoś z przysługujących nam praw.