Bank wiedzy FAQ

FAQ

Co to są dane osobowe?

Dane osobowe to wszelkie informacje dotyczące konkretnej osoby, za pomocą których bez większego wysiłku można tę osobę zidentyfikować, chociaż nie jest ona wyraźnie wskazana. Możliwą do zidentyfikowania jest taka osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Co to są dane szczególnej kategorii?

Dane osobowe szczególnej kategorii to grupa danych osobowych określana jako tzw. “dane wrażliwe”, które podlegają szczególnym zasadom przetwarzania i ochrony, ujawniające m.in.: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne i biometryczne, dane dotyczące stanu zdrowia, seksualności lub orientacji seksualnej. Dane te, co do zasady nie mogą być przetwarzane, choć istnieją określone wyjątki, np. w przypadku osób, które udzielą na to wyraźnej zgody lub danych upublicznionych przez osobę, której dane dotyczą. Przetwarzanie danych osobowych szczególnej kategorii możliwe jest również do celów profilaktyki zdrowotnej lub medycyny pracy, oceny zdolności pracownika do pracy, diagnozy medyczne, zapewnienia opieki zdrowotnej i leczenia, a także w przypadku pełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą.

Kim jest Administrator Danych Osobowych (ADO)?

Administratorem Danych Osobowych (ADO) jest każdy podmiot (organ publiczny, jednostka, osoba fizyczna lub prawna lub przedsiębiorstwo) zobowiązany do przestrzegania ustawy o ochrone danych osobowych, który decyduje o celach i środkach przetwarzania danych osobowych, samodzielnie lub wspólnie z innymi podmiotami. Jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii Europejskiej lub w prawie państwa członkowskiego, to również w prawie UE lub państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Kim jest współadministrator danych osobowych?

Współadministrator danych osobowych to administrator danych osobowych, który wspólnie z innym administratorem (lub administratorami) ustala cele i sposoby przetwarzania danych osobowych. Warunkiem konstytutywnym bycia współadministratorem jest fakt zawarcia, w sposób przejrzysty, porozumienia pomiędzy administratorami w zakresie przetwarzania danych przez obie strony, zgodnie z wytycznymi wynikającymi z RODO. W szczególności chodzi o realizację praw osób, których dane są przetwarzane. Współadministratorzy zobligowani są do wyznaczenia punktu kontaktowego dla osób, których dane przetwarzają. Rozwiązanie to znajdzie zastosowanie m.in. w przypadku grup kapitałowych lub podmiotów, które nie są powiązane kapitałowo i organizacyjnie, ale realizują wspólne projekty.

Kim jest Inspektor Ochrony Danych (IOD)?

Inspektor Ochrony Danych (IOD) to osoba fizyczna wspierająca Administratora Danych Osobowych (ADO) w realizacji obowiązków dotyczących ochrony danych osobowych, doradzania i monitorowania tych przepisów, określania oceny skutków ochrony danych, a także pełnienia funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych oraz pełnienia funkcji punktu kontaktowego dla osób których dane dotyczą, we wszelkich sprawach związanych z przetwarzaniem danych oraz wykonywaniem praw przysługujących im na mocy RODO oraz innych przepisów.

W jaki sposób zgłosić powołanie Inspektora Ochrony Danych (IOD)?

Podpisane przez osobę uprawnioną do reprezentowania podmiotu zgłaszającego zawiadomienie o wyznaczeniu nowego Inspektora Ochrony Danych (IOD) należy zgłosić Prezesowi UODO w ciągu 14 dni, wskazując imię, nazwisko oraz adres poczty e-mail lub numer telefonu inspektora. Dodatkowo: imię i nazwisko oraz adres zamieszkania, w przypadku, gdy administratorem lub podmiotem przetwarzającym dane jest osoba fizyczna; nazwę przedsiębiorstwa oraz adres prowadzenia działalności gospodarczej, w przypadku, gdy administratorem danych osobowych jest osoba fizyczna prowadząca działalność gospodarczą; pełną nazwę i adres siedziby firmy, w przypadku innym niż wyżej wymienione lub numer identyfikacyjny REGON, jeżeli został nadany. Zawiadomienie należy przygotować w formie elektronicznej przy użyciu kwalifikowanego podpisu elektronicznego lub podpisu potwierdzonego Profilem Zaufanym ePUAP. Imię, nazwisko oraz dane służbowe dane kontaktowe IOD należy ponadto umieścić w treści witryny internetowej przedsiębiorstwa. W ogólnym przypadku należy postępować zgodnie z instrukcjami UODO.

Czym są polityki i procedury ochrony danych osobowych?

Polityka ochrony danych osobowych to podstawowy, wewnętrzny dokument organizacji (akt prawny) wiążący pracowników przetwarzających danych do stosowania procedur ochrony danych osobowych oraz postępowania zgodnego z wymogami RODO, w przypadku przetwarzania, zabezpieczania, zgłaszania incydentów i podejmowania odpowiednich działań w przypadku ich wykrycia oraz analizy danych osobowych. Wdrożenie zasad polityki ochrony danych i procedur spoczywa na Administratorze Danych Osobowych (ADO). Wymagana lista dokumentacji ochrony danych osobowych zamieszczona jest na stronie internetowej UODO.

Czym jest rejestr czynności przetwarzania?

Rejestr czynności przetwarzania to dokument informujący o tym, w jakich celach przetwarzane są dane osobowe, kogo dotyczą, jaki jest ich zakres, komu są ujawniane oraz w jakim okresie będą przechowywane. Rejestr, oprócz danych Administratora Danych Osobowych (ADO), powinien zawierać informacje o sposobie zabezpieczania danych osobowych oraz informacje o przekazywaniu danych poza Unię Europejską, jeśli takie transfery mają miejsce. Rozróżnia się rejestr czynności przetwarzania dla ADO, który wszelkie informacje o przetwarzaniu danych oraz rejestr czynności dla podmiotu przetwarzającego, w którym zawarte są informacje przetwarzaniu danych w imieniu ADO i zakres przetwarzania, a także rodzaj danych podlegających przetwarzaniu.

Jakie są zasady przetwarzania danych osobowych?

Zasady przetwarzania danych osobowych winny zapewniać zgodność z prawem (identyfikacja podstaw prawnych przetwarzania), rzetelność (obowiązek informacyjny), przejrzystość (transparentna komunikacja z osobami przetwarzającymi dane), ograniczeniem celu (przetwarzanie zgodnie z celem, dla którego dane są zbierane), minimalizacją danych (zakres zbierania wyłącznie niezbędnych danych) i ich prawidłowością (aktualizacja i weryfikacja danych) oraz ograniczeniem przechowywania (okres zasadnego przetrzymywania danych w zasobach i ich usuwanie), a także integralnością i poufnością (środki ochrony danych). Administrator Danych Osobowych (ADO) zobligowany jest do przestrzegania w/w zasad, co określane jest jako “zasada rozliczalności” (zgodność z RODO i dokumentacja ją potwierdzająca).

Jak długo można przetwarzać czyjeś dane osobowe?

Zgodnie z rozporządzeniem RODO przetwarzanie danych osobowych uzależnione jest od wyraźnej zgody na przetwarzanie przez osobę, której dane dotyczą, w wyjątkiem procesu usunięcia danych. Rozporządzenie określa okres przechowywania danych jako okres, w których istnieje cel przetwarzania tych danych lub do momentu żądania zaprzestania dalszego przetwarzania. Istotne jest, aby zgoda obejmowała możliwość przetwarzania danych w przyszłości pod warunkiem zachowania tego samego celu przetwarzania.

Co to jest polityka kluczy?

Polityka kluczy to rozwiązanie organizacyjne, które ma na celu kontrolę i ewidencję dostępu do pomieszczeń oraz innych fizycznych zabezpieczeń, w których znajdują się nośniki z danymi osobowymi zarówno w wersji papierowej jak i elektronicznej. Polityka kluczy to szereg procedur postępowania z kluczami, kartami dostępowymi do pomieszczeń oraz szaf, w których przetwarzane są dane osobowe w celu zabezpieczenia do nich dostępu osobom nieupoważnionym.

Co to jest zasada czystego biurka?

Polityka czystego biurka to rozwiązanie organizacyjne, którego celem jest zapewnienie poufności danych osobowych, przetwarzanych przez osoby upoważnione w trakcie wykonywania obowiązków służbowych lub pracowniczych, polegające na usuwaniu z niezabezpieczonego miejsca pracy danych osobowych w wersji papierowej oraz na elektronicznych nośnikach danych osobowych jak również stosowaniu wygaszaczy ekranu w przypadku korzystania z urządzeń wyświetlających dane osobowe. Spis reguł dotyczących pozostawiania stanowiska pracy bez kontroli w sposób zabezpieczający przetwarzane dane osobowe przed dostępem osób nieupoważnionych.