Robot ASK

RODO – pytania i odpowiedzi

Jeśli śledzicie nasz profil na Facebooku to wiecie, że już od jakiegoś czasu staramy się odpowiadać na najczęściej zadawane pytania o RODO. A jest ich sporo…

W związku z tym, dzisiejszy wpis będzie swojego rodzaju podsumowaniem i zebraniem w całość najczęściej pojawiających się pytań i wątpliwości w związku z RODO.

 

Akcja Wiosenna - Promocja na najnowsze kursy w naszej ofercie!

Do końca marca masz możliwość zakupić najnowsze kursy:

  • Wdrożenie Serwera NGINX w Chmurze
  • NGINX jako Ingress w K8s
  • Kurs Grafany

Dodatkowo odbierz za darmo godzinny wykład "K8s Pod, MultiContainer Pod, Init Containers" na hasło "freek8s"!

Promocja trwa do 31 marca do godziny 23:59. 

Chcesz wziąć udział w kursie? Kliknij w link: https://asdevops.pl/promocja-marzec-2024

 

 

 

 

 

Świadomość i wiedza dotycząca zmian w ochronie danych osobowych, jakie wejdą w życie 25 maja cały czas wzrasta. Myślę, że większość firm zdążyła już nie tylko tą wiedzę przyswoić, ale i wdrożyć odpowiednie rozwiązania IT, przeprowadzić audyty itd. Pozostaje jednak grupa przedsiębiorców, która z różnych powodów nie przeprowadziła koniecznych „reform” w swoich firmach.

W zasadzie w każdym tygodniu pojawiają się nowe zgłoszenia, a wraz z nimi pytania, które lubią się powtarzać. Dlatego też doszedłem do wniosku, że dobrym pomysłem będzie zebranie tych najczęściej pojawiających się wątpliwości w jednym miejscu.

RODO – najczęściej zadawane pytania

Oczywiście poza samymi pytaniami, znajdziecie też odpowiedzi. Są to raczej ogólne informacje pomagające ułożyć sobie pewne kwestie. Oczywiście możemy porozmawiać również o detalach – ale tu niezbędne jest lepsze rozeznanie w Waszej sytuacji.

Jeśli czujesz, że poniższe pytania i odpowiedzi są niewystarczające – skontaktuj się ze mną.

Co to znaczy RODO?

Nazwa RODO – to skrót oznaczający Rozporządzenie Parlamentu Europejskiego i Rady (UE). W dokumentach anglojęzycznych jest określane skrótem GDPR, od angielskiej nazwy: General Data Protection Regulation.

Od kiedy RODO wchodzi w życie?

RODO będzie stosowane od 25 maja 2018 – czyli już za niecałe 20 dni!
Do tej daty WSZYSTKIE podmioty, które podlegają nowym przepisom muszą być gotowe do jego skutecznego stosowania – nie ma żadnego okresu przejściowego czy taryfy ulgowej!

Czy podlegam RODO?

Pod RODO podlega działalność gospodarcza prowadzona w Unii Europejskiej w jakiejkolwiek formie prawnej, czyli w zasadzie można powiedzieć, że dotyczy każdego przedsiębiorcy posiadającego zbiory danych osobowych.

Nie ma tu znaczenia narodowość osób przetwarzających dane, gdzie znajdują się serwery, komu oferowane są towary itd. RODO znajduje zastosowanie nawet wtedy, gdy podmioty spoza UE oferują swoje usługi osobom przebywający w Unii. Natomiast nowe regulacje nie znajdą zastosowania w odniesieniu do działalności osobistej lub domowej. Także nie musicie się obawiać wysyłając świąteczne kartki do rodziny 😉

Czy przetwarzam dane osobowe?

Wydaje się, że na to pytanie znasz już odpowiedź. Warto jednak pewne kwestie podkreślić ponieważ hasło: przetwarzanie danych osobowych jest bardzo ogólne.
W jego skład wchodzą czynności takie jak:

➡️ zbieranie danych,
➡️ przechowywanie ich
➡️ opracowywanie
➡️ udostępnianie
➡️ usuwanie danych

Jeśli przetwarzasz dane osobowe, to możesz robić jako administrator danych lub podmiot przetwarzający dane.

Kiedy mogę przetwarzać dane osobowe?

Dane osobowe można przetwarzać wyłącznie wtedy, gdy mamy do tego prawo. Brzmi banalnie prawda? W przypadku podmiotów gospodarczych podstawą prawną może być:

 zgoda osoby, której dane dotyczą,
 umowa z osobą, której dane dotyczą lub podjęcie działań przed jej zawarciem
 obowiązek prawny ciążący na administratorze, gdy przetwarzanie jest niezbędne do jego wypełnienia
 ochrona żywotnych interesów osoby, której dane dotyczą
 ochrona prawnie uzasadnionych interesów
 zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej

Bardzo ważną kwestią jest zasada rozliczalności.
Administrator danych ma obowiązek wykazać, że dysponuje odpowiednim pozwoleniami lub podstawą prawną do przetwarzania danych osobowych.

Jak zbierać zgody na przetwarzanie danych?

Aby przetwarzać dane osobowe trzeba mieć odpowiednią zgodę. Może być ona wyrażona w dowolnej formie. Ważne jest aby w dowolnej chwili administrator danych mógł wykazać jej udzielenie. Także to sam administrator może wybrać sposób w jaki przechowuje zgody.

W przypadku zgody na przetwarzanie danych zaliczonych do szczególnych kategorii danych osobowych – nie ma wymagania aby była wyrażona na piśmie, w formie dokumentu itd. Może być udzielona choćby poprzez zaznaczenie czy kliknięcie odpowiedniego pola wyboru na stronie internetowej.

Jakie grożą kary za nieprzestrzeganie RODO?

Mówi się nawet o 4% rocznego obrotu lub 20 milionach euro!
To najwyższa możliwe kara, którą można otrzymać za brak dostatecznej zgody na przetwarzanie danych i naruszenie wymogów privacy by design.

W przypadku mniejszych przewinień, takich jak naruszenie obowiązku rejestrowania, niezgłoszenie naruszeń grożą kary w wysokości 2% rocznego obrotu. Dodatkowo, na podmioty publiczne mogą być nałożone kary administracyjne do 100 000 PLN – także jak sami widzicie lepiej nie być Polakiem co to będzie mądry ale już po szkodzie…

Mimo wszystko, aktualnie nie ma powodu panikować. O ile aspekt ochrony danych osobowych jest niezwykle ważny to jednak zanim nie zostanie ostatecznie ustalona w Polsce ustawa to nie ma jeszcze pewności jakie finalnie będą kary.

Jak długo można przechowywać dane osobowe?

 W przypadku, gdy przetwarzanie danych odbywa się na podstawie udzielonej zgody – może trwać tak długo, aż zgoda zostanie odwołana.

 W przypadku, gdy przetwarzanie odbywa się na podstawie umowy – może trwać to tak długo jak jest to niezbędne do wykonania wspomnianej umowy.

Czyli mówiąc ogólnie: przetwarzać dane możemy tak długo, jak długo istnieje cel przetwarzania tych danych lub do momentu, kiedy osoba nie zażąda zaprzestania ich przetwarzania. Przykładowo jeśli przy rekrutacji zbierane są CV kandydatów, to dane należy usunąć zaraz po zakończeniu rekrutacji, chyba, że ktoś wyraził zgodę na  przetwarzanie swoich danych w celach przyszłej rekrutacji…

Ile danych osobowych mogę zbierać?

Warto wiedzieć, że RODO wprowadza zasadę minimalizacji danych osobowych. Można przetwarzać dane tylko te, które są niezbędne do osiągnięcia celu ich przetwarzania.
Innymi słowy: przetwarzanie danych osobowych powinno być ograniczone tylko do tych danych, bez których realizacja celu jest niemożliwa.

Czyli przykładowo, jeśli prowadzisz handel przez internet, nie możesz przetwarzać danych dotyczących klientów które zawierają np. ilości osób w gospodarstwie domowym, albo wieku, a jedynie dane niezbędne do wykonania usługi. Chyba, że uzyskamy stosowne i odrębne uprawnienia od tej osoby.

Jaka powinna być zgoda na przetwarzanie danych?

Każda zgoda, aby mogła być ważna, musi być:

 dobrowolna – musi pojawiać się moment realnego wyboru, bez przymusu czy ryzyka wprowadzenia w błąd. Jeżeli konsekwencje wyrażenia takiej zgody kłócą się ze swobodą wyboru – zgoda nie jest dobrowolna

 konkretna – nie może być ogólna, musi dokładnie określać m.in. cel przetwarzania danych

 świadoma – nie może mieć charakteru abstrakcyjnego, powinna odnosić się do konkretnego stanu faktycznego

 jednoznaczna – musi mieć charakter jasny i wyraźny w momencie jej wyrażania

Jak zbierać zgody na przetwarzanie danych osobowych?

Ogólnie mówiąc, zgoda może być wyrażona w dowolnej formie.
Istotne jest aby administrator danych w każdej chwili był gotowy wykazać jej udzielenie.

W przypadku zgody na przetwarzanie danych zaliczonych do szczególnych kategorii RODO – inaczej, niż dotychczasowa Ustawa o ochronie danych osobowych – nie wymaga wyrażania zgody na piśmie. Zgoda ma być wyraźna, musi spełniać określone warunki, ale nie musi być pisemna. Można ją udzielić choćby poprzez kliknięcie w określone pole na stronie internetowej.

To tylko niektóre z pytań jakie często słyszymy . Aby móc wyczerpać temat musiałbym wypisać ich znacznie więcej…

Jeśli brakuje Wam tu jakiegoś istotnego pytania o RODO, nie wspomniałem o ważnej dla Was kwestii – napiszcie w komentarzach! Może dobrym wyjściem będzie stworzenie drugiej części wpisu? Wiele zależy od Was!

 

 

Akcja Wiosenna - Promocja na najnowsze kursy w naszej ofercie!

Do końca marca masz możliwość zakupić najnowsze kursy:

  • Wdrożenie Serwera NGINX w Chmurze
  • NGINX jako Ingress w K8s
  • Kurs Grafany

Dodatkowo odbierz za darmo godzinny wykład "K8s Pod, MultiContainer Pod, Init Containers" na hasło "freek8s"!

Promocja trwa do 31 marca do godziny 23:59. 

Chcesz wziąć udział w kursie? Kliknij w link: https://asdevops.pl/promocja-marzec-2024

 
 
 

Promocja na trzy najnowsze kursy w ofercie!

X