Porady

Zasady przetwarzania i udostępniania danych osobowych, tworzenie zbiorów

Bezpłatny Program Do Rozliczenia PIT za 2019

Może być to dotychczasowy administrator systemu i zbiorów danych w ogólności lub osoba odpowiedzialna za zarządzanie informacją, której powierzono funkcję ADO. W mikro firmach oczywiście rolę tę może pełnić zarówno sam właściwie czyli Przedsiębiorca, a tak będzie, gdy nie powierzy tej funkcji innej osobie. Może to być też komplementariusz w spółce komandytowej bądź dowolny wspólnik w spółce jawnej lub partnerskiej, czy jednoosobowy zarząd w spółce kapitałowej. Podstawowe obowiązki ADO wg. RODO to:

  • wdrażanie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem RODO w sposób mogący to wykazać,
  • środki techniczne i organizacyjne, o których mowa wyżej powinny być w razie potrzeby poddawane przeglądom i uaktualniane,
  • środki techniczne i organizacyjne obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
  • stosowanie zatwierdzonych kodeksów postępowania, lub zatwierdzonego mechanizmu certyfikacji, które mogą być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków
  • prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środków zapewniających ochronę danych osobowych;
  • zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru danych osobowych oraz komu dane te są przekazywane;
  • prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych (z uwzględnieniem: imienia i nazwiska osoby upoważnionej, zakresu upoważnienia do przetwarzania danych osobowych, nr identyfikatora);
  • powołanie Inspektora Ochrony Danych (IOD) w przypadku jeżeli przepisy do tego zobowiązują;
  • zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem oraz przetwarzaniem z naruszeniem rozporządzenia,
Zasady przetwarzania i udostepniania danych osobowych

1. Pozyskanie danych osobowych

Przedsiębiorca pozyskując od swoich dostawców, klientów, kontrahentów, usługodawców, ich dane osobowe działa dla potrzeb spełnienia jakiegoś świadczenia, zawarcia umowy lub już na podstawie jakiegoś zobowiązania, tzn. w istocie zawartej umowy (przyjęcia zamówienia do realizacji, sprzedaży, zlecenia świadczenia usług). Trzeba pamiętać, iż niezależnie od tego czy dana transakcja była objęta pisemną umową, czy też jej treść określają ogólne warunki umów bądź regulamin sprzedaży albo świadczenia usług, to możemy zapisać dane osobowe tylko wówczas, gdy właśnie z treści tych dokumentów to wynika lub wprost uprawnienie bądź obowiązek ma podstawę w ustawie. Jednocześnie musimy pozyskiwać zgodę drugiej strony transakcji na przetwarzanie danych zgodnie z art. 7 RODO.

W praktyce ze względu na powyższą okoliczność, mamy do czynienia z propozycjami udzielenia zgody albo w węższym zakresie, tylko dla potrzeb danej strony transakcji i dla jej wykonania albo szerszej, zawierającą przeważnie ogólniejszą formułę, pozwalającą na pełne przetwarzanie nieograniczone w czasie. Dlatego pamiętać należy, że zapytanie o zgodę powinno zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych spraw w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Przedsiębiorca przede wszystkim, organizując działalność w zakresie sprzedaży swoich produktów, czyli towarów, usług, treści elektronicznych oraz zapewnienia zaopatrzenia i funkcjonowania, eksploatacji, obiektów przedsiębiorstwa, powinien ustalić czy i jakie dane osobowe będzie utrwalał, w jakim zbiorze danych (wykazie, kartotece) i przez jaki czas będzie je przechowywał. Odpowiednio, musi następnie wprowadzić stosowne zapisy do treści umów, ogólnych warunków sprzedaży, świadczenia usług bądź regulaminów sprzedaży, usług oraz do wewnętrznych regulacji prowadzenia akt, zarządzania informacją, archiwum, jakie stosuje dla ustalenia zasad prowadzenia swojej działalności.

 

2. Przykładowe klauzule do umów i oświadczeń (zgoda na przetwarzanie danych osobowych

Przykładowa treść klauzuli zezwalającej na utrwalanie i przetwarzania danych osobowych dla kontrahenta / klienta

Zakres podstawowy klauzuli

Niniejszym wyrażam zgodę na utrwalanie i przetwarzanie moich danych osobowych w zakresie niezbędnym dla realizacji umowy *dostawy *sprzedaży, *sprzedaży na raty, *świadczenia usług, *przechowania, *leasingu, * (*niepotrzebne skreślić lub uzupełnić odpowiednio) zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: RODO) oraz ustawy z dnia 10 maja 2018 r. wdrażającej RODO.

Wariant klauzuli zezwalający na dalsze przetwarzanie danych

Niniejsza zgoda obejmuje również zgodę na dalsze przetwarzanie, w tym udostępnianie przedmiotowych danych w celu *realizacji umowy z dnia …../ *umów zawieranych z ………(*niepotrzebne skreślić i stosownie uzupełnić)

Wariant klauzuli ustalający zakres utrwalania i przetwarzania danych

Niniejszym wyrażam zgodę na utrwalanie i przetwarzanie moich danych osobowych w zakresie niezbędnym wyłącznie do realizacji umowy z dnia……..

Niniejsza zgoda obejmuje wyłącznie dane zawarte w *umowie z dnia ……/ *w punkcie …. umowy z dnia …….(*niepotrzebne skreślić lub stosownie uzupełnić)

Wariant klauzuli określający czas obowiązywania zgody

Niniejsza zgoda obowiązuje *przez 12 miesięcy od jej udzielenia/ * do 1 czerwca 2017 r. /*do czasu obowiązywania umowy z ……..

Niniejsza zgoda udzielona jest bezterminowo, do odwołania.

Wariant klauzuli określający zasięg terytorialny obowiązywania klauzuli

Niniejsza zgoda ograniczona jest do przetwarzania danych wyłącznie na terenie *Rzeczypospolitej Polskiej, *Unii Europejskiej, *Rzeczypospolitej Polskiej i Republiki Federalnej Niemiec, *… (*niepotrzebne skreślić lub stosownie uzupełnić)

Niniejsza zgoda nie jest ograniczona terytorialnie.

Przykładowa treść klauzuli dla pracownika/ zleceniobiorcy/ etc.

Niniejszym oświadczam, iż zapoznałem/-am się z przepisami pkt 32, pkt 42, pkt 43, pkt 171 preambuły, art. 4 pkt 11, art. 5 ust. 1 lit. b, art. 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: RODO) oraz ustawy z dnia 10 maja 2018 r. wdrażającej RODO, informujemy, iż od dnia 25 maja 2018 r.*oraz Regulaminem, *Instrukcją w sprawie przetwarzania danych osobowych (*niepotrzebne skreślić)

Jednocześnie zobowiązuję się tak w okresie *zatrudnienia/ *w trakcie związania umową zlecenia, *agencji, *.. (*niepotrzebne skreślić lub odpowiednio dostosować) jak i po jego ustaniu do zachowania w tajemnicy wszelkich danych osobowych do których mam i będę miał/ miała dostęp w związku z wykonywaniem obowiązków służbowych.

Jestem świadomy/-a odpowiedzialności karnej za udostępnianie lub umożliwianie dostępu danych osobowych osobom do tego nieupoważnionym.

Przykładowa treść klauzuli zawierającej zgodę na przesyłanie ofert, cenników, informacji handlowych

Wyrażam zgodę na otrzymanie *oferty/ ofert handlowych, *cenników, *informacji handlowych (*niepotrzebne skreślić) od……. (uzupełnić dane) w rozumieniu Ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2017 poz. 1219). Jednocześnie wyrażam zgodę na przetwarzanie moich danych osobowych, w tym adresu e-mail w wyżej wskazanym celu.

Należy podkreślić, iż samo zawarcie umowy nie upoważnia do utrwalenia w zbiorze danych osobowych lub ich przetwarzania dla potrzeb handlowych, a z kolei uzyskanie zgody na przesyłanie ofert handlowych, cenników, informacji handlowych, etc., zgodnie z wymogami Ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, nie jest tożsame z wyrażeniem przez potencjalnego klienta zgody na przetwarzanie jego danych osobowych umożliwiających wysyłanie takich ofert. Dlatego formułując klauzulę wyrażenia zgody na przesyłanie ofert drogą elektroniczna przedsiębiorca powinien uzupełnić ją o wyrażenie zgody na przetwarzanie danych osobowych przynajmniej w podstawowym zakresie.

 

3. Utrwalenie danych osobowych

Można rekomendować, aby tworząc zbiory danych, niezależnie od ich formatowania i nośników, zawsze uwzględniać dwa kryteria:

  • czasu przez jaki przedsiębiorca może je przechowywać,
  • możliwość i zakres przetwarzania, w tym udostępniania osobom trzecim.

Co do kryterium czasu, można rekomendować wyróżnienie trzech zakresów:

  • na czas niezbędny dla realizacji transakcji,
  • na czas, w którym z tytułu transakcji mogą powstać obowiązki dla przedsiębiorcy (rękojmie, gwarancje, odpowiedzialność za produkt niebezpieczny),
  • na czas nieograniczony.

Jeżeli chodzi o dozwolone przetwarzanie, to można zarekomendować kryteria:

a.  jedynie dla potrzeb tej jednej transakcji,

b.  dla potrzeb innych transakcji z danym podmiotem (kontrahentem, klientem) bez możliwości wykorzystania we własnej działalności marketingowej oraz w celach reklamowych,

c.  dla wykorzystania w celach marketingu i reklamy, ale tylko produktów przedsiębiorcy i dla danej osoby,

d.  dla wykorzystania danych do przekazywania cenników i reklam innych produktów, podmiotów, według klucza branżowego lub zadeklarowanych zainteresowań,

e.  zgoda na przetwarzanie, udostępnianie bez ograniczeń także innym przedsiębiorcom w celu, o którym mowa w lit. c) lub d).

 

4. Informowanie o przetwarzaniu

Kolejną powinnością administratora danych osobowych jest sprostanie obowiązkom informacyjnym i przekazanie osobie, której te dane dotyczą, o fakcie ich przetwarzania. W momencie ich gromadzenia, zgodnie z art. 13 ust. 1 RODO administrator podać musi następujące informacje:

  • swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  • cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
  • prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.

Ponadto zgodnie z art. 13 ust. 2 RODO administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

 

5. Przetwarzanie danych osobowych

Przetwarzanie danych osobowych, zgodnie z art. 5 RODO Dane osobowe muszą być:

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
  • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
  • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Wystarczy zatem, iż realizowana jest którakolwiek z podanych operacji, a nawet inna niż wymieniona w tym przepisie, mająca za przedmiot dane osobowe, aby należało uznać, że dochodzi do ich przetwarzania, co otwiera obowiązek stosowania regulacji zawartych w omawianym RODO i ustawie. Można twierdzić, iż samo czytanie danych osobowych przez przedsiębiorcę, jak i menadżerów, handlowców czy zewnętrznego administratora danych, stanowi już przetwarzanie danych. Może się ono odbywać zarówno w systemie informatycznym, jak i poprzez metody tradycyjne (w wykazach, skorowidzach, rejestrach, księgach). Podmiot posiadający dostęp do danych osobowych, przedsiębiorca lub upoważniona osoba (a więc administrator danych lub IOD) decyduje o tym jakie informacje zbiera, do czego je przetwarza i czy przetwarza je sam, osoba przez niego upoważniona (np. pracownik) czy też powierza je podmiotom zewnętrznym (na podstawie umowy o powierzenie danych osobowych). W każdym jednak przypadku, ma obowiązek przetwarzania pozyskanych danych tylko w sposób uregulowany przepisami prawa, mając na celu ochronę interesów osób, których one dotyczą. Ponadto przedsiębiorca (ADO) obowiązany jest do informowania o przetwarzaniu pozyskanych danych, o sposobie ich zabezpieczenia, zgodnie z przepisami RODO.

Przetwarzanie danych osobowych wiąże się z dochowaniem szczególnej staranności, mającej na celu ochronę interesów osób, której dotyczą. W związku z tym należy kierować się zasadami:

  • legalności (przetwarzanie odbywać się musi na zasadach określonych ustawą oraz przepisami wykonawczymi),
  • celowości (zbieranie danych zgodnie z określonym obowiązkiem i przeznaczeniem, zabronione jest przetwarzanie sprzeczne z celem np. w zakresie szerszym niż niezbędny dla realizacji umowy),
  • aktualności i prawdziwości (weryfikacja danych),
  • ograniczonego czasu przetwarzania (w czasie niezbędnym do realizacji celu ich przetwarzania, wraz z jego wygaśnięciem konieczne jest usunięcie posiadanych danych).

Przetwarzanie danych zgodnie z prawem (art. 5 ROOD) oznacza dostosowanie się do przepisów ustawowych jak i wykonawczych. Owa powinność łączy się z reżimem przetwarzania danych przy zachowaniu przynajmniej jednej z przesłanek, które można określić jako „zwykłe” czyli osobowe, a także dane szczególnie chronione, tzw. „wrażliwe”. Zgonie z art. 9 i 10 ust. wprowadza się definicje tzw. szczególnych kategorii danych osobowych wśród których możemy wyróżnić: dane o stanie zdrowia, dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, światopogląd, przynależność do związków zawodowych, dane genetyczne, dane biometryczne (co obejmuje np. głos, odciski palców, grupę krwi). dane dotyczące seksualności, dane dotyczące orientacji seksualnej).

Warto również wskazać należy, że jednym z obowiązków, jakie wprowadziło RODO oraz ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, to nałożenie na podmioty publiczne przetwarzające dane osobowe (m.in. samorządy: gminy, powiaty, województwa) obowiązku wyznaczenia inspektora ochrony danych (IOD).

Z RODO wynika m.in. obowiązek wyznaczenia inspektora ochrony danych w sytuacji, gdy przetwarzanie danych ma być dokonywane przez organ lub podmiot publiczny (wyjątkiem od tej reguły są sądy w zakresie sprawowania przez nie wymiaru sprawiedliwości). Zgodnie z art. 9 ustawy o ochronie danych, przez organy i podmioty publiczne mające obowiązek wyznaczenia inspektora rozumie się m.in. jednostki sektora finansów publicznych, czyli także jednostki samorządu terytorialnego i ich związki. Ponadto zgodnie z art. 10 ust. 1 ww. ustawy podmiot, który wyznaczył inspektora, musi zawiadomić o tym Prezesa Urzędu Ochrony Danych Osobowych w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora. Podmiot, który wyznaczył inspektora, musi także udostępnić dane inspektora, niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej. W przepisach ww. ustawy przewidziano również możliwość wyznaczenia jednego inspektora ochrony danych dla kilku podmiotów publicznych przy uwzględnieniu ich struktury organizacyjnej i wielkości np. Urząd Miasta może ustanowić IOD, który będzie także pełnił tę funkcję dla innych organów jednostek miasta.

 

6. Przechowywanie, utrwalanie (zapis) danych osobowych

Wskazać należy, że przepisy RODO nie zawierają praktycznie żadnych wytycznych, które odnoszą się do sposobu przechowywania danych osobowych oraz prowadzenia dokumentacji przetwarzania danych osobowych, jak również jej zawartości. Jednakże nie oznacza to, że administrator lub IOD nie jest zobligowany do posiadania żadnej dokumentacji w tym zakresie. Dlatego też przepisy RODO nie określające formalnych wymagań dotyczących dokumentacji przetwarzania danych osobowych dają dużą swobodę w tym zakresie administratorom danych. Administrator danych może dowolnie kształtować i opisywać rozwiązania dotyczące przyjętych zasad i procedur przechowywania danych. Jednakże w przepisach RODO zostały ujęte pewne wymagania formalne dotyczące zakresu dokumentowania danych, są to m.in.:

  • prowadzenie rejestru czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  • zgłaszanie naruszenia ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  • prowadzenie wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  • zawartość raportu dokumentującego wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7

Poprzez przechowywanie danych można rozumieć utrzymywanie zapisów w zbiorach danych (rejestry, kartoteki, wykazy), które umożliwiają korzystanie w rozumieniu przetwarzania, w tym przekazywanie czyli udostępnianie uprawnionym pracownikom (sprzedawcom, akwizytorom tj. zaufanym partnerom), jak i podmiotom, którymi się przedsiębiorca posługuje, czyli do transportu, spedytorowi, serwisowi. Natomiast może nastąpić ograniczanie utrzymania zapisów, które stanowi jedynie zarchiwizowanie danych (patrz: punkt 9), nie dla przetwarzania, a z ostrożności w związku z terminami możliwych roszczeń z tytułu szkód na zasadach ogólnych lub gdy z ustawy to wynika (m.in. przepisy kodeksu pracy czy ustaw dotyczących ubezpieczeń społecznych nakładają na pracodawcę obowiązek przechowywania zbiorów dokumentacji personalnej, której okres wynosi 50 lat od dnia zakończenia stosunku pracy, jak również dokumentacji płacowej pracownika, licząc od dnia jej wytworzenia). Każde przechowywanie musi następować z uwzględnieniem zabezpieczenia (patrz: punkt 8).

 

7. Udostępnianie danych osobowych

Z udostępnianiem danych do korzystania, jako jedną z operacji wykonywanych na danych w ramach jej przetwarzania, mamy do czynienia w sytuacji, gdy osoba trzecia, nie będąca przedsiębiorcą, administratorem lub IOD ma możliwość co najmniej zapoznania się z nimi, tym bardziej nabywając uprawnienia administratora. Podmiot, który pozyskał dane nie traci swoich praw przekazując je uprawnionym innym podmiotom trzecim, przez co nadal może decydować o celach i środkach ich przetwarzania. Oczywiście pamiętać należy, że osoba, której dane mogą zostać udostępnione osobom trzecim powinna być wcześniej o tym fakcie poinformowana. Przykłady gdzie administrator może powierzyć przetwarzanie danych osobowych, które sam zebrał to np.

  • firma informatyczna;
  • biuro księgowe;
  • podwykonawcami;

Oczywiście udostępnienie danych zależy od sytuacji, czy dochodzi do przetwarzania danych osobowych przez osobę trzecią, czy osoba trzecia może zostać uznana za Zaufanego Partnera.

Należy również pamiętać, iż w przypadku udostępnienia danych należy z takimi podmiotami podpisać odpowiednią umowę o przetwarzania danych. Zgodnie z art. 28 oraz art. 30 RODO taka umowa powinna zawierać m.in.:

  • przedmiot przetwarzania,
  • czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych,
  • kategorię osób, których dane dotyczą,
  • obowiązki i prawa administratora,
  • obowiązki podmiotu przetwarzającego.

 

8. Zabezpieczanie danych osobowych

Z nałożonych przez RODO obowiązków, istotnym jest ochrona danych osobowych polegająca na zabezpieczeniu danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Środki ochrony wynikają m.in. z Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004, Nr 100, poz. 1024). W oparciu o powyższe regulacje, przedsiębiorca zobligowany jest m.in. do wprowadzenia polityki bezpieczeństwa danych osobowych (regulaminu, instrukcji, zarządzenia), w ramach której powinien zostać stworzony nie tylko wykaz zbiorów danych osobowych (rejestrów, katalogów), ale także zostać uregulowana kontrola dotycząca wprowadzania danych, ich przetwarzania i zabezpieczenia. Ponadto, obowiązek ten łączy się z koniecznością zawiadomienia komu zostały przekazane dane oraz zaznajamianiem osób, których dane dotyczą o przysługujących im prawach (patrz: punkt 4). W tym celu korzystnym rozwiązaniem jest utworzenie odrębnego Regulaminu lub uregulowanie tej kwestii w ramach kompleksowej regulacji zarządzania informacją. Takie regulacje są coraz powszechniejsze i obejmują całość gromadzonej i przetwarzanej informacji oraz informacji wytworzonej przez przedsiębiorcę. Praktykowane są też regulaminy ochrony informacji, czy też zarządzania informacją chronioną. Obejmują one ochronę tajemnicy akt pracowniczych, skarbową przedsiębiorcy, w tym handlową i przesyłową.

 

9. Zaprzestanie przetwarzania, usunięcie, archiwizowanie

Zgodnie z art. 17 ust. 17 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  • osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
  • osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
  • dane osobowe były przetwarzane niezgodnie z prawem;
  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

Wskazać również należy, ze administrator (ADO) czy IOD nie ma obowiązku potwierdzania usunięcia danych osobowych, jednakże rekomendowane jest potwierdzenie ww. czynności. Głównie dlatego aby osoba, która zażądała usunięcia swoich danych otrzymała pewność, że jej żądanie zostało wykonane oraz aby administrator mógł wykazać, że dopełnił obowiązków informacyjnych i osoba, której dane dotyczą, była świadoma trwałego skasowania jej danych.

W tym miejscu pojawia się jednak problem istnienia danych w kopiach zapasowych systemu czy też tych, przechowywanych łącznie z innymi, przez co usunięcie ich części staje się niemożliwe. W takim wypadku administratorzy (ADO) zobligowani są do przeanalizowania procesów związanych z usuwaniem i jednoczesną koniecznością poinformowaniem osób, których dane są przetwarzane, na czym będzie polegało i jak przebiegało ich likwidowanie (taka informacja może zostać zawarta np. w regulaminie). Natomiast archiwizowanie zawsze może następować, po pierwsze, w zakresie metadanych, a więc zbiorczych informacji o informacji, czyli danych osobowych podmiotów, przykładowo wykaz klientów już po usunięciu w zbiorach ich danych osobowych, dokumentów transakcji, które ze względu na innych ich uczestników muszą pozostać przez określony czas prowadzenia np. sporów sądowych czy rozpoznawania roszczeń subsydiarnych. Po drugie będą to już wspomniane sytuacje, gdy ustawa tak nakazuje, np. jak przy wspomnianych aktach personalnych pracowników. 

Wreszcie mogą one znajdować się nie jako archiwizowane zbiory, ale dane osobowe umieszczone w dokumentach różnych kontroli, audytów, dokonywanych przez organy władz publicznych lub korporacyjne, które to dokumenty pozostają w określonych klasach archiwizowania A (jako kategoria archiwalna dokumentacji stanowiącej materiały archiwalne) lub B (jako kategoria archiwalna dokumentacji niearchiwalnej), zgodnie z art. 5 ust. 1 Ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym (Dz.U. z 2019 r. poz. 553) oraz Załącznikiem Nr 1 do Rozporządzenia Ministra Kultury i Dziedzictwa Narodowego z dnia 20 października 2015 r. w sprawie klasyfikowania i kwalifikowania dokumentacji, przekazywania materiałów archiwalnych do archiwów państwowych i brakowania dokumentacji niearchiwalne. Fakt archiwizowania zgodnie z wymogami ustawowymi nie zmienia sytuacji, co do zakazu przetwarzania i na żądanie informowania zainteresowanego o zakresie i podstawie utrzymywania zbioru danych lub dokumentów z danymi osobowymi.

Podstawa prawna:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej RODO), (t.j. Dz.Urz.UE.L 2016 Nr 119, str. 1);
  • Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781);
  • Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U.2019 poz. 123 t.j.);
  • Ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym (Dz.U. z 2019 r. poz. 553);

Pomogliśmy?

Teraz Ty możesz pomóc nam!

Z tego tekstu możesz korzystać za darmo, ale nie powstał za darmo i poświęciliśmy na niego sporo czasu. Ty również możesz pomóc w tworzeniu kolejnych, wspierając nas finansowo.
Wystarczy nawet niewielka kwota.

Wybierz kwotę darowizny i przejdź do szybkiej, bezpiecznej płatności internetowej:

/ miesięcznie

  • Wybierz lub wpisz kwotę darowizny