W 2018 roku weszło w życie RODO, natomiast każdego dnia powstają nowe podmioty gospodarcze, które chcą poznać od podszewki czym jest tak właściwie RODO i jak się do niego zabrać?
Zgodnie z Rozporządzeniem (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych))
„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określa jących fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
Przykłady danych osobowych:
- imię i nazwisko;
- adres zamieszkania;
- adres e-mail, taki jak imię.nazwisko@firma.com;
- numer dowodu tożsamości;
- dane o lokalizacji (np. ustawienia lokalizacji w telefonie komórkowym)*;
- adres IP;
- identyfikator plików cookie*;
- identyfikator reklamowy w telefonie komórkowym;
- dane przechowywane przez szpital lub lekarza, które mogą jednoznacznie wskazywać tożsamość danej osoby.
Co ważne i należy mieć na uwadze, to , że w niektórych sytuacjach mogą mieć zastosowanie inne przepisy prawa na przykład regulujące między innymi wykorzystywanie danych o lokalizacji lub w zakresie plików cookie — dyrektywa o prywatności i łączności internetowej (dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 (Dz.U. 201 z 31.7.2002, s. 37) oraz rozporządzenie (WE) nr 2006/2004 Parlamentu Europejskiego i Rady z dnia 27 października 2004 r. (Dz.U. 364 z 9.12.2004, s. 1).
Bez względu na to jak przetwarza się dane osobowe czy np. na papierze, czy wykorzystując dowolny rodzaj technologii, internetu, sprzętu w każdej sytuacji należy przestrzegać przepisów dotyczących ochrony danych osobowych.
Zgodnie z art. 5 RODO
1.
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).
A zatem wszelkie zbieranie danych „na zaś”, „na przyszłość” nie wchodzi w grę bo zawsze musi być CEL, dla którego dane są zbierane. Za każdym razem kiedy chcesz zbierać dane zadaj sobie pytanie do jakiego CELU chce te dane pozyskać i czy masz do tego podstawę prawną! Pamiętaj, że to na administratorze spoczywa ciężar udowodnienia, że przetwarza dane zgodnie z prawem!
źródło:
- art. 2, art. 4 ust. 1 i 5 oraz motywy 14, 15, 26, 27, 29 i 30 RODO
- Grupa Robocza Art. 29: Opinia 4/2007 w sprawie pojęcia danych osobowych
- Grupa Robocza Art. 29: Opinia 05/2014 w sprawie technik anonimizacji
_____________________
Podana powyżej treść nie jest opinią prawną ani poradą prawną. Wszelkie decyzje powinny być podejmowane na podstawie dokładnej analizy ryzyka oraz weryfikacji prawnej. Tylko dokładna weryfikacja stanu faktycznego Twojej sprawy umożliwia wskazanie najlepszych rozwiązań prawnych w Twojej sprawie. W tym celu skontaktuj się z prawnikiem. Artykuły zamieszczone na stronie są aktualne na dzień publikacji, z racji tego, że prawo często się zmienia mniej na uwadze to, że podane informacje mogą być już nieaktualne.
Bądź pierwszy, który skomentuje ten wpis