Na przedsiębiorcach ciąży obowiązek ochrony danych osobowych między innymi swoich klientów, kontrahentów czy też pracowników. Przetwarzanie danych osobowych powinno odbywać się zgodnie z zasadami przetwarzania danych osobowych RODO. Jakie są zasady ochrony danych osobowych? Jakie dane osobowe są chronione RODO? Kogo nie dotyczy RODO? Poniżej znajdziesz odpowiedź.
Jakie dane osobowe są chronione RODO?
Na wstępie wskazać należy, że rozporządzenie RODO nie wprowadziło wyczerpującej definicji danych osobowych, jak również nie wskazało zamkniętego katalogu informacji, jakie powinny być objęte ochroną. Zgodnie z rozporządzeniem RODO dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie:
- imienia i nazwiska,
- numeru identyfikacyjnego – PESEL, numeru dowodu osobistego, paszportu itp.,
- danych o lokalizacji,
- identyfikatora internetowego – adresu e-mail lub nazwy profilu założonego na portalu społecznościowym zawierającej imię i nazwisko właściciela itd.,
- cech określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Sprawdź jak wdrożyć RODO w twojej organizacji
7 zasad przetwarzania danych osobowych
Zasady przetwarzania danych osobowych zostały określone, aby zapewnić jak najlepszą ochronę danych osobowych. Do najważniejszych zasad, których przestrzeganie pozwala na zgodne z prawem przetwarzanie danych osobowych należą:
- zasada zgodności z prawem, rzetelności i przejrzystości – przetwarzanie danych osobowych jest zgodne z prawem, gdy odbywa się w oparciu o konkretną podstawę prawną (np. zgodę, wykonanie umowy). Zasada rzetelności oznacza obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Z kolei przejrzystość odnosi się do obowiązku informacyjnego, który powinien być wykonany w odpowiednim czasie (przed pobraniem danych osobowych), w odpowiedniej formie i prostym językiem;
- zasada ograniczenia celu – dane osobowe można przetwarzać wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach, z czego wynika zakaz przetwarzania ich dalej w sposób niezgodny z tymi celami. Cel przetwarzania musi zostać precyzyjnie wskazany najpóźniej w momencie pobierania danych osobowych;
- zasada minimalizacji danych – przedsiębiorca zobowiązany jest do przetwarzania jedynie takich danych, które są niezbędne dla realizacji celów przetwarzania;
- zasada prawidłowości – dane osobowe muszą być przetwarzane zgodnie ze stanem rzeczywistym i aktualizowane w razie potrzeby;
- zasada czasowości – dane osobowe mogą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Co prawda po tym okresie, dane mogą być dalej przechowywane, ale wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych albo do celów statystycznych;
- zasada integralności i poufności – dane osobowe powinny być przetwarzane za pomocą takich środków technicznych i organizacyjnych, które zapewnią im bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, bądź udostępnieniem danych podmiotom nieuprawnionym;
- zasada rozliczalności – administrator danych osobowych powinien wdrożyć środki, wewnętrzne procedury gwarantujące przestrzeganie przepisów o ochronie danych osobowych oraz odpowiednio udokumentować te czynności, aby w momencie kontroli móc wykazać, że stosuje się do nich.
Kogo nie dotyczy RODO?
Istnieją również przypadki kiedy RODO nie stosuje się i są one następuję:
- osoba, której dane dotyczą, nie żyje – RODO stosujemy tylko do osób żyjących
- osoba, której dane dotyczą, jest osobą prawną (spółką, stowarzyszeniem, etc)
- dane są przetwarzane w celach niezwiązanych z działalnością handlową, gospodarczą lub zawodową osoby przetwarzającej dane – w toku działań, które są wykonywane w toku życia prywatnego bądź rodzinnego osoby. Wyłączenie to nie będzie odnosiło się do sytuacji, w których jest jakikolwiek związek pomiędzy sferą częściowo chociażby publiczną a czynnością przetwarzania
- w przypadku działalności nieobjętej zakresem prawa Unii (w przypadku działalności prywatnej, handlowej, wyłączenie to będzie miało bardzo ograniczone znaczenie).