27.10.2021

A.J.
Zespół e-prawnik.pl

Zasady RODO - nowe podejście do ochrony danych osobowych

W swym założeniu RODO ma na celu wzmocnienie podstawowych praw obywateli w epoce cyfrowej oraz ułatwienie przedsiębiorstwom i organizacjom działania na wspólnym rynku (gdyż gwarantuje jednolitą ochronę danych osobowych w Unii Europejskiej). RODO ma zastosowanie od 25 maja 2018 r. Nowe unijne przepisy o ochronie danych osobowych wpływają na krajowe przepisy w tym zakresie. Z uwagi na to w Polsce przyjęto nową ustawę o ochronie danych osobowych, która ma zapewnić skuteczne stosowanie przepisów rozporządzenia.

W ramach dostosowania przepisów dowyzwań XXI wieku – nowe przepisy są neutralne technologicznie. 

Porady prawne

Podejście oparte na ryzyku

RODO nie zmienia istotnie podstaw prawnych lub zasad przetwarzania danych osobowych. Wprowadza jednak nowe przepisy, które zwiększają samodzielność, ale też odpowiedzialność administratorów danych. W praktyce oznacza to np., że obecne przepisywymagające zawiadamiania PUODO o przetwarzaniu danych osobowych (obowiązek zgłaszania zbiorów do rejestracji) przestają obowiązywać. W ich miejsce RODO wprowadza skuteczne procedury dotyczące tych operacji przetwarzania, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Podejście oparte na ryzyku określa sposób,w jaki należy podchodzić do przetwarzania danych – w każdej sytuacji, kiedy zbieramy i korzystamy z danych osobowych, musimy przede wszystkim analizować ryzyko, jakie to przetwarzanie może spowodować dla prywatności osób, których te dane dotyczą.

Zasada rozliczalności

Zupełnie nową zasadą wprowadzoną przez rozporządzenie jest zasada rozliczalności. Zgodnie z nią, aby spełnić wymogi rozporządzenia, każdy administrator danych ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych. Rozporządzenie nie podaje jednak konkretnych przykładów najlepszych rozwiązań. Nie określa też minimalnych standardów technicznych zabezpieczenia danych (zachęca tylko do skorzystania z narzędzi pseudonimizacji, bądź też szyfrowania danych).

Przestaje także obowiązywać rozporządzenie MSWiA określające warunki techniczne i organizacyjne, jakie muszą spełniać urządzenia i systemy informatyczne wykorzystywane do przetwarzania danych osobowych.

Od 25 maja 2018 r. każdy administrator - biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych - musi samodzielnie zdecydować, jakie zabezpieczenia, dokumentację i procedury przetwarzania danych wdrożyć. Pomocne w podjęciu tych decyzji mogą być wskazane w RODO dokumenty, takie jak zatwierdzane przez GIODO tzw. kodeksy postępowania, a także mechanizm certyfikacji, wytyczne Europejskiej Rady Ochrony Danych lub sugestie inspektora ochrony danych. Ponadto źródłem praktycznej i sprawdzonej wiedzy w zakresie budowy oraz zarządzania środkami bezpieczeństwa mogą być również np. normy ISO.

Zasada rozliczalności oznacza, iż administrator danych jest odpowiedzialny za przestrzeganie przepisów i musi być w stanie wykazać ich przestrzeganie.

Zgodnie z rozporządzeniem: „administrator jest odpowiedzialnyza przestrzeganie przepisów (…) i musi być w stanie wykazać ich przestrzeganie”. To ogólne zdanie przenosi ciężar zapewnienia zgodności przetwarzania danych z prawem na administratora. To administrator musi mieć pewność, iż przetwarzanie danych w jego przedsiębiorstwie czy organizacji jest zgodne z prawem, rzetelne i przejrzyste.

Z zasady rozliczalności wynika, że administrator ma obowiązek wykazania przestrzegania prawa (RODO). Oznacza to konieczność sporządzenia dokumentacji z wdrożenia instrumentów takich, jak: ocena skutków dla ochrony danych, wdrożenie zasady uwzględniania ochrony danych w fazie projektowania i zasady domyślnej ochrony danych oraz stosowanie zatwierdzonych kodeksów postępowania. Zasady te mają tworzyć solidne ramy ochrony praw i wolności osób, których dotyczą.

Zasada uwzględniania ochrony danych w fazie projektowania i zasada domyślnej ochrony danych

Ochrona prywatności powinna być brana pod uwagę i stosowana w praktyce przy prowadzeniu wszelkich projektów i działań, tak w sferze publicznej, jak też prywatnej. Oznacza to prawnie wiążący obowiązek uwzględnienia ochrony danych w fazie projektowania oraz zasadę domyślnej ochrony danych.

 Uwzględnianie ochrony danych w fazie projektowania zakłada, że ochrona prywatności powinna być wbudowana w każdy nowy projekt. Oznacza to, że prywatność będzie chroniona nie poprzez dodatki do systemu lub nakładki przygotowane na już istniejące rozwiązania, ale jest wbudowana w jego konstrukcję od początku, jako składowa projektu.

Zasada domyślnej ochrony danych oznacza konieczność zapewnienia jak najdalej posuniętych zabezpieczeń prywatności w ustawieniach początkowych każdego systemu czy platformy internetowej. Zabezpieczenia mają być ustawione domyślnie, czyli bez konieczności jakiegokolwiek działania osób, których dane dotyczą – i to w kluczowym dla użytkownika momencie przyłączenia się do danego systemu bądź wejścia na stronę internetową.

Domyślnie powinny być przetwarzane tylko te dane, które są niezbędne do osiągnięcia celu, dla którego zostały zebrane (minimalizacja danych).

Inne zasady przetwarzania danych

Przetwarzanie danych osobowych w świetle RODO podlega również następującym zasadom:

  • zgodności z prawem, rzetelności i przejrzystości - przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
  • minimalizacji danych - dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
  • ograniczeniu celu dane mogą być zbierane tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz nieprzetwarzane dalej w sposób niezgodny z tymi celami;
  • ograniczonego przechowywania - dane mogą być przechowywane w formie umożliwiającej identyfikację osoby, którejdotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych bądź do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami);
  • integralności i poufności danych - dane osobowe muszą być przetwarzane w sposób, który zapewni odpowiednie bezpieczeństwo danych, w tym ochronę przednie dozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem;
  • prawidłowości danych - dane muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe,które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub poprawione;

 

Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.

 

Podstawa prawna:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1).
Porady prawne

Potrzebujesz porady prawnej?

Jak powołać inspektora ochrony danych?

Jak powołać inspektora ochrony danych?

Kto może, a kto ma obowiązek wyznaczenia inspektora ochrony danych? Ogólne rozporządzenie o ochronie danych (RODO), które musi być stosowane od 25 maja 2018 r., w art. 37 ust 1 przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów (...)

Obowiązki związane z naruszeniami ochrony danych osobowych

Obowiązki związane z naruszeniami ochrony danych osobowych

Co to jest naruszenie danych osobowych? Przez pojęcie „naruszenia ochrony danych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu (...)

Przetwarzanie danych osobowych przez sądy

Przetwarzanie danych osobowych przez sądy

Zgłaszanie naruszeń ochrony danych osobowych przez sądy UODO przygotował publikację „Przetwarzanie danych osobowych przez sądy w kontekście zgłaszania naruszeń ochrony danych osobowych”, która stanowi odpowiedź na pytanie, czy Prezes UODO jest organem właściwym do (...)

Kiedy można przetwarzać dane osobowe?

Kiedy można przetwarzać dane osobowe?

25 maja 2018 r. w państwach członkowskich UE zmieniają się wymogi dotyczące przetwarzania danych osobowych. RODO to inaczej Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawieochrony osób fizycznych w związku z przetwarzaniem danych osobowych (...)

Transfer danych UE-USA: ważny wyrok

Transfer danych UE-USA: ważny wyrok

Ważny wyrok Trybunału Sprawiedliwości Unii Europejskiej - wyrok TSUE ws. Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems Trybunał Sprawiedliwości Unii Europejskiej 16 lipca 2020 r. wydał wyrok w sprawie C-311/18 - Data Protection Commissioner przeciwko (...)

Kościoły i związki wyznaniowe muszą chronić dane osobowe

Kościoły i związki wyznaniowe muszą chronić dane osobowe

Kościoły i związki wyznaniowe nie mają pełnej autonomii przy tworzeniu swoich regulacji o ochronie danych – muszą być one dostosowane do RODO. Dlatego Prezes UODO wspiera je przy tworzeniu tych regulacji. Te związki wyznaniowe, które nie zdecydowały się na wprowadzenie (...)

RODO - czyli co to jest RODO?

RODO - czyli co to jest RODO?

Dnia 25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zaczęło być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). O jakie unijne rozporządzenie chodzi? Pełna nazwa RODO to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (...)

Dane biometryczne mogą być wykorzystywane tylko w wyjątkowych sytuacjach

Dane biometryczne mogą być wykorzystywane tylko w wyjątkowych sytuacjach

Przetwarzanie danych biometrycznych mocno ingeruje w prywatność osób, powoduje liczne zagrożenia, jak np. możliwość ujawnienia danych szczególnych kategorii czy doprowadzenie do dyskryminacji. Dlatego budowa każdego systemu przetwarzania danych biometrycznych powinna być poprzedzona (...)

Wybory do Parlamentu Europejskiego odbędą się 26 maja

Wybory do Parlamentu Europejskiego odbędą się 26 maja

Wybory do Parlamentu Europejskiego odbędą się w niedzielę 26 maja; Prezydent Andrzej Duda podpisał postanowienie w tej sprawie.  Wybory do Parlamentu Europejskiego  Tegoroczne wybory do europarlamentu odbędą się w różnych państwach Unii Europejskiej w dniach 23-26 maja.  ##baner## Zgodnie (...)

RODO w szkole

RODO w szkole

Początek roku szkolnego to czas, gdy pojawia się konieczność dopełnienia przez szkołę wielu obowiązków, w tym tych, które dotyczą przetwarzania danych osobowych. Temat ten co roku wzbudza ciekawość i pojawia się wiele pytań z nim związanych. Poznaj odpowiedzi (...)

Jak rozumieć i stosować podejście oparte na ryzyku?

Jak rozumieć i stosować podejście oparte na ryzyku?

Podejście oparte na ryzyku - wymaganie RODO Zgodnie z RODO, każdy podmiot musi samodzielnie oceniać ryzyko, jakie przetwarzanie danych osobowych może spowodować dla praw i wolności osób, których te dane dotyczą. To właśnie te wartości należy przede wszystkim brać (...)

Jak powinny być realizowane prawa pacjenta do otrzymania kopii danych osobowych i kopii dokumentacji medycznej?

Jak powinny być realizowane prawa pacjenta do otrzymania kopii danych osobowych i kopii dokumentacji medycznej?

Prawa pacjenta dotyczącego dostępu do dokumentacji medycznej nie należy utożsamiać z przysługującym każdej osobie - na mocy ogólnego rozporządzenia o ochronie danych (RODO) - prawem otrzymania kopii danych osobowych. Są to dwa różne prawa i służą (...)

Zgoda dziecka na przetwarzanie danych

Zgoda dziecka na przetwarzanie danych

Dzieci, które korzystają z usług internetowych, np. portali społecznościowych, są często narażone na wykorzystanie swoich danych osobowych bez ich świadomej zgody, np. w celach marketingowych. Mogą one bowiem być mniej świadome ryzyka i konsekwencji przetwarzania ich danych osobowych. Unijne (...)

Przetwarzanie danych osobowych przez firmy windykacyjne

Przetwarzanie danych osobowych przez firmy windykacyjne

Do Urzędu Ochrony Danych Osobowych wpływają pytania dotyczące przetwarzania danych osobowych przez wierzycieli, firmy windykacyjne, czy komorników sądowych. Pojawia się wiele kwestii dotyczących legalności sposobu przetwarzania danych dłużników, sprzedaży wierzytelności. Przy (...)

Ochrona danych osobowych zatrudnionych na podstawie umów cywilnoprawnych i pracowników tymczasowych

Ochrona danych osobowych zatrudnionych na podstawie umów cywilnoprawnych i pracowników tymczasowych

25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zaczęło być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce (...)

Ochrona danych osobowych przez komitety wyborcze

Ochrona danych osobowych przez komitety wyborcze

Ochrona danych osobowych przez komitety wyborcze w toku kampanii wyborczej na Prezydenta RP W czasie kampanii wyborczej na Prezydenta RP komitety wyborcze, działając na obszarze całego kraju, będą przetwarzać na dużą skalę dane osobowe, w tym dane szczególnej kategorii. Prezes (...)

Kiedy konieczne są uprzednie konsultacje z PUODO?

Kiedy konieczne są uprzednie konsultacje z PUODO?

Kto i w jakich sytuacjach zobowiązany jest do złożenia wniosku o uprzednie konsultacje? Z przepisów RODO wynika, że z wnioskiem o uprzednie konsultacje może wystąpić administrator danych (art. 36 ust. 1 RODO). Ustawa o ochronie danych osobowych do podmiotów, (...)

O czym pamiętać, gdy administrator zawiadamia o naruszeniu ochrony danych osobowych?

O czym pamiętać, gdy administrator zawiadamia o naruszeniu ochrony danych osobowych?

Zawiadomienie osób, których dane dotyczą o naruszeniu ochrony danych osobowych, musi odnosić się do konkretnej sytuacji i być zgodne z zasadą przejrzystości. Zgłoszenia do Urzędu Ochrony Danych Osobowych Analiza wpływających do Urzędu Ochrony Danych Osobowych (...)

Dostęp rodziców do danych z nagrań monitoringu w żłobku

Dostęp rodziców do danych z nagrań monitoringu w żłobku

Pozyskanie przez rodzica danych osobowych zawartych w nagraniach z monitoringu w żłobku jest możliwe, o ile spełniona jest co najmniej jedna z określonych w RODO przesłanek legalizujących przetwarzanie danych osobowych, a ich udostępnienie odbywa się z poszanowaniem (...)

Prawo do przenoszalności danych według RODO

Prawo do przenoszalności danych według RODO

Zupełnie nowym prawem każdego z nas, które gwarantuje nam unijne rozporządzenie (RODO), będzie prawo do przenoszenia danych. Dzięki niemu w określonych sytuacjach będziemy mieli możliwość otrzymywania od administratora dotyczących nas danych, które sami mu dostarczyliśmy, (...)

Obowiązek zgłaszania naruszeń przepisów RODO

Obowiązek zgłaszania naruszeń przepisów RODO

RODO nakłada na podmioty przetwarzające dane osobowe prawny obowiązek informowania o incydentach bezpieczeństwadotyczących danych osobowych. Zgłaszanie naruszeń ochrony danych to nowy obowiązek, jaki przepisy ogólnego rozporządzenia o ochronie danych nakładają na administratorów (...)

Zapytaj prawnika:

Dodaj załącznikDodaj załącznik

Oświadczenia i zgody RODO:


PORADY PRAWNIKA

Rejestracja bazy danych w GIODO

Rejestracja bazy danych w GIODO

Co powinienem wiedzieć o rejestracji bazy danych w GIODO? W pierwszej kolejności podajemy podstawowe informacje, z którymi zapoznanie jest konieczne dla prawidłowego wykonania obowiązków wynikających z regulacji o ochronie danych osobowych. Administrator danych jest obowiązany zastosować (...)

Ochrona danych osobowych

Ochrona danych osobowych

Krajowy Rejestr Długów BIG S.A. ma ustawowy obowiązek prezentacji informacji konsumentom na ich wniosek. Chciałem skorzystać i zobaczyć jak wygląda taka informacja. Zarejestrowałem się na na stronie internetowej przez specjalny szyfrowany formularz podając swoje dane osobowe (w tym numer PESEL). (...)

Umowa powierzania przetwarzania danych osobowych

Umowa powierzania przetwarzania danych osobowych

Jakie dane/formę powinna zawierać umowa powierzania przetwarzania danych osobowych podpisywana, np. w ramach umowy na usługi hostingowe? Umowy z tego zakresu są zazwyczaj tzw. umowami o świadczenie usług. Usługi te jednak zazwyczaj definiowane są opisowo, poprzez określenie charakteru takiej (...)

Wokanda a ochrona danych osobowych

Wokanda a ochrona danych osobowych

Wokandy są wywieszane na drzwiach sal i/lub w tablicach poszczególnych wydziałów sądów. Pewnego dnia spisując informację z wokandy zostałem "okrzyczany" przez Panią z sekretariatu, że nie wolno. Czy każdy może mieć do nich dostęp? A nawet idąc dalej korzystać z ich treści w pracach (...)

Ujawnienie adresu policjanta

Ujawnienie adresu policjanta

Czy ujawnienie adresu zamieszkania policjanta, bez jego zgody przez przełożonych służbowych osobom, wobec których policja prowadzi postępowanie karne, narusza przepisy ustawy o ochronie danych osobowych? W trakcie czynności kontrolnych podczas pełnienia służby patrolowej zostaje zatrzymany (...)

Zgoda na przetwarzanie danych osób

Zgoda na przetwarzanie danych osób

Stowarzyszenie Talent organizuje Olimpiadę Informatyczną dla Gimnazjalistów i Licealistów, Muszą oni wypełnić odpowiedni formularz związany z przetwarzaniem danych osobowych. Kto i w jakiej formie powinien udzielić takiej zgody w przypadku młodzieży w wieku 12-17 lat? Zgodnie z art. 23 ust. (...)

Ujawnienie danych osobowych dłużników

Ujawnienie danych osobowych dłużników

Zarząd spółdzielni mieszkaniowej w materiałach na Zebranie Przedstawicieli podał do wiadomości imiona, nazwiska, adresy, kwoty zadłużeń (także spłaconych) oraz sygnatury spraw sądowych i stan postępowania. Wcześniej miało miejsce wywieszanie na klatkach schodowych budynków list dłużników (...)

Jak usunąć swoją historię kredytowa z BIK?

Jak usunąć swoją historię kredytowa z BIK?

Czy mogę usunąć swoją historię kredytowa z BIK jeżeli nadal mam zaległości do spłacenia? Niniejsza opinia została sporządzona na podstawie przepisów ustawy Prawo bankowe (Dz.U.2012.1376 j.t.) – dalej: u.p.b. oraz aktualnych komentarzy doktryny i orzecznictwa odnoszących się (...)

Wniosek o zaprzestanie przetwarzania danych

Wniosek o zaprzestanie przetwarzania danych

W naszej firmie na mocy polecenia Prezesa Zarządu została przeprowadzona ocena pracownicza, przebiegająca w następujący sposób. Każdy z pracowników ocenia osoby, z którymi kontaktuje się zawodowo w firmie, pod 4 względami: komunikatywności, otwartości, efektywności oraz zaangażowania. (...)

Publikacja danych osobowych w Internecie

Publikacja danych osobowych w Internecie

Firma pragnie zamieszczać na stronie subiektywne, ale wyłącznie pozytywne opinie oraz ocenę internautów na temat osób, np. fryzjerów, czy też stomatologów wymienionych z nazwiska oraz miejsca wykonywania działalności. Czy zamieszczanie tego rodzaju bezstronnych opinii internautów jest zgodne (...)

Zgłoszenie zbioru danych GIODO

Zgłoszenie zbioru danych GIODO

Prowadzę jednoosobowa działalność gospodarczą, polegającą na świadczeniu usług drogą elektroniczna dla osób prywatnych. Kiedy zaczyna sie dla mnie obowiązek zgłaszania danych osobowych zarejestrowanych użytkowników Generalnemu Inspektorowi Danych Osobowych? Jak wygląda procedura rejestracji (...)

Ochrona danych osobowych

Ochrona danych osobowych

Chodząc na spotkania biznesowe w prawie każdym biurowcu ochrona żąda okazania dowodu osobistego lub innego dowodu ze zdjęciem i spisuje nr dowodu. Czy jest to zgodne z prawem? Po pierwsze gromadzą moje dane osobowe tak ważne jak moje imię, nazwisko i dowód osobisty. Jestem przekonany, że nie (...)

Osoby niepożądane

Osoby niepożądane

Kraje skandynawskie stosują wobec osób które uważają za niepożądane zakaz wjazdu na ich terytorium. Czy w Polsce można sprawdzić czy figuruje się na takiej liście?Kto mógłby mi udzielić informacji na ten temat? Polacy od 1 maja 2004 r. zyskali prawo do swobodnego poruszania się po terytorium (...)

Ochrona wizerunku przed publikacją prasową

Ochrona wizerunku przed publikacją prasową

Czy w prasie może być publikowany wizerunek (fotografia) osoby z zasłoniętymi oczami bez jej zgody na publikację? Nadmieniam, że osoba ta nawet po zatarciu oczu jest rozpoznawalna dla znajomych i w skonfrontowaniu ze zdjęciem. Jest to problem niezwykle złożony pod względem prawnym. Działanie (...)

Zwolnienie pracownika który udostępnił dane klienta.

Zwolnienie pracownika który udostępnił dane klienta.

Witam, mam takie pytanie w naszej przychodni doszło do bezprecedensowej sytuacji. Jeden z naszych pracowników udostępnił przez przypadek dane jednego z pacjentów. Co z ewentualnym zwolnieniem takiego pracownika? Przygotowana dla Pana opinia oparta została przede wszystkim na przepisach ustawy (...)

Szkoda z powodu ujawnienia danych osobowych

Szkoda z powodu ujawnienia danych osobowych

Za jakie rodzaje szkód (co można zaliczyć do szkody) powstałych w wyniku ujawnienia danych osobowych szerokiemu kręgowi odbiorców w publikacjach ogólnodostępnych można dochodzić roszczeń na drodze powództwa cywilnego? Każdy przypadek naruszenia danych osobowych jest nieco inny, dlatego (...)