FAQ

FAQ czyli najczęściej zadawane pytania

FAQ

FAQ ogólne

RODO jest stosowane we wszystkich krajach UE od 25 maja 2018 r.

RODO obowiązuje od 24 maja 2016 r.

RODO zostało uchwalone 27 kwietnia 2016 r. (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) i opublikowane w Dzienniku Urzędowym UE L 119 w dniu 4 maja 2018 r.

Pierwotny tekst RODO (link do wszystkich języków)
Zmiany do RODO (link do wszystkich języków)
Tekst ujednolicony (link do wersji polskiej)

Generalnie wiele informacji może być uznawane za dane osobowe. Nie ma jednej odpowiedzi. To, czy konkretne informacje są danymi osobowymi, jest ocenne i zmienne w czasie. Dzieje się tak, ponieważ techniki przetwarzania się zmienią, dostępność informacji dzięki Internetowi rośnie i potrzebujemy coraz mniej informacji, aby kogoś odnaleźć czy zidentyfikować. Pamiętaj, że jeśli na podstawie konkretnego zestawu informacji można ustalić tożsamość osoby (nawet tylko teoretycznie) to masz do czynienia z danymi osobowymi.

definicja danych osobowych art. 4 pkt 1)
oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby”

Na pewno nie jest to admin (administrator techniczny), który zarządza lub administracje systemem informatycznym. Taką osobę nazywamy „osobą administrującą”. Administrator to taki podmiot (może to być osoba fizyczna, ale może to być spółka, czyli osoba prawna), która ma swoje własne cele przetwarzania konkretnych danych osobowych, konkretnych osób. Do tego administrator decyduje (ustala) sposoby przetwarzania. Sposób przetwarzania może oznaczać np. decyzję, że przetwarzaniem danych będą się zajmować upoważnieni pracownicy administratora albo, że przetwarzanie danych zostanie zlecone do firmy zewnętrznej – outsourcing (tzw. procesora czyli podmiotu przetwarzającego). Nie ma znaczenia kto przetwarza dane. Istotne kto podjął decyzję o takim sposobie. Sposobem przetwarzania może być również decyzja o zbieraniu danych w sposób elektroniczny za pomocą strony www lub za pomocą ankiety papierowej lub za pomocą aplikacji mobilnej.

definicja administratora art. 4 pkt 7)
oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania

Nie da się lub jest to trudne każdorazowo i kategorycznie stwierdzić czy dany rodzaj podmiotu (np. firmy, jednostki organizacyjnej JST), któremu została zlecona konkretna usługa jest zawsze podmiotem przetwarzającym albo zawsze odrębnym administratorem. Wszystko zależy od zakresu i przedmiotu zleconych usług. Podmiotem przetwarzającym tzw „procesorem” jest więc taki podmiot, który przyjął (*) na siebie proces przetwarzania danych osobowych np. zostało mu zlecenie przetwarzanie – czyli taka usługa, której przedmiotem jest przetwarzanie danych osobowych.

  • (*) no właśnie gwiazdka musiała się tutaj pojawić i oznacza ona, że nie zawsze procesor przyjmuje dobrowolnie zlecenie, czy fakt bycia podmiotem przetwarzającym. Może zdarzać się tak, że procesorem staje się jakiś podmiot lub grupa podmiotów z mocy prawa; często zdarza się tak, że w ramach grup kapitałowych, spółka matka podejmuje decyzje o utworzeniu spółki celowej, zajmującej się obsługą np. wszystkich procesów finansowych czy kadrowych. W jednostkach samorządy terytorialnego, decyzje o utworzeniu takich pomiotów przetwarzających podejmują radni w swoich uchwałach tworząc tzw Centra Usług Wspólnych.

definicja podmiotu przetwarzającego art. 4 pkt 8)
oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora

Zasada minimalizacji danych polega na tym, że Administrator jest zobowiązany to zbierania tylko tyle informacji o osobie, ile jest absolutnie niezbędne do zrealizowania założonego celu przetwarzana. Jeżeli Administrator może zrealizować dany cel bez jakiś informacji, które zebrał i dalej przetwarza, to znaczy, że naruszył zasadę minimalizacji danych.

zasada minimalizacji danych art. 5 ust. 1 lit. c)
Dane osobowe muszą być: (…) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”)

To nic innego, jak przetwarzanie danych przy wykorzystaniu technik komputerowych, czyli komputerów a dziś także tabletów czy smartfonów. A wynika to z KONWENCJI NR 108 RADY EUROPY o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, sporządzonej w Strasburgu dnia 28 stycznia 1981 r. która w art. 2 lit. c) podaje następującą definicję: „automatyczne przetwarzanie” oznacza następujące operacje wykonane w całości lub częściowo za pomocą procedur zautomatyzowanych: gromadzenie danych, stosowanie do nich operacji logicznych i/lub arytmetycznych, ich modyfikowanie, usuwanie, wybieranie lub rozpowszechnianie.

UWAGA: często „zautomatyzowane przetwarzanie” mylone jest z „podejmowaniem decyzji wyłącznie w sposób zautomatyzowany”, o którym mowa w art. 22 RODO. Są to dwa różne terminy.

FAQ szczegółowe

Odpowiedź