W artykule:
Ochrona danych osobowych to temat, który powrócił do świadomości społeczeństwa po wprowadzeniu w życie przepisów RODO. Rozporządzenie to sprawiło, że coraz więcej osób zaczęło zwracać uwagę na to, komu powierzają swoje dane osobowe i w jaki sposób są one chronione. Również podmioty przetwarzające nasze dane, zaczęły bardziej przykładać się do dopełniania swoich obowiązków związanych z ochroną danych osobowych. Wcześniej większość z nich nie wywiązywała się z ciążących na nich w tym zakresie zadań, ponieważ nie była ich świadoma. Co więcej, Urząd Ochrony Danych Osobowych (dawniej GIODO), zdaje się coraz dokładniej i szerzej badać istniejące na rynku podmioty, a na te, które nie przestrzegają obowiązujących przepisów nakłada wysokie kary.
Czym są dane osobowe?
Definicja danych osobowych określona w przepisach jest bardzo ogólna. Zgodnie z treścią art. 4 RODO danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Kim jednak jest możliwa do zidentyfikowania osoba fizyczna? Otóż, jest to osoba, której tożsamość możemy określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na:
-
numer identyfikacyjny,
-
dane o lokalizacji,
-
identyfikator internetowy lub
-
jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Z powyższych wytycznych nie wynika zatem, jakie konkretnie informacje można uznać za dane osobowe. Czasami daną osobową jest już pojedynczy element, np. nr PESEL. W niektórych przypadkach pojedyncze dane o dużym stopniu ogólności (np. wyłącznie imię )nie będą stanowiły danej osobowej. Sytuacja wyglądać będzie inaczej, kiedy pojedyncze dane zostaną zestawione z innymi dodatkowymi informacjami, dzięki którym będziemy z łatwością mogli odnieść je do konkretnej osoby.
Warto zatem pamiętać, że w wielu przypadkach konieczne jest dokonanie indywidualnej oceny czy dana informacja wpisuje się w katalog danych osobowych, czy też nie.
Czym są zbiory danych osobowych?
Definicja zbiorów danych osobowych została zawarta w art. 4 pkt 6 RODO. Jak wynika z jego treści, zbiorem danych osobowych jest każdy posiadający strukturę zestaw danych o charakterze osobowym, czyli każdy uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.dd
Co może stanowić zbiór danych? Mogą nimi być na przykład:
-
zbiór zatrudnionych pracowników,
-
zbiór kontrahentów,
-
zbiór pacjentów,
-
zbiór kandydatów do pracy.
Co ważne, zbiór danych stanowią również CV składane przez przyszłych pracowników do celów rekrutacji.
Na czym polega przetwarzanie danych osobowych?
Przez przetwarzanie danych rozumie się wszelkie operacje wykonywane na danych osobowych. Należą do nich m.in.:
-
zbieranie,
-
utrwalanie,
-
organizowanie,
-
porządkowanie,
-
przechowywanie,
-
adaptowanie lub modyfikowanie,
-
pobieranie,
-
przeglądanie,
-
wykorzystywanie,
-
ujawnianie poprzez przesłanie,
-
rozpowszechnianie lub innego rodzaju udostępnianie,
-
dopasowywanie lub łączenie,
-
ograniczanie, usuwanie lub niszczenie, a zwłaszcza te, które realizuje się w systemach informatycznych.
Należy pamiętać, że przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadkach gdy spełniony jest co najmniej jeden z warunków wskazanych w art. 6 ust. 1 RODO.
Czym jest ochrona danych osobowych i jakie środki ochrony są stosowane?
Podmioty przetwarzające nasze dane osobowe mają obowiązek stosowania się do zasad ich ochrony, takich jak minimalizacja przetwarzania danych czy zastosowanie środków zabezpieczających, mających ułatwić to zadanie. Wśród nich można wymienić m.in.:
-
środki technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych,
-
zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym,
-
prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środki w tym celu zastosowane,
-
dopuszczenie do przetwarzania danych wyłącznie osób posiadających upoważnienie,
-
zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane,
-
prowadzenie ewidencji osób upoważnionych do ich przetwarzania.