RODO
Od 25 maja br. obowiązywać będzie przyjęte w maju 2016 roku Rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, zwane RODO.
Dane osobowe stanowią wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osoby fizycznej. Poszczególne informacje, które w połączeniu ze sobą mogą prowadzić do zidentyfikowania tożsamości danej osoby, także stanowią dane osobowe.
Przykładowe dane osobowe:
imię i nazwisko;
adres zamieszkania;
adres e-mail;
numer dowodu tożsamości;
dane o lokalizacji (np. ustawienia lokalizacji w telefonie komórkowym);
adres IP;
identyfikator reklamowy w telefonie komórkowym;
dane przechowywane przez szpital lub lekarza, które mogą jednoznacznie wskazywać tożsamość danej osoby
Przykłady danych niebędących danymi osobowymi:
numer KRS;
adres e-mail, taki jak info@firma.com;
dane anonimowe.
Termin „przetwarzanie” oznacza szereg różnych operacji wykonywanych na danych osobowych. Obejmuje takie działania jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych osobowych.
Rodzaj i ilość danych osobowych, które Administrator Danych Osobowych może przetwarzać, zależy od uzasadnienia (podane uzasadnienie prawne) oraz od celu ich przetwarzania. Obowiązkowe jest przestrzeganie, między innymi, kilku podstawowych zasad:
dane osobowe muszą być przetwarzane w sposób przejrzysty oraz zgodny z prawem, zapewniający rzetelność wobec osób, których dane osobowe są przetwarzane („zgodność z prawem, rzetelność i przejrzystość”),
muszą istnieć konkretne cele przetwarzania, które należy przedstawić w momencie zbierania danych osobom, których one dotyczą. Nie można po prostu zbierać danych osobowych w dowolnym celu („ograniczenie celu”),
można zbierać i przetwarzać wyłącznie dane osobowe, które są niezbędne do osiągnięcia tych konkretnych celów („minimalizacja danych”),
konieczne jest zapewnienie, aby dane osobowe były prawidłowe i aktualne, biorąc pod uwagę cele ich przetwarzania, („prawidłowość”),
nie można wykorzystywać danych osobowych w innych celach, niezgodnych z celami ich pierwotnego zebrania,
konieczne jest zapewnienie, aby dane osobowe były przechowywane przez okres nie dłuższy, niż jest to niezbędne dla celów ich zebrania („ograniczenie przechowywania”),
konieczne jest wdrożenie odpowiednich technicznych i organizacyjnych środków bezpieczeństwa, które zapewnią ochronę danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiedniej technologii („integralność i poufność”).
W przypadku przetwarzania na podstawie przepisów prawa, prawo to powinno także zapewniać, aby przestrzegane były powyższe zasady (np. rodzaj danych, okres przechowywania danych, odpowiednie zabezpieczenia).
Przed rozpoczęciem przetwarzania danych należy poinformować osobę fizyczną o przetwarzaniu, w tym o jego celach, rodzajach zbieranych danych, odbiorcach oraz jej prawach dotyczących ochrony danych.