Q&A

Ochrona danych osobowych - pytania i odpowiedzi

Jakie są maksymalne kary RODO?

Organy nadzorcze – urzędy ochrony danych mają uprawnienie do nakładania kar za naruszenie przepisów o ochronie danych. Mogą również stosować środki naprawcze (takie jak nakaz lub tymczasowe zawierzenie przetwarzania) i / lub nakładać kary finansowe. Decyzja o nałożeniu takiej kary finansowej musi być proporcjonalna i oparta na ocenie wszystkich okoliczności danego przypadku.

Kiedy administrator danych musi zgłosić naruszenie ochrony danych?

Administrator danych (ADO) wspólnie z inspektorem ochrony danych (IOD), jeżeli został powołany, przeprowadzają ocenę naruszenia. Następnie, jeśli naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych np. jeśli istnieje ryzyko, że naruszenie może prowadzić do kradzieży lub fałszowania tożsamości, straty finansowej, nie później niż w ciągu 72 godzin administrator danych

Kogo należy zawiadomić o naruszeniu / incydencie ochrony danych?

Każdy pracownik o najmniejszym zdarzeniu związanym z ochroną danych osobowych powinien niezwłocznie zawiadomić swojego bezpośredniego przełożonego lub inspektora ochrony danych (jeżeli został powołany). Nie można działać na własną rękę lub zastanawiać się, czy warto fatygować tym faktem przełożonego. Należy dmuchać na zimne, ponieważ w ocenie pracownika mały incydent może okazać

Czym jest incydent bezpieczeństwa?

Incydent bezpieczeństwa to zdarzenie, które bezpośrednio nie zagraża bezpieczeństwu informacji (poufności, integralności, dostępności danych). Jeżeli wystąpi prawdopodobieństwo naruszenia praw lub wolności osób fizycznych, to wtedy stają się naruszeniem (wtedy należy zawiadomić o tym fakcie Prezesa Urzędu Ochrony Danych Osobowych oraz poinformować osoby, których dane dotyczą). Naruszeniem ochrony danych osobowych nie

Czym jest naruszenie ochrony danych?

Naruszenie ochrony danych to zdarzenie, którego skutkiem jest przypadkowe (niezamierzone) lub niezgodne z prawem (nielegalne) zniszczenie, utracenie, zmodyfikowanie, ujawnienie lub dostęp do danych osobowych. Naruszeniem ochrony danych jest np. błędna adresacja korespondencji. Naruszeniem ochrony danych nie jest np. incydent w systemie informatycznym, który nie przetwarza danych osobowych. Naruszenie jest wtedy,

Jakie osoby, których dane dotyczą mają prawa wynikające z RODO?

Zgodnie z RODO obywatele otrzymali szereg praw, dających im większą kontrolę nad danymi osobowymi. Osoby, których dane są przetwarzane mają swoje prawa w związku z tym przetwarzaniem. Administratorzy danych nie mogę sobie bezkarnie działać na danych osobowych. Osoby, których dane dotyczą mają więcej kontroli nad swoimi danymi osobowymi. Organizacje, które

Na czym polega ochrona w fazie projektowania (privacy by design)?

1. Ochrona w fazie projektowania (privacy by design) to rodzaj podejścia do ochrony danych osobowych, które jest promowane w przepisach RODO. Ta filozofia opiera się na takich konkretnych rozwiązaniach jak: 2. Proaktywne podejście do ochrony danych osobowych. 3. Konieczność włączenia ochrony prywatności w projekty od początku ich realizacji. 4. Poszanowanie

Na czym polega zasada domyślnej ochrony danych (privacy by defeult)?

Domyślna ochrona danych (privacy by defeult) oznacza, że organizacja powinna wziąć pod uwagę ochronę danych już na wczesnych etapach planowania nowej czynności przetwarzania danych osobowych. Zgodnie z tą zasadą administrator danych osobowych musi podjąć wszelkie niezbędne działania organizacyjne i techniczne, żeby wdrożyć zasady ochrony danych oraz móc chronić prawa osób,

Czym są techniczne i organizacyjne środki ochrony?

Techniczne i organizacyjne środki ochrony danych gwarantują bezpieczeństwo ochrony danych. Środki ochrony danych pozwalają zredukować ryzyka naruszenia praw lub wolności osób, których dane dotyczą. RODO wskazuje tylko przykładowe środki techniczne i organizacyjne, które mogą służyć zapewnieniu stopnia bezpieczeństwa odpowiadającego ryzyku. Są nimi w szczególności: 1. Pseudonimizacja i szyfrowanie danych osobowych.

Jakie są zasady zgodne z RODO?

Najważniejsze zasady, których przestrzeganie pozwala na zgodne z prawem przetwarzanie danych osobowych: Zasada zgodności z prawem Zasada zgodności z prawem polega na tym, że przetwarzanie danych osobowych musi opierać się o tzw. podstawę prawną przetwarzania. Zasada rzetelności Zasada rzetelności polega na tym, że przetwarzanie danych osobowych musi być realizowane starannie

Co to jest rejestr kategorii czynności przetwarzania?

Rejestr kategorii czynności przetwarzania (RKCP) jest elementem dokumentacji ochrony danych. RKCP prowadzony jest przez pomiot przetwarzający. Rejestr prowadzony jest dla każdego procesu przetwarzania danych osobowych oddzielnie. Co powinien zawierać rejestr kategorii czynności przetwarzania? Rejestr kategorii czynności przetwarzania powinien zawierać: 1. Imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego

Co to jest rejestr czynności przetwarzania?

Rejestr czynności przetwarzania (RCP) jest elementem dokumentacji ochrony danych. RCP prowadzony jest przez administratora danych. Rejestr prowadzony jest dla każdego procesu przetwarzania danych osobowych odrębnie. Co powinien zawierać rejestr czynności przetwarzania? Rejestr czynności przetwarzania powinien zawierać: 1. Imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszystkich współadministratorów, a

Kto to ma obowiązek prowadzenia rejestrów czynności przetwarzania?

Rejestry czynności przetwarzania – rejestr czynności przetwarzania (RCP) oraz rejestr kategorii czynności przetwarzania (RKCP) są elementem dokumentacji ochrony danych. To nieliczne dokumenty, które są wprost wymagane przepisami RODO. Nie wszyscy jednak mają obowiązek prowadzić takie rejestry: Obowiązek prowadzenia rejestrów mają podmioty: * Zatrudniające minimum 250 osób. lub kiedy * Przetwarzanie może naruszać prawa

W jaki sposób realizować obowiązek informacyjny?

W sytuacji, kiedy administrator danych pozyskuje dane od osoby, której dane dotyczą powinien zrealizować obowiązek informacyjny w momencie pozyskania tych danych lub przed ich pozyskaniem, np.: 1. Umieszczenie informacji o przetwarzaniu danych osobowych w treści formularza służącego do pozyskania danych osobowych. 2. Na początku rozmowy telefonicznej, w przypadku telefonicznych biur

Jakie informacje musi zawierać nota o przetwarzaniu danych osobowych?

Jakie informacje musi zawierać klauzula informacyjna w zależności od źródła, z którego administrator pozyskał dane osobowe: Informacje, kiedy administrator pozyskał dane osobowe, od osoby, której dane dotyczą (art. 13 RODO): * Tożsamość administratora danych i dane kontaktowe. * Dane kontaktowe inspektora ochrony danych (jeśli został powołany). * Cel przetwarzania danych osobowych. * Podstawę prawną

Kiedy należy realizować tzw. obowiązek informacyjny?

Realizacja obowiązku informacyjnego, czyli zawiadomienie o przetwarzaniu danych należy zawsze, kiedy zbieramy dane osobowe. Administratorzy danych muszą przestrzegać zasad przepisów RODO. Jednym z najważniejszych zadań administratora jest spełnienie tzw. obowiązku informacyjnego, czyli powiadomieniu osób, których dane dotyczą, że jest się w posiadaniu informacji o nich i co w związku z

Kiedy przetwarzanie danych osobowych jest legalne?

Dane osobowe trzeba przetwarzać uczciwie i zgodnie z prawem, w konkretnym, prawnie uzasadnionym celu. Przetwarzanie danych osobowych jest dozwolone, kiedy ma się do tego przynajmniej jedną podstawę prawną przetwarzania. Administrator lub podmiot przetwarzający muszą wykazać, że dysponują odpowiednią podstawą przetwarzania danych osobowych. Jest to podstawowy obowiązek wynikający z tzw. zasady

Co to jest przetwarzanie danych osobowych?

Przetwarzanie danych osobowych to podejmowanie jakichkolwiek czynności z posiadanymi danymi osobowymi np.: 1. Zbieranie 2. Utrwalanie 3. Organizowanie 4. Porządkowanie 5. Przechowywanie 6. Adaptowanie 7. Modyfikowanie 8. Pobieranie 9. Przeglądanie 10. Wykorzystywanie 11. Ujawnienie przez przesłanie 12. Rozpowszechnianie lub innego rodzaju udostępnianie 13. Dopasowanie lub łączenie 14. Ograniczanie 15. Usuwanie

Co to jest profilowanie oraz zautomatyzowane podejmowanie decyzji?

Profilowanie to szczególny rodzaj przetwarzania danych, który: 1. Odbywa się w sposób automatyczny. 2. Ma na celu ocenę osoby fizycznej lub przewidywania jej zachowania. Profilowanie zawsze wymaga poinformowania o tym osoby, których dane dotyczą. Osoby, których dane dotyczą maja prawo nie podlegać decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu. Wyjątkiem jest,

Co to jest ocena skutków dla ochrony danych (OSOD, DPIA)?

Ocena skutków dla ochrony danych (OSOD, DPIA) to proces służący do zapewnienia i wykazania zgodności przetwarzania danych z RODO (art. 35 RODO). Jest to proces opisujący przetwarzanie, oceniający niezbędność i proporcjonalność przetwarzania. OSOD pomaga w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z przetwarzania danych osobowych (oceniając ryzyko

Co to jest Europejska Rada Ochrony Danych (EROD)?

Europejska Rada Ochrony Danych Osobowych (EROD) to organ, którego zadaniem jest zapewnienie stosowania ogólnego rozporządzenia o ochronie danych RODO oraz współpracę między organami ochrany danych osobowych. Jest to organ, który 25 maja 2018 roku zastąpił Grupę Roboczą Art. 29.

Co to jest Urząd Ochrony Danych Osobowych (UODO)?

Urząd Ochrony Danych Osobowych (UODO) to organ nadzorczy. Na czele Urzędu Ochrony Danych Osobowych stoi Prezes Urzędu Ochrony Danych Osobowych (PUODO) PUODO to niezależny organ publiczny odpowiedzialny za monitorowanie i stosowanie przepisów o ochronie danych osobowych.

Kiedy należy wyznaczyć inspektora ochrony danych?

Inspektora ochrony danych (IOD) muszą wyznaczyć organizacje prowadzące systematyczne monitorowanie na dużą skalę lub przetwarzają duże ilości danych szczególnej kategorii. Administrator danych musi pamiętać, żeby podać imię i nazwisko swojego IOD na stronie internetowej. Obowiązek ten wynika wprost z przepisu prawa. Zgodnie z art. 37 ust. 7 RODO, administrator lub

Kim jest inspektor ochrony danych (IOD)?

Inspektor ochrony danych (IOD) to osoba, która wspiera administratora danych w budowaniu systemu ochrony danych osobowych. IOD monitoruje sposób przetwarzania danych osobowych wewnątrz organizacji. Jest odpowiedzialny za informowanie pracowników przetwarzających dane osobowe o ich obowiązkach i doradzania im w tym zakresie. To osoba, która współpracuje z organem ochrony danych (Urzędem

Kim są odbiorcy danych?

Odbiorcy danych to wszyscy, którzy mają styczność z określonymi danymi (z wyłączeniem organów publicznych), np. podmioty przetwarzające.

Kim jest podmiot przetwarzający?

Podmiot przetwarzający to podmiot, który przetwarza dane osobowe w imieniu i na zlecenie innego podmiotu. Podmiot przetwarzający nie decyduje o celach i środkach przetwarzanych danych – działa na podstawie umowy powierzenia przetwarzania danych osobowych zawartej z administratorem danych. Administrator może korzystać wyłącznie z usług podmiotu przetwarzającego oferującego wystarczające gwarancje bezpieczeństwa danych

Kim jest administrator danych?

Administrator danych to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi decyduje o celach i sposobach przetwarzania danych osobowych, np. pracodawca w stosunku do danych osobowych swoich pracowników. Administratorem danych zawsze jest określony podmiot, a więc np. spółka z o.o. a

Czym są dane osobowe?

Dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Danymi osobowymi są zatem wszelkie informacje, które mogą być powiązane z konkretną osobą. Ze względu na charakter tych danych można wyróżnić: 1. Dane osobowe zwykłe, np.: imię i nazwisko, adres zamieszkania, seria i nr dowodu osobistego, płeć

Czy pracownicy powinni znać RODO?

Każdy pracownik przetwarzający dane osobowe w organizacji musi znać RODO oraz inne przepisy dotyczące przetwarzania danych osobowych. Człowiek jest najsłabszym ogniwem w systemie ochrony danych, dlatego znajomość przepisów pozwoli zminimalizować ryzyko wystąpienia incydentu bezpieczeństwa danych.

Co to jest RODO?

RODO to unijne rozporządzenie o ochronie danych osobowych (tj. Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE). RODO obowiązuje od 25

Potrzebujesz pomocy z RODO?

Skontaktuj się z nami. Jesteśmy otwarci na współpracę.

You've successfully subscribed to Poradnik RODO - przewodnik po ochronie danych osobowych
Great! Next, complete checkout for full access to Poradnik RODO - przewodnik po ochronie danych osobowych
Welcome back! You've successfully signed in.
Unable to sign you in. Please try again.
Success! Your account is fully activated, you now have access to all content.
Success! Your billing info is updated.
Billing info update failed.