W tym tygodniu – 25 maja wchodzi w życie RODO, czyli rozporządzenie dotyczące ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przesyłu takich danych, która zarazem uchyla dyrektywę 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych). W tym artykule omówimy najważniejsze definicje zawarte w rozporządzeniu.
Zaczniemy od podstaw, czyli od samej definicji danych osobowych (dla zainteresowanych znajduje się ona w art. 4 ust. 1 RODO). Mówiąc najprościej daną osobową będzie każda informacja, dzięki której będziemy w stanie zidentyfikować konkretną osobę.
RODO jako przykłady wskazuje imię i nazwisko, numer identyfikacyjny itd. Pamiętać należy, że są to tylko i wyłącznie wskazówki, a ocena czy dana informacja jest daną osobową czy też nie, zależy od konkretnego przypadku. Jako przykład można podać adres IP – w niektórych sytuacjach jesteśmy w stanie ustalić konkretną osobę na podstawie takiej informacji, a w innych nie.
W celu ustalenia, czy dana informacja jest daną osobową należy sobie zadać pytanie – czy mając tę informację wiem, że chodzi o Pana/Panią X czy nie. Albo czy na tej podstawie mogę tę osobę zidentyfikować (np. na podstawie numeru PESEL)? Jeśli odpowiedź jest pozytywna mamy do czynienia z danymi osobowymi. Jeśli jest negatywna – nie mamy do czynienia z danymi osobowymi.
Przetwarzanie danych odobowych
Kolejnym ważnym pojęciem jest „przetwarzanie danych osobowych”. RODO bardzo szeroko opisuje czym jest przetwarzanie. Tak naprawdę przyjąć można, że każda czynność/operacja związana z danymi osobowymi będzie przetwarzaniem. Przykładowo jeśli otrzymujemy wizytówkę od potencjalnego kontrahenta już dochodzi do przetwarzania danych osobowych poprzez zbieranie tych danych. Zbierając dane o swoich pracownikach również dochodzi do przetworzenia.
Również istotnym terminem, które będzie się często przewijać jest „administrator”. W tym wypadku jest to dość proste. Administratorem jest każdy kto przetwarza dane osobowe, np. spółka, jednoosobowy przedsiębiorca.
Kolejne pojęcie, które należy wyjaśnić to „podmiot przetwarzający”. RODO określa definicję tego podmiotu jako osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Zapis ten jest niby dość jasno sformułowany, ale w sumie nie daje praktycznej informacji. Żeby najlepiej zrozumieć to pojęcie należy posłużyć się przykładem. I tak jeśli korzystamy z biura rachunkowego, to właśnie biuro będzie podmiotem przetwarzającym. Tak samo będzie w przypadku firm rekrutacyjnych itd. Krótko mówiąc, jeśli ktokolwiek świadczy w naszym imieniu usługi, a przekazaliśmy dane osobowe, które sami zebraliśmy, będziemy mieli do czynienia z podmiotem przetwarzającym.
Naruszenie ochrony danych osobowych
Ostatnim pojęciem wartym objaśnienia jest „naruszenie ochrony danych osobowych”. RODO określa to jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych.
Jak widać kolejny raz rozporządzenie wprowadza dość szeroką definicję. Jako przykład naruszenia można wskazać włamanie do siedziby firmy, włamanie do komputera na którym przechowywane są dane bądź na serwer.
W kolejnym artykule przybliżymy obowiązki, jakie RODO nakłada na przedsiębiorców w związku z ochroną danych osobowych.
Fot. Fot. Pixabay/cloudhoreca