Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie osób fizycznych oraz Ustawą z dnia 10 maja 2018 o ochronie danych osobowych wprowadziły istotne zmiany w zakresie danych osobowych. Od tamtej pory każda firma figurująca na rynku europejskim powinna wdrożyć takie środki bezpieczeństwa, by zminimalizować ryzyko wycieku danych podczas ich przetwarzania.
Standardem są już klauzule RODO zawierające informacje o danych oraz ich zakresie przetwarzanych za pośrednictwem internetu, które powinny być zamieszczone niemal na każdej stronie internetowej.
Czym są dane osobowe i jakie czynności są uznawane za ich przetwarzanie?
Dane osobowe to wszystkie informacje, które dotyczą naszej osoby i które nas identyfikują lub umożliwiają naszą identyfikację. To one nadają nam tożsamość i nas definiują. Są to: nasz wiek, adres, numer telefonu, prywatny adres e-mail, wykształcenie, praca lub doświadczenie zawodowe, nr pesel, nr dowodu osobistego. Odnoszą się one również do bardzo osobistych aspektów takich jak: nasz sposób myślenia, stan zdrowia, pochodzenie etniczne i rasowe, cechy fizyczne (DNA, odcisk palca), ideologia i poglądy polityczne, przekonania religijne lub filozoficzne, preferencje seksualne, itp.
Pojęcie danych osobowych obejmuje informacje w każdej formie: alfabetycznej, numerycznej, graficznej, fotograficznej lub dźwiękowej i może być zawarte na każdym możliwym nośniku, takim jak papier, pamięć komputera, taśma wideo lub CD/DVD.
Dane osobowe zawsze należą do nas, ale czasami konieczne jest przekazanie ich innym podmiotom, np. w celu zakupu produktu lub zamówienia usługi. W sposób powszechny nasze dane gromadzą zarówno osoby fizyczne (lekarze, banki, hotele, operatorzy telekomunikacyjni, ubezpieczyciele itp.), jak i podmioty publiczne (m.in. urzędy, szkoły i szpitale publiczne, sądy, policja).
Przetwarzanie danych osobowych odnosi się do wszelkich operacji wykonywanych na naszych danych osobowych, niezależnie od tego, czy operacje te są zautomatyzowane czy też nie. Typowe rodzaje przetwarzania danych osobowych obejmują czynności takie jak:
- gromadzenie,
- zapisywanie,
- organizowanie,
- strukturyzowanie,
- przechowywanie,
- modyfikowanie,
- konsultowanie,
- wykorzystywanie,
- publikowanie,
- łączenie,
- usuwanie i niszczenie danych.
Inspektor Danych Osobowych
RODO wprowadza definicję Inspektora Ochrony Danych Osobowych dla danej firmy lub organizacji, którego zadaniem jest zapewnienie, że w danej jednostce dane osobowe osób fizycznych są chronione w sposób właściwy, zgodnie z obowiązującymi przepisami. Biorąc pod uwagę funkcję Inspektora Danych Osobowych wewnątrz firmy, do jego obowiązków należy współpraca z klientami i użytkownikami końcowymi w zakresie wniosków dotyczących prywatności, współpraca z organami ochrony danych i informowanie pracowników o aktualizacjach wymogów dotyczących ochrony danych.
Przetwarzanie danych osobowych a szkolenia z RODO
Na mocy art. 37 ust. 5 RODO, Inspektor Ochrony Danych jest wybierany na podstawie kwalifikacji zawodowych oraz wiedzy z zakresu bezpieczeństwa danych.
Poziom kwalifikacji inspektora powinien być uzgodniony w zależności od potrzeb administratora danych. Jego wiedza musi obejmować zarówno teorię, jak i praktykę, a także gruntowną znajomość przepisów.
Dobrą propozycją są szkolenia z RODO, które zapewniają możliwość podniesienia kwalifikacji dla osób odpowiedzialnych w firmach za ochronę danych osobowych oraz mających bezpośrednią styczność z danymi osobowymi, a więc dla:
- Inspektorów Ochrony Danych,
- Specjalistów ds. ochrony danych osobowych,
- zarządu firmy odpowiedzialnego za system ochrony danych,
- pracowników HR, marketingu, obsługi klienta i innych działów przetwarzających dane osobowe,
- osób prowadzących własną działalność gospodarczą.