HomeBiuro i pracaDefinicje RODO cz. 2

Definicje RODO cz. 2

Definicje RODO

Definicje RODO cz. 2

Przedstawiamy kolejną porcję wiedzy o RODO. Definicje RODO odpowiadają na najczęściej zadawane pytania w związku z ochroną danych osobowych. Kim jest administrator danych osobowych? Kto przetwarza dane? Czym są i jakie mają obowiązki organy nadzorcze RODO? 

Definicje RODO – Profilowanie

Przepisy RODO wprowadzają legalną definicję pojęcia profilowania w art. 4 pkt. 4, zgodnie z którą „Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”.

RODO wskazuje dwie kategorie profilowania:

  • pierwsza polega na ocenie prawdziwych informacji, które są zebrane na temat danej osoby fizycznej
  • druga natomiast polega na wytworzeniu nowej informacji w oparciu o wiedzę posiadaną o tej osobie, co powoduje ryzyko przypisania tej osobie cech, których nie posiada. Tym samym, na tej podstawie będą jej proponowane dobra i usługi, które możliwie nie wzbudzą zainteresowania, a pozbawia się tą osobę informacji, które mogłyby ją zainteresować

Przepisy RODO określają również dwie formy profilowania:

  1. Profilowanie zwykłe. Czynność odbywa się tu z wykorzystaniem czynnika ludzkiego, czyli jakaś osoba lub osoby fizyczne wykonują te czynności.
  2. Profilowanie zautomatyzowane. W tym przypadku cały proces oceny oraz podejmowanie decyzji odbywa się przy pomocy programów komputerowych.

Administratorzy danych powinni pamiętać, iż przepisy RODO nakładają na nich obowiązek poinformowania osób fizycznych o:

  • zamiarze wykorzystania danych w celu profilowania
  • możliwych konsekwencjach profilowania
  • o tym, czy profilowanie odbywać się będzie z wykorzystaniem czynnika ludzkiego, czy w sposób zautomatyzowany
  • zgodnie z art. 15 lit. H, jeśli mamy do czynienia z profilowaniem zautomatyzowanym, należy podać informacje o zasadach podejmowania tych zautomatyzowanych decyzji

Obowiązek wystosowania powyższych informacji ciąży na administratorze bez względu na to, czy przetwarzanie odbywa się na podstawie zgody, czy też opiera się na innych podstawach prawnych. Wynika to z prawa osób, których dane dotyczą, do wniesienia na mocy art. 21 ust. 1 i 2 RODO sprzeciwu wobec profilowania. Ponadto, zgodnie z treścią art. 15 RODO, obowiązkiem administratora związanym z profilowaniem jest także umożliwienie tym osobom dostępu do dotyczących ich danych.

Definicje RODO – Podmioty

ADMINISTRATOR

Przepisy RODO wprowadzają definicję tego pojęcia w art. 4 pkt. 7, zgodnie z którą  „Administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania”.

Pamiętaj, jeśli jesteś przedsiębiorcą, prowadzisz działalność gospodarczą, to pełnisz funkcję administratora danych osobowych, które są przetwarzane przez twoją firmę!

PODMIOT  PRZETWARZAJĄCY

W dotychczasowej praktyce stosowania przepisów ochrony danych osobowych przyjęło się określenie „Procesor”, jednak przepisy RODO nie odwołują się do tej nazwy, używając zamiast tego pojęcia „Podmiot przetwarzający”. Definicja legalna znalazła się w art. 4 pkt 8 RODO: „Podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora”. Czyli zgodnie z powyższą definicją, podmiot przetwarzający może przetwarzać powierzone mu dane jedynie na podstawie  polecenia administratora (najlepiej potwierdzonego). Ponadto, dane przetwarzane przez podmiot przetwarzający mogą być wykorzystywane wyłącznie do celów administratora danych, a nie do celów własnych podmiotu przetwarzającego. Ważne jest także to, iż najpóźniej z chwilą zakończenia umowy powierzenia przetwarzania, podmiot przetwarzający zobligowany jest zwrócić dane administratorowi bądź je zniszczyć (zależnie od woli administratora).

Innymi słowy: jeżeli pracodawca będzie dla pracownika administratorem jego danych, to biuro rachunkowe, z którym pracodawca ten ma umowę, będzie podmiotem przetwarzającym. Można w odniesieniu do danych jednych osób być administratorem np. pracodawca w stosunku do swoich pracowników. W innym zaś przypadku pracodawca ten stanowić może podmiot przetwarzający, kiedy w imieniu swoich klientów przetwarza dane  powierzone mu jako firmie.

Definicje RODO – Organy nadzorcze, ich rodzaje i obowiązki

ORGAN  NADZORCZY

Zgodnie z motywem 117 przepisów RODO, zasadniczym elementem ochrony osób fizycznych w związku z przetwarzaniem danych osobowych jest utworzenie w państwach członkowskich organów nadzorczych uprawnionych do wypełniania zadań i wykonywania uprawnień  w sposób całkowicie niezależny.

W myśl motywu 118 niezależność organów nadzorczych nie powinna oznaczać, że nie mogą one podlegać mechanizmom kontroli lub monitorowania pod kątem wydatków ani kontroli sądowej.

Natomiast motyw 122 mówi o tym, że każdy organ nadzorczy powinien być właściwy na terytorium swojego państwa członkowskiego do wykonywania uprawnień i wypełniania zadań powierzonych mu w myśl przepisów RODO.

Motyw 142 uprawnia z kolei każdą osobę fizyczną, której dane dotyczą, do wniesienia skargi do organu nadzorczego. Musi ona uznać, że narusza się jej prawa wynikające z przepisów RODO. W razie gdy organ nadzorczy odrzuci lub oddali skargę, skarżący może wnieść odwołanie do sądu tego samego państwa członkowskiego. (motyw 143)

Na mocy ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych (wydanej w związku z przepisami RODO) rolę organu nadzorczego pełni w Polsce Prezes Urzędu Ochrony Danych Osobowych. Zgodnie bowiem z art. 34 ust. 2 ustawy o ochronie danych osobowych Prezes Urzędu jest organem nadzorczym w rozumieniu przepisów RODO.

PREZES UODO

Zgodnie z art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych Prezes Urzędu Ochrony Danych Osobowych w Polsce jest organem właściwym w sprawie ochrony danych osobowych, oraz pełni  rolę organu nadzorczego w rozumieniu przepisów RODO. Powołuje go i odwołuje Sejm RP za zgodą Senatu RP. W myśl w/w ustawy Prezes w zakresie wykonywania swoich zadań podlega tylko ustawie, co oznacza że jest niezawisły. Przysługuje mu także immunitet. Dlatego też nie może być pociągnięty do odpowiedzialności karnej ani pozbawiony wolności bez uprzedniej zgody Sejmu RP. Kadencja Prezesa trwa 4 lata, a ta sama osoba może pełnić tę funkcje tylko przez dwie kadencje. Przed upływem kadencji Prezes może być odwołany jedynie z ważnych powodów wymienionych w ust. 9 art. 34 Ustawy o ochronie danych osobowych. Zgodnie z art. 45 Prezes Urzędu wykonuje swoje zadania przy pomocy Urzędu Ochrony Danych Osobowych.

RADA ds. OCHRONY DANYCH OSOBOWYCH

Rada powołana została jako organ opiniodawczo-doradczy Prezesa Urzędu Ochrony Danych Osobowych na mocy art. 48 ustawy o ochronie danych osobowych. Rada składa się z 8 członków powoływanych przez Prezesa Urzędu spośród kandydatów zgłoszonych przez Radę Ministrów, Rzecznika Praw Obywatelskich, izby gospodarcze, jednostki naukowe, fundacje i stowarzyszenia, których celem statutowym jest działalność na rzecz ochrony danych osobowych.

Członkiem Rady może zostać osoba posiadająca wyższe wykształcenie. Nie mogła być skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe. Korzysta też z pełni praw publicznych i wyraziła zgodę na kandydowanie.

Do zadań Rady należy:

  • opiniowanie projektów dokumentów organów i instytucji Unii Europejskiej dotyczących spraw ochrony danych osobowych
  • opiniowanie przekazanych przez Prezesa Urzędu projektów aktów prawnych i innych dokumentów dotyczących spraw ochrony danych osobowych
  • opracowywanie propozycji kryteriów certyfikacji
  • opracowywanie propozycji rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych
  • inicjowanie działań w obszarze ochrony danych osobowych oraz przedstawianie Prezesowi Urzędu propozycji zmian prawa w tym obszarze
  • wyrażanie opinii w sprawach przedstawionych Radzie przez Prezesa Urzędu oraz wykonywanie innych zadań zleconych przez Prezesa Urzędu.

Opinie, protokoły posiedzeń oraz inne dokumenty Rady udostępniono na stronie podmiotowej w Biuletynie Informacji Publicznej Prezesa Urzędu.

Definicje RODO zawarte zostały także w innym naszym artykule.

pl_PLPolish