Strona: FAQ - RODO / Portal Ochrony Danych Osobowych

RODO to polski skrót od słów Rozporządzenie o Ochronie Danych Osobowych, inaczej ogólne rozporządzenie o ochronie danych oznaczający ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Rozporządzenie to znane jest także pod angielską nazwą General Data Protection Regulation, w skrócie GDPR.

RODO jest rozporządzeniem unijnym, zawierającym przepisy o ochronie osób fizycznych w związku z przetwarzaniem ich danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.

Celem RODO jest ujednolicenie przepisów dotyczących ochrony danych osobowych w państwach Unii Europejskiej. Organizacje, firmy, instytucje publiczne i inne podmioty przetwarzające dane osobowe w państwach należących do UE są zobowiązane do stosowania RODO bezpośrednio.

Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Dane osobowe to wszystkie dane, które dotyczą konkretnej osoby fizycznej – od imienia i nazwiska, nr PESEL, przez adres e-mail do danych umieszczonych na wizytówce. Danymi osobowymi może być także odcisk palca, czy adres IP.

Szczególne kategorie danych osobowych to grupa danych sensytywnych (wrażliwych), które podlegają szczególnym zasadom przetwarzania i ochrony. Są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane: genetyczne,  biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Przetwarzanie szczególnych kategorii danych osobowych jest zabronione. Jednak zapisy RODO zezwalają na ich przetwarzanie w sytuacji, gdy spełniony jest jeden z wymienionych w RODO warunków, takich jak m.in.:

• osoba, której dane dotyczą wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach,
• przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora danych osobowych w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego,
• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,
• przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą,
• przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości,
• przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego,
• przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.

W Politechnice Rzeszowskiej dane wrażliwe przetwarzane są m.in.:

• w badaniach naukowych,
• w projektach,
• do celów socjalnych (pomoc materialna dla studentów i doktorantów, wsparcie socjalne pracowników).

Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Wymieniony powyżej wykaz czynności składających się na przetwarzanie danych osobowych, ma charakter przykładowy – uogólniając należy przyjąć, że każda czynność, która jest wykonywana z wykorzystaniem danych osobowych jest przetwarzaniem tych danych.

Administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Administratorem danych osobowych przetwarzanych w Politechnice Rzeszowskiej jest Politechnika Rzeszowska z siedzibą przy al. Powstańców Warszawy 12, 35-959 Rzeszów, reprezentowana przez JM Rektora. Uczelnia jest Administratorem danych osobowych m.in.: pracowników i współpracowników Uczelni czy osób kształconych w Uczelni, które przetwarza zgodnie z wytycznymi RODO w celach określonych przepisami prawa.

Inspektor Ochrony Danych to wyznaczona przez Rektora Politechniki Rzeszowskiej osoba odpowiedzialna za nadzór nad funkcjonowaniem i efektywnością procesów prawidłowego przetwarzania danych osobowych oraz za bezpieczeństwo tych danych przetwarzanych w Politechnice Rzeszowskiej. O powołaniu IOD Administrator (Rektor) zawiadamia Prezesa Urzędu Ochrony Danych Osobowych.

Administrator Systemu Informatycznego to osoba odpowiedzialna za funkcjonowanie systemu informatycznego oraz wykonująca w nim czynności wymagające specjalnych uprawnień. Administrator Systemu Informatycznego jest odpowiedzialny za przestrzeganie zasad i wymagań bezpieczeństwa danych w systemie informatycznym.

Legalne przetwarzanie danych osobowych oznacza przetwarzanie danych osobowych w zgodności z przepisami prawa.

Zgodnie z zapisami RODO, aby przetwarzanie danych osobowych było zgodne z prawem powinien zostać spełniony co najmniej jeden z poniższych warunków:

• osoba, której dane dotyczą wyraziła zgodę na przetwarzanie jej danych osobowych,
• przetwarzanie jest niezbędne do wykonania umowy lub czynności przed jej zawarciem,
• przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, 
• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej,
• przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
• przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią ….

Obowiązek informacyjny to obowiązek Administratora do poinformowania osoby, której dane przetwarza o:

• danych identyfikujących Administratora danych osobowych,
• danych kontaktowych Inspektora Ochrony Danych,
• celu/ach przetwarzania danych osobowych,
• podstawie/ach prawnej/ych przetwarzania danych,
• odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją (udostępnienie lub powierzenie danych),
• okresie przechowywania danych lub kryteriach tego okresu,
• prawie do żądania od Administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych na warunkach określonych w RODO,
• prawie do cofnięcia zgody (jeżeli przetwarzanie odbywa się na jej podstawie) w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
• możliwości złożenia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych),
• tym, czy przetwarzanie jest  wymogiem ustawowym/umownym/warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
• zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu: istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Celem obowiązku informacyjnego jest przekazanie osobie, której dane dotyczą, szerokiego wachlarza informacji na temat przetwarzania ich danych osobowych przez Administratora. Osoba, której dane dotyczą, musi być poinformowana o fakcie prowadzenia operacji przetwarzania jej danych osobowych i o celach takiego przetwarzania. Co więcej Administrator powinien podać wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i kontekst przetwarzania danych osobowych. Informacje te są szczególnie istotne w przypadku gdy przesłanką legalności przetwarzania danych ma być zgoda osoby, której dane dotyczą, aby podejmowana decyzja była w pełni świadoma. Obowiązek ten jest realizowany najczęściej w postaci klauzul informacyjnych.

Osoba, której dane dotyczą posiada prawo do:

• żądania od Administratora dostępu do swoich danych,
• sprostowania swoich danych osobowych,
• usunięcia lub ograniczenia przetwarzania danych osobowych,
• wniesienia sprzeciwu wobec przetwarzania,
• przenoszenia danych,
• wyrażenia/odwołania zgody na przetwarzanie danych osobowych.

Zgoda na przetwarzanie danych osobowych to jedna z przesłanek legalności przetwarzania danych osobowych, rozumiana jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Zgoda na przetwarzanie danych osobowych musi dotyczyć jasno określonego celu, np. zgoda na przetwarzanie danych osobowych w procesie rekrutacji do pracy czy udziału w konferencji itp.

Zgoda na przetwarzanie danych osobowych może przyjąć formę oświadczenia woli, wyrażonego w formie pisemnej np. klauzula zgody dołączona do kwestionariusza osobowego w formie papierowej lub elektronicznej poprzez umieszczenie klauzuli zgody w formularzu elektronicznym przy zastosowaniu checkboxa (domyślnie niezaznaczonego).

Wycofanie zgody na przetwarzanie danych osobowych przez osobę, której dane dotyczą należy rozumieć jako wycofanie woli przez tą osobę na przetwarzanie jej danych osobowych przez administratora danych.

Osoba, której dane dotyczą ma prawo w dowolnym momencie wycofać zgodę na przetwarzanie danych osobowych jej dotyczących. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą jest o tym informowana, zanim wyrazi zgodę (w klauzuli informacyjnej). Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

Każde przekazanie danych osobowych innemu podmiotowi musi być uzasadnione prawnie, w przeciwnym wypadku dojdzie do udostępnienia osobie nieupoważnionej.

Do powierzenia dochodzi wtedy, gdy na zlecenie Administratora danych, inny podmiot dokonuje operacji na danych osobowych. Podmiot, któremu dane są powierzane, nie staje się ich administratorem (chociaż ponosi odpowiedzialność tak samo, jak Administrator), jedynie wykonuje operacje na danych, należących do Administratora, w sposób, w zakresie i w celu ściśle przez niego określonym. Podmiot, któremu dane powierzono nie ma prawa ich wykorzystywać, do własnych celów. Powierzyć można dowolną czynność na danych od gromadzenia, przez edycję, przechowywanie, usunięcie.

Powierzenie przetwarzania danych osobowych odbywa się na podstawie umowy powierzenia przetwarzania danych osobowych lub innego instrumentu prawnego, który wiąże Administratora i podmiot, który przetwarza dane w jego imieniu.

Zgodnie z postanowieniami RODO, Administrator może powierzyć przetwarzanie danych wyłącznie tym podmiotom, które zapewniają gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO.

Każde przekazanie danych osobowych innemu podmiotowi musi być uzasadnione prawnie, w przeciwnym wypadku dojdzie do udostępnienia osobie nieupoważnionej.

Najprościej rzecz ujmując można powiedzieć, że do udostępnienia danych dochodzi gdy nie następuje ono w drodze powierzenia przetwarzania danych. Podmiot, któremu dane są udostępniane staje się ich Administratorem, czyli wykorzystuje je do własnych celów.

Inaczej mówiąc, udostępnienie będzie miało miejsce wtedy, gdy jeden Administrator przekazuje dane drugiemu i każdy z tych Administratorów wykorzystuje te dane do własnych celów.

RODO rozróżniana stępujące przypadki udostępnienia danych:

• za wyraźną zgodą osoby, której dane dotyczą (np. zgoda na udostępnienie innym podmiotom w celach marketingowych)
•  na podstawie przepisów prawa (np. udostępnienie danych policji, prokuraturze, sądom)
• innemu administratorowi, jeżeli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (dochodzenie roszczeń, zapobieganie oszustwom, marketing bezpośredni).

Naruszenie ochrony danych osobowych to pojedyncze zdarzenie lub seria zdarzeń (zwane incydentem) mające wpływ na bezpieczeństwo przetwarzanych danych, prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, a także brak dostępu do danych osobowych. Należy dodać, że incydent dotyczy nie tylko danych osobowych, ale także zasobów systemu informatycznego, do których zalicza się: osoby, usługi, oprogramowanie, sprzęt i inne elementy mające wpływ na bezpieczeństwo przetwarzanych danych.

Przykładem naruszenia ochrony danych osobowych może być np.: ujawnienie danych osobie nieuprawnionej, udostępnienie danych osobowych bez podstawy prawnej na stronie internetowej takich jak: imię, nazwisko, nr indeksu, nr albumu, wykaz ocen z egzaminu, nr dowodu osobistego, nr pesel czy także wysyłanie pocztą elektroniczną adresów innych adresatów oraz niewystarczające zabezpieczenie danych na stacjach roboczych (np. brak haseł dostępu, brak programu antywirusowego, itp.).