FAQ

Czy RODO mnie obowiązuje?

Prawdopodobnie tak – RODO obowiązuje wszelkie podmioty, które przetwarzają dane osobowe. Jeśli chociażby masz kontrahentów lub zatrudniasz pracowników, to z całą pewnością przetwarzasz dane osobowe i przepisy rozporządzenia są adresowane m.in. do Ciebie.

Czym są dane osobowe?

Zgodnie z art. 4, pkt 1 rozporządzenia:

„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”

 

Innymi słowy, jeśli jesteś w posiadaniu jednej lub kilku informacji o osobie fizycznej takich jak, imię nazwisko, adres e-mail, adres zamieszkania, wizerunek, numer NIP, numer telefonu, numer PESEL, wykształcenie, miejsce pracy, numer IP, identyfikatory plików cookie, lokalizacja itd, które można przypisać do konkretnej osoby fizycznej, nie generując przy tym wielkich trudności dla osoby przeprowadzającej identyfikację, to takie dane stanowią dane osobowe.

Przykładowo, warto zwrócić uwagę, że często sam adres e-mail, może być traktowany jako dane osobowe – gdy jest w postaci imię.nazwisko@xyz.pl, wystarczy na ogół kilka chwil w google, żeby ustalić do kogo należy.

Czy jestem administratorem czy procesorem?

To zależy, jeśli samodzielnie decydujesz o celach i sposobach przetwarzania danych, to jesteś administratorem. Jeśli ktoś powierza Ci przetwarzanie danych w jakimś celu – np. dla prowadzenia księgowości – jesteś procesorem. Bardzo często zdarza się tak, że jeden podmiot dla części danych z którymi ma styczność jest administratorem, a dla części procesorem.

W czym może mi pomóc inspektor ochrony danych?

Inspektor ochrony danych, zgodnie z brzmieniem RODO, ma być podmiotem, który ułatwi administratorowi danych osobowych przestrzeganie przepisów. Inspektor ma czuwać nad zaprojektowaną polityką ochrony danych osobowych i sprawić, że będzie ona respektowana zgodnie z zasadą rozliczalności. Innymi słowy IOD zadba o to, żeby wszelkie czynności podejmowane w kontekście RODO, były zgodne z prawem i odpowiednio udokumentowane. Oznacza to, że IOD będzie na bieżąco monitorował zgodność z prawem, rzetelność i przejrzystość przetwarzanych przez administratora danych osobowych oraz zapewni ich integralność, poufność i minimalizację.

 

IOD pełni również funkcję doradczą. Informuje i rekomenduje Administratorowi określone działania. Pełni również rolę pośrednika pomiędzy zainteresowanymi stronami (np. w trakcie kontroli pomiędzy Prezesem Urzędu Ochrony Danych Osobowych a organizacją). Reaguje on także na incydenty z zakresu naruszenia przepisów i zgłasza je organowi nadzoru i osobom, których dane dotyczą. Może on pełnić rolę punktu informacyjnego dla osób, których dane są przetwarzane. Z uwagi na powyższe IOD ma kluczowe znaczenie w procesie prawidłowego administrowania danymi. Nadto, IOD ma za zadanie informowanie administratora/procesora przetwarzającego dane oraz jego pracowników o obowiązkach spoczywających z zakresu ochrony danych osobowych. Wydaje on zalecenia co do oceny skutków dla ochrony danych oraz monitoruje ich wykonanie.

 

W wytycznych Grupy Roboczej ds. art. 29 określono, że IOD spełnia kluczową rolę w zakresie wprowadzenia wymaganej „kultury ochrony danych osobowych” w organizacji.

Czy potrzebuję inspektora ochrony danych?

Zależy od stopnia Twojej znajomości przepisów i stopnia ich wdrożenia w życie. Jeżeli chcesz wprowadzić zmiany samodzielnie i potrzebujesz wsparcia osoby kompetentnej – to tak, potrzebujesz. Jeśli zaprojektowałeś już procedury bezpieczeństwa w swojej organizacji i chcesz, aby pozostały aktualne i były przestrzegane – to tak, potrzebujesz. Jeśli nie zadbałeś w żadnym stopniu o ochronę danych w swojej organizacji – sama obecność IOD Ci nie pomoże, potrzebujesz najpierw przeprowadzić wdrożenie RODO.

Czy powołanie inspektora ochrony danych jest obowiązkowe?

W niektórych sytuacjach jest obowiązkowe, w niektórych jest dobrowolne. Czynniki, które wpływają na powstanie obowiązku powołania IOD, to:

  • prowadzenie działań w charakterze organu lub podmiotu publicznego,
  • charakter głównej działalności administratora,
  • skala przetwarzania, liczba osób, których przetwarzanie dotyczy,
  • zakres przetwarzanych danych,
  • okres przetwarzania danych
  • zakres geograficzny przetwarzania danych
  • skala przetwarzania szczególnej kategorii danych osobowych (danych wrażliwych) – np. danych dotyczących zdrowia, pochodzenia rasowego lub etnicznego, przynależności do związków zawodowych i innych.

 

Powyższe wynika z przepisów, natomiast nie warto traktować powołania IOD jako obowiązku. Często mniejsi pracodawcy – teoretycznie – mogą sami wykonywać zadania służby BHP, ale nie posiadają w tej materii kompetencji, więc takie zadania outsourcują zewnętrznym inspektorom BHP. Tak samo jest z IOD –  jeśli nie masz pewności, czy działasz zgodnie z przepisami i z jakim ryzykiem wiąże się przetwarzanie przez Ciebie danych, warto zlecić takie działania specjaliście – nie musisz zatrudniać nikogo na stałe, możesz zlecić takie zadania w pożądanej przez Ciebie liczbie godzin w miesiącu.

Na jakim obszarze działamy?

Działamy na obszarze Szczecina i okolic, natomiast jeśli istnieje taka potrzeba, realizujemy również zadania na obszarze całego województwa zachodniopomorskiego. Dla usług online, nie ma oczywiście znaczenia, gdzie znajduje się Twoja siedziba.

Jak długo będę czekał/czekała na wycenę?

Staramy się o wysłanie wstępnych wycen w następnym dniu roboczym od dnia przyjęcia zgłoszenia, jednakże z uwagi na dużą ilość pracy, czas ten może się wydłużyć. W najgorszym wypadku sporządzoną kalkulację otrzymasz na swojego e-maila w czasie nie dłuższym niż 5 dni roboczych.

Na czym polega usługa konsultacji online?

Osoby zainteresowane konsultacją wybranego zagadnienia mogą uzyskać pomoc naszego eksperta. Otrzymasz na podany adres e-mail odpowiedź na swoje pytania. Konsultacja obejmuje wyłącznie jedno zagadnienie – każde kolejne traktowane jest jako kolejna usługa. Jeśli chciałbyś skonsultować więcej niż jedno zagadnienie, wyślij je do nas osobno za pomocą formularza. W ramach jednej usługi możesz nam zlecić:

  • analizę stanu faktycznego
  • analizę stanu prawnego
  • sporządzenie zaleceń
  • zaopiniowanie dokumentów oraz umów
  • sporządzenie wzoru dokumentu z zakresu ochrony danych osobowych

 

Udostępniamy klientom zainteresowanym tą usługą wygodną formę płatności online za pomocą platformy Przelewy24.

 

Przykładowe poprawnie sformułowane pytanie w ramach jednej konsultacji:

 

Jak należy informować o monitoringu wizyjnym? Monitoring w mojej firmie obejmuje klientów oraz pracowników. Gdzie powinnam umieścić tablice informacyjną? Jaka powinna być jej treść? Przez jaki czas mogę przechowywać dane z monitoringu? Mógłbym otrzymać wzór poprawnie zredagowanej tablicy informacyjnej o monitoringu?

 

Przykładowe błędnie sformułowane pytanie, w ramach jednej konsultacji, obejmujące trzy zagadnienia:

 

W jaki sposób przechowywać dokumentację medyczną? Przez jaki czas dopuszczalne jest przetwarzanie danych medycznych? Jak powinna wyglądać prawidłowo zredagowana klauzula informacyjna skierowana do pacjentów? Czy powinienem powołać IOD, aby realizować żądania pacjentów, których dane dotyczą? Brakuje mi w mojej polityce wzoru upoważnienia pracowników do przetwarzania danych – proszę o jego zredagowanie.

Dlaczego otrzymana wycena, jest wyceną wstępną?

Dokładna wycena zależy od rzeczywistej sytuacji, jaka jest w danej organizacji. Często trudno jest oszacować administratorowi/procesorowi ilość danych jakie posiada. Dodatkowo mogą pojawić się okoliczności, które zimniejszą lub zwiększą przewidywany zakres prac. Nie chcemy oferować płatnych wycen, dlatego też musimy ograniczyć ilość informacji, na podstawie których są dokonywane wyceny, co oznacza, że nie mogą być one ostateczne.