Navigation path

Zapewnienie zgodności z zasadami ochrony danych osobowych?

Zapewnienie zgodności z zasadami ochrony danych osobowych?

Klienci online mogą podawać swoje imię i nazwisko, adres, dane bankowe lub karty kredytowej bez większego zastanowienia, ale przedsiębiorca internetowy musi chronić takie dane osobowe przed nadużyciem i szanować prawo klientów do prywatności w zakresie przetwarzania danych osobowych.

Dane osobowe są definiowane jako informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (zwanej „podmiotem danych”). 

Przykłady danych osobowych, które mogą być wykorzystane do identyfikacji jednostki, obejmują: imię i nazwisko, płeć, numer identyfikacyjny, numer karty kredytowej, dane kontaktowe (adres, numer telefonu, adres e-mail itd.), wiek i datę urodzenia, numer ubezpieczenia społecznego, numer identyfikacji podatkowej, język, dane biometryczne (np. odciski palców lub DNA).

Pewne rodzaje danych osobowych mieszczą się w kategorii znanej jako wrażliwe dane osobowe, czyli takie kategorie danych, które ujawniają: pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne bądź filozoficzne, członkostwo w związkach zawodowych albo informacje dotyczące zdrowia bądź życia seksualnego. Szczególnie chronionych danych osobowych nie można przetwarzać, o ile nie otrzymano wyraźnej zgody podmiotu danych („opt-in”).

„Przetwarzanie” oznacza każdą operację wykonaną na danych osobowych, także w sposób zautomatyzowany, taką jak zbieranie utrwalanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Spełnianie wymogów ochrony danych przez podmioty zbierające dane

Dnia 25 maja 2018 r. weszło w życie ogólne rozporządzenie o ochronie danych (RODO). Stanowi ono znaczącą reformę unijnych przepisów dotyczących ochrony danych, a zarazem skutecznie aktualizuje dyrektywę 95/46 w sprawie ochrony danych. Wszelkie informacje dotyczące przepisów obowiązujących przedsiębiorstwa i organizacje można znaleźć na stronie Komisji Europejskiej poświęconej reformie unijnych przepisów o ochronie danych.

Przepisy RODO stosuje się nie tylko do firm mających siedzibę lub prowadzących działalność gospodarczą na terenie UE, ale również do podmiotów spoza Unii przetwarzających dane osobowe należące do podmiotów danych z UE.

Zgodnie z unijnymi przepisami o ochronie danych administratorem danych jest osoba (działającą samodzielnie lub wspólnie), która decyduje, dlaczego (tzn. do jakich celów) i jak (tzn. jakimi środkami) przetwarzane są dane osobowe klientów danego podmiotu.

Osoba przetwarzająca dane osobowe w imieniu administratora danych (np. jako dostawca usług w chmurze, firma zajmująca się badaniem rynku lub rozliczająca płace) uważana jest za podmiot przetwarzający dane.

Oprócz pozyskania zaufania klientów podmiot zbierający dane odpowiada za:
•    przejrzyste i uczciwe gromadzenie danych oraz właściwe informowanie klientów o tym , jakie szczególne operacje przetwarzania będą wykonywane;
•    gromadzenie i przetwarzanie danych osobowych jedynie wtedy, gdy cel jest prawnie uzasadniony, tzn. jeśli jest to konieczne (np. do kontraktu);
•    wypełnianie określonych zobowiązań dotyczących przetwarzania danych osobowych. Dotyczą one między innymi zasady, że dane osobowe można gromadzić w imieniu administratora wyłącznie na podstawie pisemnej umowy, która nakłada na podmiot przetwarzający dane szereg obowiązkowych warunków, określonych w przepisach RODO. Podmiot przetwarzający musi też prowadzić rejestry czynności przetwarzania danych i udostępniać je na żądanie organu nadzorczego. Przedsiębiorca musi zapewnić, aby jego podmioty danych mogły mieć dostęp do danych, a także mogły skorygować, usunąć lub zablokować nieprawidłowe dane o sobie, i aby dane osobowe nie były przechowywane dłużej, niż jest to absolutnie konieczne;
•    odpowiadanie na skargi otrzymywane w związku z operacjami przetwarzania danych;
•    współpracę z krajowymi organami nadzoru nad ochroną danych, które odpowiadają za monitorowanie przestrzegania przez przedsiębiorców krajowych przepisów o ochronie danych, a także rozpatrywanie skarg składanych przez osoby fizyczne w sprawie przetwarzania ich danych osobowych.

Należy pamiętać, że przedsiębiorca może zostać pociągnięty do odpowiedzialności prawnej, jeśli współpracujący z nim podmiot ujawni dane osobowe i złamie przepisy o ochronie danych.

Zawiadamianie klientów

Przedsiębiorca ma obowiązek poinformowania swoich klientów, czy przetwarza ich dane osobowe. W tym celu należy na swojej stronie internetowej opublikować informację o polityce prywatności „w zrozumiałej formie, używając jasnego i prostego języka”.

Podmiot zbierający dane powinien podać co najmniej poniższe informacje:
•    pełna nazwa przedsiębiorstwa, podmiotu lub imię i nazwisko przedsiębiorcy (jako administratora danych);
•    dane kontaktowe przedsiębiorcy;
•    opis celów, do jakich dane będą wykorzystywane;
•    miejsce operacji przetwarzania;
•    opis osób, władz publicznych, instytucji lub wszelkich innych urzędów, którym dane mogą być ujawniane;
•    w jaki sposób można sprawdzić swoje dane osobowe i wykonać swoje prawa w stosunku do nich (na przykład, jak uzyskać dostęp, poprawić i usunąć dane osobowe), a także w jaki sposób można wyrazić sprzeciw wobec wykorzystywania danych do celów marketingu bezpośredniego.

Informacja o ochronie prywatności może również zawierać dodatkowe informacje, takie jak termin przechowywania danych osobowych, w jaki sposób dane osobowe są chronione itp.
 

Austria Complete the notification via  Österreichische Datenschutzbehörde website before starting the processing activity.
Belgium Complete the notification via Commission for the protection of privacy website before starting the processing activity.
Bulgaria Complete the notification via Commission for Personal Data Protection website before starting the processing activity.
Croatia Complete the notification via Croatian Personal Data Protection Agency website before starting the processing activity.
Cyprus Complete the notification via Commissioner for Personal Data Protection website before starting the processing activity.
Czech Republic Complete the notification via The Office for Personal Data Protection website before starting the processing activity.
Denmark Complete the notification via Datatilsynet website before starting the processing activity.
Estonia Complete the notification via Estonian Data Protection Inspectorate (Andmekaitse Inspektsioon) website before starting the processing activity.
Finland Complete the notification via Office of the Data Protection website before starting the processing activity.
France Complete the notification via Commission Nationale de l'Informatique et des Libertés website before starting the processing activity.
Germany Complete the notification via Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit website before starting the processing activity.
Greece Complete the notification via Hellenic Data Protection Authority website before starting the processing activity.
Hungary Complete the notification via Data Protection Commissioner of Hungary website before starting the processing activity.
Ireland Complete the notification via Data Protection Commissioner website before starting the processing activity.
Italy Complete the notification via Garante per la protezione dei dati personali website before starting the processing activity.
Latvia Complete the notification via Data State Inspectorate website before starting the processing activity.
Lithuania Complete the notification via State Data Protection website before starting the processing activity.
Luxembourg Complete the notification via Commission nationale pour la protection des données website before starting the processing activity.
Malta Complete the notification via Office of the Information and Data Protection Commissioner website before starting the processing activity.
Netherlands Complete the notification via College bescherming persoonsgegevens
(Dutch Data Protection Authority) website before starting the processing activity.
Polska Przed rozpoczęciem przetwarzania danych osobowych należy wypełnić zgłoszenie w witrynie Biura Generalnego Inspektora Ochrony Danych Osobowych.
Portugal Complete the notification via Comissão Nacional de Protecção de Dados website before starting the processing activity.
Romania Complete the notification via The National Supervisory Authority for Personal Data Processing website before starting the processing activity.
Slovakia Complete the notification via Office for Personal Data Protection of the Slovak Republic website before starting the processing activity.
Slovenia Complete the notification via Information Commissioner website before starting the processing activity.
Spain Complete the notification via Agencia de Protección de Datos website before starting the processing activity.
Sweden Complete the notification via Datainspektionen website before starting the processing activity.
United Kingdom Complete the notification via The Office of the Information Commissioner Executive Department website before starting the processing activity.

 

Źródła informacji

Spełnianie wymogów ochrony danych osobowych
•    Agencja Praw Podstawowych Unii Europejskiej i Rada Europy, 2014, Podręcznik europejskiego prawa o ochronie danych
•    Dyrektywa UE w sprawie ochrony danych (Dyrektywa 95/46/WE)
•    Dyrektywa w sprawie ochrony danych: https://ec.europa.eu/info/law/law-topic/data-protection_pl
•    Wymiar sprawiedliwości KE, 2014, Ochrona danych osobowych, dostępne na stronie https://ec.europa.eu/info/law/law-topic/data-protection_pl
•    Wymiar sprawiedliwości KE, Grupa robocza Art. 29, dostępne na stronie http://ec.europa.eu/justice/data-protection/article-29/index_en.htm

Oświadczenie składane krajowym organom
•    Dyrektywa UE w sprawie ochrony danych (Dyrektywa 95/46/WE)

Informacja dla klientów na stronie internetowej
•    Agencja Praw Podstawowych Unii Europejskiej i Rada Europy, 2014, Podręcznik europejskiego prawa o ochronie danych
•    Dyrektywa UE w sprawie ochrony danych (Dyrektywa 95/46/WE) — artykuł 10

Country specifics

Suggested country specifics to be covered:

National Data protection authority

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?