Najczęściej zadawane pytania

Najczęściej zadawane pytania:

  1. Co to jest RODO?

RODO to skrót od: Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz do uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

RODO stanowi główny element europejskiej reformy ochrony danych osobowych. RODO powstało w związku z koniecznością ujednolicenia przepisów regulujących ochronę danych osobowych w państwach UE. Na pakiet reformujący ochronę danych osobowych w Unii Europejskiej składa się także Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW – tzw. dyrektywa policyjna.

  1. Czy podlegam RODO?

Jakakolwiek działalność gospodarcza prowadzona w Unii Europejskiej w jakiejkolwiek formie prawnej powinna spełniać wymogi RODO, czyli w zasadzie można powiedzieć, że dotyczy każdego przedsiębiorcy posiadającego zbiory danych osobowych.

Nie ma tu znaczenia narodowość osób przetwarzających dane, gdzie znajdują się serwery, komu oferowane są towary itd. RODO dotyczy również podmiotów spoza UE, które oferują swoje usługi osobom przebywający w Unii.

  1. Co to są dane osobowe?

Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Dane osobowe to wszystkie dane, które dotyczą konkretnej osoby fizycznej – od imienia i nazwiska, nr PESEL umieszczonego w dokumencie tożsamości, przez adres e-mail do danych umieszczonych na wizytówce. Danymi osobowymi może być także odcisk palca, adres IP, login do portalu internetowego czy numer telefonu.

  1. Jakie grożą kary za nieprzestrzeganie RODO?

UWAGA !! 4% rocznego obrotu lub 20 milionach euro!

To najwyższa możliwa kara, którą można otrzymać za brak spełnienia wymagań RODO.

W przypadku mniejszych przewinień, takich jak naruszenie obowiązku rejestrowania, niezgłoszenie naruszeń grożą kary w wysokości 2% rocznego obrotu. Dodatkowo, na podmioty publiczne mogą być nałożone kary administracyjne do 100 000 PLN.

  1. Co to są szczególnie kategorie danych osobowych?

Szczególne kategorie danych osobowych to grupa danych wrażliwych, które podlegają szczególnym zasadom przetwarzania i ochrony. Są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane: genetyczne, biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Przetwarzanie szczególnych kategorii danych osobowych jest zabronione, chyba, że m.in.:

osoba, której dane dotyczą wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych,

przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw administratora danych osobowych wynikających z przepisów prawa pracy, zabezpieczenia społecznego i ochrony socjalnej,

przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości,

przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.



  1. Co to jest przetwarzanie danych osobowych?

Przetwarzanie danych osobowych to operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Katalog czynności, które mogą składać się na przetwarzanie danych osobowych, ma charakter przykładowy – należy przyjąć, iż przetwarzanie danych osobowych to każda czynność, którą wykonujemy z wykorzystaniem danych osobowych.

  1. Kto to jest Administrator Danych osobowych?

Administrator Danych osobowych (ADO) to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

  1. Kto to jest Inspektor Ochrony Danych (IOD)?

Inspektor Ochrony Danych to osoba, która została wpisana do prowadzonego przez Prezesa Urzędu Ochrony Danych Osobowych rejestru inspektorów ochrony danych osobowych, odpowiedzialna za nadzór i bezpieczeństwo danych osobowych przetwarzanych na Uniwersytecie Warszawskim.

Inspektor Ochrony Danych odpowiada za nadzór nad funkcjonowaniem i efektywnością procesów prawidłowego przetwarzania danych osobowych.

  1. Jakie są podstawowe zasady przetwarzania danych osobowych?

zasada integralności i poufności

dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych

zasada legalności, rzetelności i przejrzystości

dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą

zasada minimalizacji danych

dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane

zasada ograniczenia celu

dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami

zasada ograniczenia przechowywania

dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą

zasada prawidłowości

dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane

zasada rozliczalności

administrator jest odpowiedzialny za przestrzeganie zasad dotyczących przetwarzania danych osobowych i musi być w stanie wykazać ich przestrzeganie

  1. Jakie są podstawowe zasady przetwarzania danych osobowych?

zasada integralności i poufności

dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych

zasada legalności, rzetelności i przejrzystości

dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą

zasada minimalizacji danych

dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane

zasada ograniczenia celu

dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami

zasada ograniczenia przechowywania

dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą

zasada prawidłowości

dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane

zasada rozliczalności

administrator jest odpowiedzialny za przestrzeganie zasad dotyczących przetwarzania danych osobowych i musi być w stanie wykazać ich przestrzeganie

  1. Jakie są zasady bezpieczeństwa wynikające z polityki ochrony danych?

zasada odpowiedzialności za zasoby

każdy pracownik Biura jest osobiście odpowiedzialny za przetwarzane dane osobiste i przestrzeganie procedur bezpieczeństwa w celu zapewnienia dostępności, poufności oraz integralności powierzonych danych

zasada ochrony informacji służbowej/służbowych dokumentów bezwzględnie zabronione jest kopiowanie i wynoszenie dokumentów służbowych (oryginałów, kopii, wersji elektronicznych) oraz ich przesyłanie drogą elektroniczną w innym celu niż służbowy, np. wyjście do sądu lub urzędu. W przypadku pracy zdalnej pracownik zobowiązany jest do zachowania szczególnej ostrożności wobec służbowych dokumentów i nośników danych

zasada wiedzy koniecznej

pracownicy powinni mieć dostęp jedynie do tych informacji, które są niezbędne do wykonywania powierzonych im obowiązków lub zadań. Jeżeli nie jest to niezbędne do wykonywania obowiązków służbowych pracownicy nie powinni uzyskiwać wglądu w akta spraw prowadzonych przez innych pracowników

zasada zamkniętego pomieszczenia

pod nieobecność pracowników drzwi do pomieszczeń każdorazowo zamykane są na klucz, który pozostaje pod nadzorem pracownika lub jest zwracany do portierni. Niedopuszczalne jest pozostawianie pomieszczeń bez nadzoru lub użyczanie kluczy do pomieszczeń osobom nieuprawnionym.

zasada czystego biurka

opuszczając stanowisko pracy na koniec dnia lub podczas wyjść w ciągu dnia należy uprzątnąć biurko z dokumentów papierowych oraz nośników danych, które mogą zawierać dane osobowe. Po zakończonej pracy lub na czas dłuższej nieobecności przy stanowisku pracy dokumenty należy umieścić w szufladzie lub szafie zamykanej na klucz

zasada prywatności kont w systemach

praca w systemach informatycznych odbywa się wyłącznie na kontach przypisanych danemu pracownikowi. Bezwzględnie zabronione jest udostępnianie kont innym osobom, jak również korzystanie przez te osoby z udostępnionego konta innego pracownika

zasada poufności haseł i kodów dostępu

pracownicy zachowują w poufności i nie przekazują osobom nieuprawnionym haseł i kodów dostępu, w tym pracownikom IT czy przełożonym. W szczególnych okolicznościach hasła mogą być zapisywane w sposób uniemożliwiający dostęp do nich innym osobom np. z wykorzystaniem szyfrowanych i zabezpieczonych bezpiecznym hasłem managerów haseł jak np. KeePass

zasada czystej tablicy

po zakończonym spotkaniu w pomieszczeniach ogólnodostępnych, należy uprzątnąć wszystkie materiały oraz wyczyścić tablice. Należy pamiętać również o zabraniu wszystkich przyniesionych na spotkanie dokumentów oraz nośników danych, jak np. pendrive z prezentacją

zasada czystego ekranu

pracownicy są zobowiązani do blokowania komputera przed każdym opuszczeniem pomieszczenia. Monitor powinien być ustawiony w sposób uniemożliwiający wgląd w wyświetlane treści osobom trzecim. W przypadku dłuższej nieobecności w pomieszczeniu należy wylogować się z systemu operacyjnego

zasada czystego pulpitu

na pulpicie komputera mogą znajdować się jedynie ikony standardowego oprogramowania, aplikacji służbowych oraz pliki i skróty do folderów pod warunkiem, że w nazwie nie zawierają informacji, które mogą zostać w sposób niekontrolowany ujawnione

zasada czystych drukarek

dokumenty należy odbierać z drukarek niezwłocznie po ich wydrukowaniu. W szczególności zasada ta dotyczy dokumentów drukowanych na drukarkach znajdujących się w innym pomieszczeniu. W przypadku drukarek znajdujących się w innym pomieszczeniu należy zawsze stosować opcję drukowania prywatnego z zabezpieczeniem pracy hasłem, jeżeli opcja taka jest możliwa na danym urządzeniu

zasada czystego kosza

do kosza należy wyrzucać tylko dokumenty papierowe i inne nośniki danych, z których uprzednio trwale usunięto dane osobowe lub zostały one w całości zniszczone w sposób uniemożliwiający odzyskanie danych

zasada niszczarki

dokumenty papierowe oraz płyty CD/DVD zawierające dane osobowe należy niszczyć wyłącznie za pomocą służbowej niszczarki dokumentów. Szczególną uwagę należy zwracać na koperty, teczki, koszulki plastikowe oraz podobne akcesoria biurowe, na których mogą znajdować się dane osobowe (np. odciśnięty napis, naklejki adresowe, itp)

zasada legalności oprogramowania

zabronione jest samodzielne instalowanie oprogramowania i przechowywanie na komputerze treści naruszających prawa autorskie oraz innych nielegalnych treści. Wszelkie wątpliwości i problemy związane z aktualizacjami i instalowaniem oprogramowania powinny być niezwłocznie zgłaszane do Pionu IT.

  1. Co to jest legalne przetwarzanie danych osobowych?

Legalne przetwarzanie danych osobowych oznacza, przetwarzanie danych osobowych w zgodności z przepisami prawa.

Aby przetwarzanie danych osobowych odbywało się w zgodzie z prawem powinna zostać spełniona jedna z poniższych przesłanek:

osoba, której dane dotyczą wyraziła zgodę na przetwarzanie jej danych osobowych,

przetwarzanie jest niezbędne do wykonania umowy lub czynności przed jej zawarciem,

przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,

przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej.



  1. Co to jest obowiązek informacyjny?

Obowiązek informacyjny to obowiązek Administratora Danych do poinformowania osoby, której dane dotyczą o:

danych identyfikujących Administratora Danych osobowych,

danych kontaktowych Inspektora Ochrony Danych osobowych,

przysługujących jej prawach,

celu przetwarzania danych osobowych,

okresie przechowywania danych osobowych,

podstawie przetwarzania danych osobowych,

możliwości złożenia skargi do organu nadzorczego (Prezes Urzędu Ochrony Danych Osobowych),

Obowiązek informacyjny ma na celu uświadomić osobę, której dane dotyczą, o tym w jaki sposób będą przetwarzane dane osobowe jej dotyczące. Obowiązek ten jest realizowany najczęściej w postaci klauzul informacyjnych.

  1. Jakie prawa posiada osoba, której dane dotyczą?

Osoba, której dane dotyczą posiada prawo do:

żądania od Administratora Danych dostępu do swoich danych,

sprostowania swoich danych osobowych,

usunięcia lub ograniczenia przetwarzania danych osobowych,

wniesienia sprzeciwu wobec przetwarzania,

przenoszenia danych,

wyrażenia/odwołania zgody na przetwarzanie danych osobowych,

nie podlegania decyzji, która opiera się na wyłącznie zautomatyzowanym przetwarzaniu, w tym profilowaniu.

  1. Co to jest zgoda na przetwarzanie danych osobowych?

Zgoda na przetwarzanie danych osobowych to jedna z przesłanek legalności przetwarzania danych osobowych, rozumiana jako okazanie woli przez osobę, której dane dotyczą, którego treścią jest przyzwolenie na przetwarzanie danych osobowych. Zgoda na przetwarzanie danych osobowych musi być: dobrowolna, konkretna, świadoma i jednoznaczna.

Zgoda na przetwarzanie danych osobowych może przyjąć formę oświadczenia woli, wyrażonego w formie pisemnej lub elektronicznej np. klauzula zgody dołączona do kwestionariusza osobowego w formie papierowej lub umieszczenie klauzuli zgody w formularzu elektronicznym przy zastosowaniu checkboxa.

Zgoda na przetwarzanie danych osobowych musi być wyrażona na jasno określony cel np. zgoda na przetwarzanie danych osobowych w procesie rekrutacji do pracy czy udziału w konkursie, konferencji itp.



  1. Co to jest rejestr czynności przetwarzania?

Rejestr czynności przetwarzania to dokument, który pokazuje w jakich procesach Administrator Danych osobowych przetwarza dane osobowe.

Rejestr uwzględnienia m.in. cel przetwarzania danych, podstawy przetwarzania danych, kategorię oraz zakres przetwarzanych danych oraz w jaki sposób dane są zabezpieczone.

Rejestr czynności przetwarzania może być prowadzony w wersji papierowej lub elektronicznej.

Należy zauważyć, iż pojęcie czynności przetwarzania danych osobowych nie zostało precyzyjnie opisane w RODO, co może powodować trudności w zidentyfikowaniu czynności przetwarzania danych osobowych. Czynność przetwarzania można określić przez kategorie podmiotów danych lub celów przetwarzania.

Przykładowe czynności przetwarzania danych:

rekrutacja: na studia/do pracy,

obsługa zatrudnienia pracowników, zleceniobiorców

zgłaszanie pracowników do opieki medycznej,

prowadzenie księgowości,

ewidencja gości hotelowych,

prowadzenie rejestru pełnomocnictw/upoważnień

korespondencja z klientami

prowadzenie rozliczeń z kontrahentami/pracownikami/zleceniobiorcami



  1. Co to jest powierzenie przetwarzania danych osobowych?

Powierzenie przetwarzania danych osobowych to przetwarzanie określonego zakresu danych osobowych w imieniu Administratora Danych Osobowych. Powierzenie przetwarzania danych osobowych odbywa się na podstawie umowy powierzenia przetwarzania danych osobowych lub innego instrumentu prawnego, który wiąże Administratora Danych i podmiot, który przetwarza dane w imieniu Administratora.

Powierzenie przetwarzania danych osobowych powinno regulować m.in.:

cel i charakter powierzenia,

przedmiot powierzenia – rodzaj danych, kategorię osób, których dane dotyczą,

czas trwania powierzenia,

obowiązki i prawa administratora,

podpowierzenie przetwarzania,

zobligowanie osób upoważnionych do zachowania tajemnicy,

stosowanie odpowiednich zabezpieczeń,

pomoc w realizacji praw osób, których dane dotyczą,

usunięcie lub zwrot danych po ustaniu powierzenia,

udzielenie pomocy administratora w wypełnianiu obowiązków względem organu nadzorczego,

zgoda na przeprowadzenie kontroli przetwarzania danych osobowych przez administratora.

Powierzenie przetwarzania danych osobowych to przekazanie danych osobowych innemu podmiotowi np. ubezpieczycielowi lub hostingodawcy w celu przechowywania danych na serwerze, czy w sytuacji wymagającej serwisowania systemów IT w których przetwarzane są dane osobowe.

  1. Co to są techniczne i organizacyjne środki ochrony danych osobowych?

Techniczne i organizacyjne środki ochrony danych osobowych to środki, które należy zastosować by zapewnić bezpieczeństwo danych osobowych adekwatne do ryzyka przetwarzania danych osobowych.

Środki organizacyjne to np. wdrożenie polityk ochrony danych osobowych, wyznaczenie Inspektora Ochrony Danych, szkolenia z ochrony danych osobowych dla pracowników, wydawanie upoważnień do przetwarzania danych osobowych.

Środki techniczne to np. stosowanie oprogramowania antywirusowego na stacjach roboczych, zapewnienie dostępu do systemu przy użyciu loginu i hasła, stosowanie firewalla czy UPS, odnotowywanie informacji o czynnościach użytkownika wykonanych w systemie informatycznym.

W ramach środków technicznych i organizacyjnych można także wyróżnić środki ochrony fizycznej takie jak np.: drzwi i szafy zamykane na klucz, rolety antywłamaniowe, kraty w oknach, sejfy i kasy pancerne, ochrona czy system alarmowy.

  1. Czym są: zasada minimalizacji i adekwatności przetwarzania danych osobowych?

Zgodnie z zasadą minimalizacji danych, dane osobowe powinny być stosowne oraz ograniczone do tego co niezbędne do celów, w których są przetwarzane. Należy przetwarzać tylko takie dane osobowe, bez których nie da się osiągnąć zamierzonego celu przetwarzania.

Zasada adekwatności oznacza, iż administrator powinien przetwarzać tylko takiego rodzaju dane i tylko o takiej treści, które są niezbędne ze względu na cel zbierania danych. Relewantność (adekwatność) danych powinna być oceniania najpóźniej w momencie ich zbierania. Przyjmuje się, że np. pozyskanie dwóch form kontaktu (nr telefonu i adres e-mail) od osoby, której dane dotyczą jest nadmiarowe i stanowi naruszenie.

  1. Co to jest naruszenie ochrony danych osobowych?

Naruszenie ochrony danych osobowych to pojedyncze zdarzenie lub seria zdarzeń, związanych z bezpieczeństwem danych, które zagrażają ich poufności, dostępności lub integralności. Nie tylko ujawnienie danych osobowych jest incydentem, może być to także modyfikacja danych osobowych oraz brak dostępności danych osobowych. Dodać trzeba, że incydent dotyczy nie tylko danych osobowych, ale szeroko rozumianych zasobów systemu informatycznego, takich jak: osoby, usługi, oprogramowanie, dane, sprzęt i inne elementy mające wpływ na bezpieczeństwo przetwarzanych danych.

Naruszeniem ochrony danych osobowych jest np. ujawnienie danych osobie nieuprawnionej, publikowanie na stronach internetowych bez podstawy prawnej informacji zawierających dane osobowe takie jak: imię i nazwisko, numer PESEL, nr indeksu, nr telefonu czy ocena z egzaminu. Naruszeniem ochrony danym może być także: wysyłanie pocztą elektroniczną adresów innych adresatów, wrzucenie dokumentów do kosza zamiast do niszczarki, niewystarczające zabezpieczenie danych na stacjach roboczych – brak: haseł dostępu, ochrony antywirusowej itp.