Wspieraj Caritas

Informacje o RODO

Podstawy prawne i definicje

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) jest podstawą prawną przetwarzania danych osobowych w Unii Europejskiej mającą zastosowanie od 25 maja 2018 roku.

Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Szczególne kategorie danych – oznaczają następujące kategorie danych: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.

Przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Zbiór danych – oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.

Administrator – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Zgoda osoby, której dane dotyczą – oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

 

Przetwarzanie danych osobowych

Jakiekolwiek operacje na danych są zgodne z prawem, jeśli spełniony jest przynajmniej jeden z poniższych warunków:

  1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą;
  3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby;
  5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym;
  6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.

Przetwarzanie szczególnych kategorii danych jest zabronione, chyba że jest spełniony przynajmniej jeden z warunków:

  1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach;
  2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej;
  3. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
  4. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
  5. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
  6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
  7. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego;
  8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy;
  9. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, jak ochrona przed poważnymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych;
  10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.

 

Prawo do zwięzłej, przejrzystej i zrozumiałej informacji ze strony administratora

Osoba, której dane dotyczą ma prawo uzyskiwać od administratora wszelkie informacje dotyczące realizacji obowiązku informacyjnego oraz do komunikacji z administratorem w związku z realizacją swoich praw. Osoba może uzyskać informacje pisemnie, w tym elektronicznie, oraz ustnie, jeśli tego zażąda. Z kolei administrator jest zobowiązany udzielić żądanych informacji bezzwłocznie, a przynajmniej do miesiąca. Jeśli administrator nie podejmuje takich działań, to musi zakomunikować to osobie, która skierowała do niego żądanie w tych samych terminach. Udzielenie informacji jest bezpłatne, chyba że ma ustawiczny charakter. Wówczas administrator może pobrać opłatę, uwzględniając koszty administracyjne, albo odmówić podjęcia działań.

 

Prawo do bycia poinformowanym

Administrator jest zobowiązany na podstawie podać osobie, od której zbiera dane osobowe następujące informacje: swoją tożsamość i dane kontaktowe oraz swojego przedstawiciela, dane kontaktowe inspektora ochrony danych, cel przetwarzania danych osobowych i podstawę prawną, jeśli podstawą przetwarzania jest prawnie uzasadniony interes treść tego interesu, informacje o odbiorcach lub kategoriach odbiorców, informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, okres przechowywania danych lub kryteria ustania tego okresu, informacje o prawach do dostępu do danych, ich sprostowania, usunięcia i przenoszenia oraz o prawach do sprzeciwu wobec przetwarzania i ograniczeniu przetwarzania, informacje o prawie do cofnięcia zgody, informacje o prawie wniesienia skargi do organu nadzorczego, informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i określenia konsekwencji niepodania danych, informacje o zautomatyzowanym podejmowaniu decyzji i istotnych zasadach ich podejmowania, znaczeniu i przewidywanych konsekwencjach dla osoby, której dane dotyczą.

 

Prawo dostępu przysługujące osobie, której dane dotyczą

Osoba, której dane dotyczą może, na żądanie, uzyskać od administratora potwierdzenie, że przetwarzane są dane osobowe jej dotyczące, a wówczas jej uprawniona do dostępu do nich oraz następujących informacji o celach przetwarzania, kategoriach danych osobowych, odbiorcach lub kategoriach odbiorców, zabezpieczeniach, planowanym okresie przechowywania danych osobowych, prawie do wniesienia skargi do organu nadzorczego i źródłach pozyskania danych. Ponadto administrator dostarcza kopię przetwarzanych danych osobowych, a za kolejne kopie może pobrać stosowną opłatę.

Prawo do sprostowania danych

Osobie, której dane dotyczą przysługuje prawo do żądania od administratora niezwłocznego sprostowania swoich danych, jeśli są nieprawidłowe. Ponadto, może zażądać również uzupełnienia niekompletnych danych, jeśli jest to zgodne z celem przetwarzania.

 

Prawo do usunięcia danych („prawo do bycia zapomnianym”)

Osoba, której dane dotyczą może zażądać od administratora usunięcia dotyczących jej danych osobowych, jeśli zachodzi jedna z podanych okoliczności: dane osobowe nie są już niezbędne do celów, w których były przetwarzane; osoba, której dane dotyczą cofnęła zgodę i nie ma innych podstaw do przetwarzania; osoba, której dane dotyczą sprzeciwiła się wobec przetwarzania i nie istnieje nadrzędna i prawnie uzasadniona podstawa przetwarzania lub osoba, której dane dotyczą sprzeciwia się marketingowi bezpośredniemu; dane osobowe były przetwarzane niezgodnie z prawem; administrator musi wywiązać się z obowiązku prawnego Unii bądź państwa członkowskiego, którym podlega; dane osobowe zostały zebrane w celu oferowania usług społeczeństwa informacyjnego od dziecka, które nie ukończyło 16 lat.

Administrator musi niezwłocznie wykonać to żądanie. Jeśli upublicznił te dane to, podejmując rozsądne działania i biorąc pod uwagę technologię i koszt realizacji, informuje administratorów przetwarzających te dane o żądaniu osoby.

Administrator jest zwolniony z powyższych obowiązków, jeśli przetwarzanie jest niezbędne do: korzystania z prawa do wolności wypowiedzi; wywiązania się z obowiązku prawnego Unii bądź państwa członkowskiego, którym podlega lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej; zachowania interesu publicznego w dziedzinie zdrowia publicznego; celów archiwalnych w interesie publicznym, badań naukowych, historycznych lub statystycznych, jeśli prawo to utrudnia realizację tych celów; ustalenia, dochodzenia lub obrony roszczeń.

 

Prawo do ograniczenia przetwarzania

Osoba, której dane dotyczą może zażądać od administratora ograniczenia przetwarzania (tj. zaprzestania przetwarzania poza przechowywaniem), jeśli zachodzi jedna z podanych okoliczności: osoba ta kwestionuje prawidłowość przetwarzanych danych osobowych, a przetwarzanie ogranicza się na okres wyjaśnienia nieprawidłowości; przetwarzanie jest niezgodne z prawem, ale osoba, której dane dotyczą sprzeciwia się ich usunięciu, żądając w zamian ograniczenia przetwarzania; administrator nie potrzebuje danych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą do ustalenia, dochodzenia lub obrony roszczeń; osoba, której dane dotyczą wniosła sprzeciw wobec przetwarzania, wówczas przetwarzanie ogranicza się na czas stwierdzenia czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu.

Dane osobowe ograniczone tym prawem można przetwarzać tylko jeśli: osoba, której dane dotyczą wyraziła na to zgodę; do ustalenia, dochodzenia lub obrony roszczeń; w celu ochrony praw innej osoby fizycznej lub prawnej; z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego; a osoba, której dane dotyczą zostanie o tym poinformowana.

Prawo do przenoszenia danych

Osoba, której dane dotyczą, ma prawo otrzymać dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe, jeśli podstawą przetwarzania jest zgoda lub wykonanie umowy; oraz przetwarzanie odbywa się w sposób zautomatyzowany. Osoba, której dane dotyczą może zażądać od administratora przesłania tych danych innemu administratorowi, jeśli jest to technicznie możliwe. Prawo to nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

 

Prawo do sprzeciwu wobec przetwarzania

Osoba ma prawo w dowolnym momencie wnieść sprzeciw z przyczyn związanych z jej szczególną sytuacją wobec przetwarzania dotyczących jej danych osobowych, w tym profilowania, jeśli podstawą tego przetwarzania jest: wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; prawnie uzasadniony interes realizowany administratora lub stronę trzecią. Wówczas administrator nie może już przetwarzać danych, chyba że wykaże istnienie innych ważnych prawnie uzasadnionych podstaw przetwarzania nadrzędnych wobec interesów osoby, której dane dotyczą.

Jeśli dane są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, może wnieść sprzeciw w dowolnym momencie. Wówczas administrator nie może już przetwarzać danych w tym celu.

 

Prawa w związku z zautomatyzowanym przetwarzaniem, w tym profilowaniem

Osoba, której dane dotyczą, ma prawo nie podlegać decyzjom opartym wyłącznie o zautomatyzowane przetwarzanie, w tym o profilowanie, jeśli wywołuje to wobec niej skutki prawne lub wpływa w inny istotny sposób. Prawo to nie przysługuje osobie, jeśli decyzja ta: jest niezbędna do zawarcia lub wykonania umowy między nią a administratorem; jest dozwolona prawem Unii lub prawem państwa członkowskiego, którym podlega administrator i przewiduje właściwe środki ochrony praw, wolności i interesów osoby; opera się na wyraźnej zgodzie osoby.

Osoba, której dane dotyczą, ma prawo by decyzje te nie opierały się na szczególnych kategoriach danych osobowych, poza przypadkami kiedy: wyraża na to zgodę; przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

Prawo do wyrażenia zgody i jej wycofania

Na administratorze spoczywa obowiązek wykazania, że zgoda została uzyskana prawidłowo. Ponadto, zgoda musi być wyodrębniona spośród innych zagadnień, jeśli jest wyrażana na piśmie, a także być sformułowana prostym i zrozumiałym językiem. Administrator musi także poinformować osobę, której dane dotyczą o prawie do wycofania zgody w dowolnym momencie jeszcze przed jej wyrażeniem. Jeśli część oświadczenia jest niezgodna z RODO, wówczas zgoda jest nieważna; podobnie, gdy od jej wyrażenia jest uwarunkowane wykonanie umowy.

Wyrażenie zgody przez dziecko w przypadku usług społeczeństwa informatycznego (np. portale społecznościowe) wymaga ponadto, aby zgodę wyraził lub zaaprobował rodzic lub prawny opiekun. Dotyczy to dzieci do lat 16 (państwo członkowskie może obniżyć ten wiek do 13 lat; polski ustawodawca nie zdecydował się na takie rozwiązanie).

Wyraźna zgoda jest też jednym z możliwych warunków przetwarzania szczególnych kategorii danych osobowych.

 

Prawo do bycia poinformowanym o naruszeniu ochrony danych

Osoba, której dane dotyczą ma prawo uzyskać informacje o naruszeniu ochrony jej danych, jeśli to naruszenie może powodować wysokie ryzyko naruszenia innych jej praw lub wolności. Taka informacja musi prosto i jasno opisywać charakter naruszenia, wskazać dane kontaktowe Inspektora ochrony danych, opisywać możliwe konsekwencje oraz zastosowane środki ochrony.

Administrator nie musi realizować tego prawa w czterech przypadkach: wdrożył odpowiednie środki techniczne i organizacyjne ochrony, w szczególności szyfrowanie, lub wdrożył środki eliminujące wysokie ryzyko, lub wymagałoby to niewspółmiernie dużego wysiłku, lub organ nadzorczy orzekł, że został spełniony któryś z wcześniejszych warunków.

 

Prawo do kontaktowania się z Inspektorem ochrony danych

Osoba, której dane dotyczą może kontaktować się z właściwym Inspektorem administratora, podmiotu przetwarzającego lub ich przedstawicieli w celu uzyskania informacji o przetwarzaniu swoich danych lub uzyskania informacji o prawach przysługujących jej na mocy RODO.

 

Prawo do wniesienia skargi do organu nadzorczego

Każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza rozporządzenie.

 

Prawo do skutecznego środka ochrony prawnej przed sądem

Każda osoba fizyczna lub prawna ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej.

Każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy rozporządzenia zostały naruszone w wyniku przetwarzania jej danych osobowych.

 

Prawo do odszkodowania

Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Administrator odpowiada za szkody spowodowane przetwarzaniem naruszającym przepisy rozporządzenia, zaś podmiot przetwarzający odpowiada w zakresie niedopełnienia obowiązków wynikających z rozporządzenia lub działania poza lub wbrew instrukcjom administratora.