Sprawdź, co na Ciebie czeka!

Absurdy i mity RODO – phm. Olga Skotnicka

UDOSTĘPNIJ
/
90
Absurdy i mity RODO – phm. Olga Skotnicka

Po niemal roku obowiązywania RODO (Rozporządzenia o Ochronie Danych Osobowych) nadal zastanawiamy się nad prawidłowością przetwarzania tych danych, z którymi w ZHP mamy styczność na co dzień. Nasuwają się pytania: Czy mogę przetwarzać dane mojej drużyny/gromady? Jeśli tak, to w jaki sposób, komu mogę je przekazać? I jak długo te dane mogę przechowywać?

Coraz częściej słyszę w hufcu i chorągwi tłumaczenie ,,…bo RODO”! Z reguły – zupełnie niepotrzebnie. Niektórzy uznali, że wejście w życie RODO oznacza całkowity zakaz używania danych osobowych w codziennym życiu. Strach przed złamaniem nowych przepisów, ogromnymi karami finansowymi i odpowiedzialnością jest tak duży, że skala nadinterpretacji, wsparcie niedouczonych i nierzetelnych ,,pseudospecjalistów’’ od danych osobowych, np. na forach, spowodowała całkowity paraliż w życiu codziennym.

Właśnie dlatego, że zawodowo zajmuję się RODO, chciałabym, aby każdy po przeczytaniu tego artykułu uświadomił sobie, że RODO ma stanowić dla nas wsparcie, logiczne zabezpieczenie naszych danych i danych naszych podopiecznych.

W myśl ustawodawcy rozporządzenie ma na celu przyczyniać się do tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości, a przede wszystkim do zorganizowania przetwarzania danych osobowych w taki sposób, aby służyło ludzkości, a nie paraliżowało codzienność.

Dlatego chcę tu wprowadzić was do świata RODO, a jednocześnie wyprowadzić z jego absurdów. Będę starała się przedstawić wam ten temat przejrzyście, bez powoływania się na niezrozumiałe przepisy RODO i z pominięciem trudnego do zrozumienia języka prawnego. Skupię się natomiast na jego praktycznej części. Oczywiście definicje mają kluczowe znaczenie do zrozumienia całości – stąd krótkie informacje w ramkach.

Przed przejściem do dalszych rozważań czuję się w obowiązku wyjaśnić, kim jest administrator i kto pełni tę rolę w ZHP. Administratorem danych jest ten, kto decyduje o celach i sposobach przetwarzania danych. W naszej organizacji bywa różnie – czasem administrator jest jeden (ZHP lub chorągiew), czasem jest ich dwóch – możliwe jest współadministrowanie (ZHP i chorągiew), w zależności od podejmowanych działań. W przypadku ewidencji ZHP – administratorem będzie ZHP i chorągiew, w przypadku obozów hufcowych – chorągiew, a w przypadku zdobywania sprawności – administratorem będzie chorągiew lub ZHP. Sami widzicie – analizę trzeba rozpocząć zawsze od ustalenia, kto przy danym procesie będzie decydował o celach i sposobach przetwarzania danych, kto ma na to największy wpływ.

Administrator jest odpowiedzialny za nałożone sankcje. Pamiętajmy jednak, że każdy z nas z osobna i wspólnie ponosimy odpowiedzialność za swoje działania i za proces przetwarzania danych.

RODO – CO TO TAKIEGO I JAK SIĘ MA DO ZHP?

Pewnego pięknego dnia w maju 2018 r. zaczęło obowiązywać RODO. Intencjonalnie mówię o obowiązywaniu, gdyż przepisy wprowadzone zostały już w 2016 r., ale wtedy nikt się nad tym nie zastanawiał, bowiem był to okres przejściowy na dostosowanie się do przepisów.

Myślę, że każdy z nas odpowiedział już sobie na pytanie – czy RODO dotyczy ZHP. Otrzymaliśmy opracowaną dokumentację, wytyczne, zgody, obowiązki informacyjne i inne rejestry, dzięki którym jesteśmy w zgodzie z RODO. A przynajmniej powinniśmy być – jeżeli je wdrożyliśmy. Ale mam nadal wrażenie, że nie zawsze radzimy sobie z codziennością. A przetwarzamy na dużą skalę dane osób fizycznych, członków gromad zuchowych, drużyn harcerskich, wędrowniczych, przybocznych, zastępowych, instruktorów i seniorów. Począwszy od przyjęcia w poczet członków ZHP, nadania przydziału służbowego, egzekwowania obowiązku opłacania składek członkowskich, po ewidencję ZHP czy organizację wszelkich rajdów/biwaków/obozów, a także zapisywania danych w notatnikach. Przetwarzamy też dane rodziców niepełnoletnich członków ZHP. To tylko kilka przykładów przetwarzania danych w ZHP – głównych. Ale przecież jest ich więcej.

To moment, aby uświadomić sobie, czym są dane osobowe. Kiedy je przetwarzamy? Dane osobowe możemy podzielić na:

➢ dane zwykłe,
➢ dane szczególnej kategorii (dane wrażliwe).

Zaczniemy od danych zwykłych. Katalog tych danych nie jest zamknięty, a więc można wymieniać w nieskończoność. Chciałabym zwrócić waszą szczególną uwagę na to, że nie każda, pojedyncza informacja o jakiejś osobie (np. imię i nazwisko) będzie zawsze stanowiła dla nas daną osobową, a co za tym idzie – skoro coś nie stanowi danej osobowej, nie podlega restrykcjom RODO.

Dla przejrzystości – podam przykład. Kiedy pytam podczas szkolenia, czym są dla was dane osobowe, zwykle słyszę: imię i nazwisko, data urodzenia, pesel, adres zamieszkania, adres e- mail, telefon itd. Wtedy zadaję pytanie, czy aby na pewno? Czy Jan Kowalski – to dana, która pozwala nam na identyfikację konkretnej, danej osoby fizycznej? Przecież według definicji, właśnie tak określane są dane osobowe – muszą pozwalać na identyfikację danej osoby. Czy jeżeli na szkoleniu mówię o Janie Kowalski, który przyczynił się do incydentu, naruszam jego prawa? Czy naprawdę wiecie, o którym Janie Kowalskim mówię? To właśnie pokazuje, że nie każda ,,dana osobowa” występująca w pojedynkę stanowi taką daną.

Chciałabym jednak was uczulić – gdybym mówiła o osobie z waszego hufca, z waszej drużyny/gromady, imię i nazwisko byłoby niecodzienne – bo mielibyśmy do czynienia np. z jedynym obcokrajowcem w hufcu albo zwyczajnie byłoby wyróżniające się, to pozwalałoby na identyfikację konkretnej osoby fizycznej.

Druga ważna rzecz – gdybym nawiązywała do osoby, podając jej imię i nazwisko i np. adres zamieszkania, czyli połączenie dwóch danych, ta identyfikacja byłaby niewspółmiernie łatwiejsza, a nawet powiedziałabym możliwa.

Stąd moja rekomendacja: zanim stwierdzimy, czy coś jest daną osobową – zastanówmy się, czy według definicji pozwala nam/innym na identyfikację danej osoby fizycznej. Co istotne, informacje te nie muszą, jak wynika z powyższego, identyfikować wprost danej osoby, jak to jest w przypadku imienia i nazwiska. Wystarczająca będzie także pośrednia możliwość powiązania określonej informacji z konkretną osobą. Oczywiście dla nas jako drużynowych nasz podopieczny zawsze będzie identyfikowalny – przecież znakomicie znamy swoją drużynę/gromadę, ale dla innych już niekoniecznie. Pamiętajmy też, że często podajemy dane w postaci imienia i nazwiska z nazwą drużyny/gromady. To może również pozwalać na szybszą identyfikację. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Innymi słowy, identyfikacja nie musi nastąpić wprost, może nastąpić przez powiązane różnych danych, co doprowadzi ostatecznie do ustalenia tożsamości danej osoby. Jeśli zatem na podstawie wymienionych przykładów lub ich powiązań jesteśmy w

stanie zidentyfikować osobę fizyczną, informacje te należy uznać za dane osobowe.

Kiedy więc przetwarzamy dane osobowe zwykłe? Każdego dnia, np. tworząc listę swoich podopiecznych, zbierając karty obozowe, zaglądając do ewidencji ZHP itd.

Czy mamy do tego prawo? Mamy – ale pamiętajmy, że każda osoba z naszego hufca, która przetwarza dane, czyli drużynowi/przyboczni, powinna mieć nadane upoważnienia do przetwarzania danych osobowych. I wówczas mamy pewność, że dane te będą przetwarzane zgodnie z regulacjami RODO i z pełną odpowiedzialnością.

Pamiętajmy też o ważnym czynniku, jakim jest szkolenie. Uważam, że każdy, kto uzyskuje upoważnienie do przetwarzania danych, powinien wcześniej odbyć praktyczne szkolenie, aby zostać uświadomionym, jakie wymagania stawia RODO, jak w praktyczny sposób stosować jego wymagania w ZHP i samodzielnie korzystać z przygotowanych wzorów – klauzul i zgód oraz w jaki sposób należy przechowywać takie dane. Jeżeli świadomość naszych instruktorów będzie większa, istnieje mniejsze ryzyko, że dojdzie do naruszenia ochrony danych osobowych, a w tym naruszenia praw i wolności członków ZHP. Przebyte szkolenia powinny być uwierzytelnione podpisem osoby w niej uczestniczącej.

Druga grupa danych osobowych, to dane szczególnej kategorii (dane wrażliwe) – jako katalog zamknięty, a ich naruszenie może mieć poważniejsze konsekwencje niż w przypadku naruszenia zwykłych danych osobowych. Spójrzmy proszę na definicję i zastanówmy się, kiedy dochodzi do przetwarzania takich danych? Odpowiedź nasuwa się niezwłocznie.

Na pewno pochodzenie rasowe lub etniczne, przekonania religijne lub światopoglądowe czy dane dotyczące zdrowia. Oczywiste jest, że pochodzenie rasowe oceniamy w sposób

bezpośredni, o przekonaniach religijnych możemy mówić w sytuacji powiązanej z udziałem w mszy świętej podczas wyjazdu z drużyną, chociażby podczas obozów, a o stanie zdrowia uzyskujemy dość szczegółowe informacje w karcie kwalifikacyjnej. A więc przetwarzamy dane szczególnej kategorii.

Chciałabym wspomnieć również o wizerunku. Czasem spotykam się z poglądem, że każde zdjęcie zawierające wizerunek jakiejś osoby, umożliwiający jej rozpoznanie, stanowi dane szczególnej kategorii wg RODO, a co za tym idzie – wymaga szczególnej ochrony. Dodatkowo przetwarzanie takich danych skutkuje koniecznością spełnienia jednej ze szczególnych przesłanek wskazanych w przepisach.

Czy rzeczywiście każde zdjęcie jakiejś osoby zawiera dane wrażliwe? Nie do końca.

Innymi słowy, co do zasady wizerunek jakiejś osoby uwieczniony na zdjęciu lub nagraniu nie jest daną wrażliwą. Możemy więc traktować go jak inne „zwykłe” dane osobowe i przetwarzać dokładnie na podstawie tych samych przepisów. Ale gdy będziemy używać algorytmów i mechanizmów, które np. automatycznie skanują twarz i przyporządkowują wizerunek twarzy do konkretnej osoby (np. w celu odblokowania naszego telefonu komórkowego), będziemy mieli do czynienia z danymi biometrycznymi. To już są dane szczególnej zgodnie z RODO kategorii.

Tym samym, generalnie nasz wizerunek (w większości przypadków) to po prostu dane osobowe, które są chronione tak jak każde inne. Nie podlegają one szczególnym rygorom dotyczącym danych wrażliwych.

Wiemy już, czym są dane osobowe, wiemy, że dzielimy je na zwykłe i szczególnej kategorii. To teraz kilka tematów praktycznych – z którymi spotykam się podczas szkoleń.

CZY ADRES MAILOWY JEST DANĄ OSOBOWĄ?

Budzi to zazwyczaj duże kontrowersje. Czy każdy adres mailowy będzie daną osobową? Oczywiste jest, że nie ma przeszkód, by zidentyfikować konkretną osobę dzięki adresowi e- mail, jeżeli zawiera on imie.nazwisko@domena.pl. Proces identyfikacji jest łatwy, nie wymaga dużego nakładu kosztów ani pracy. Jest więc to dana osobowa, która wymaga ochrony. Nie uznamy za daną osobową adresu e-mail, który zawiera nazwę fikcyjnej postaci lub pseudonimu, czyli pseudonim@domena.pl. Taki adres nie pozwala bowiem zidentyfikować konkretnej osoby w prosty sposób. Zawsze będzie można namierzyć i zidentyfikować taką osobę na podstawie numeru IP i innych danych, jednak proces ten wymaga wiedzy specjalistycznej, umiejętności, odpowiedniego oprogramowania i czasu. To z kolei dyskwalifikuje uznanie takiego adresu e-mail za daną osobową. Należy pamiętać, że ustawodawca założył, że tożsamość osoby możliwej do zidentyfikowania wystarczy określić jedynie pośrednio. Warto więc patrzeć, co konkretnie zawiera domena adresu e-mail.

Trzeba zwrócić szczególną uwagę przy tworzeniu firmowych adresów e-mail. Jeżeli adres e- mail będzie skonstruowany według wzoru: stanowisko@nazwafirmy.pl, a dane osoby, która piastuje stanowisko, są powszechnie dostępne i wystarczy sprawdzić to na stronie internetowej firmy, można uznać taki adres e-mail za daną osobową. Ponieważ stosunkowo szybko i bez podejmowania szczególnie skomplikowanych działań możemy zidentyfikować osobę, do której jest dany adres przypisany. Z reguły więc adres mailowy będzie daną osobową.

ZUCH, HARCERZ JAKO NUMER EWIDENCYJNY – JEST RODO

Gorąca prośba – nie popadajmy w skrajności! RODO mówi, że dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Możemy zatem przetwarzać tylko takie informacje, które są nam niezbędne. Nie możemy gromadzić danych nadmiarowo, na przykład po to, by wykorzystać je w przyszłości, jeśli nie są one nam potrzebne. Zapamiętajmy sobie jedną właściwą zasadę – dane osobowe można pozyskiwać i wykorzystywać tylko w niezbędnym zakresie. Czyli jeżeli naszym celem jest transport autokarem i niezbędne jest stworzenie listy z imieniem i nazwiskiem oraz PESELEM, to nie twórzmy dodatkowo kolumny z danymi zamieszkania albo numerem kontaktowym.

A co jeśli chcemy stworzyć listę wyłącznie na swoje potrzeby? Listę, po której tylko MY – jako instruktorzy będziemy w stanie zidentyfikować osobę fizyczną? Są dwie możliwości – możemy zastąpić imię i nazwisko numerem ewidencyjnym (który może być identyfikowalny jedynie przez członków ZHP, którzy mają do tego prawo) lub wpisanie imienia i pierwszej litery nazwiska – dla instruktora będzie to identyfikowalne, dla osoby obcej, która np. otrzymałaby wgląd do listy z danymi, bo została ona zgubiona/zostawiona w miejscu niewłaściwym, nie będzie stanowiło to danej osobowej. Jakie są zalety takiej sytuacji? Nawet jeśli doprowadzilibyśmy nieumyślnie do incydentu, to w przypadku braku możliwości identyfikacji osoby fizycznej – nie będzie mowy o naruszeniu danych osobowych.

Warto też wspomnieć o korzystaniu z dysków zewnętrznych, prywatnego pendriva, laptopa. Pamiętajmy o zabezpieczeniu danych przez zaszyfrowanie plików z danymi osobowymi wysyłanych mailem, zapisywaniem plików w ,,chmurze” lub na dyskach/pendrivach zabezpieczonych. Ważne jest również blokowanie ekranu monitora, gdy się od niego odchodzi (odblokowanie oczywiście na hasło), podczas spotkań, wyjazdów. Wspomnieć muszę również o potrzebie korzystania wyłącznie z poczty zhp.net.pl. Powinniśmy zdecydowanie zrezygnować z wysyłania maili z danymi osób fizycznych czy informacjami do osób, które nie mają konta w harcerskiej domenie. Dlaczego ważne jest szyfrowania dysków laptopa czy zewnętrznych dysków? W przypadku ich zaginięcia/zgubienia nie będziemy mieli do czynienia z naruszeniem. W naszej organizacji często, niestety, korzystamy z laptopów prywatnych, wiąże się to z dużym ryzykiem naruszenia praw i wolności osób fizycznych. Zwracajmy wówczas szczególną uwagę na zabezpieczenia, które wskazuję powyżej.

PRZYNALEŻNOŚĆ DO ZHP i „obowiązek informacyjny”

Dla większości z nas niezrozumiała jest jego długość! Informowanie osób, których dane dotyczą, o przetwarzaniu ich danych osobowych, stanowi jeden z podstawowych obowiązków administratora danych. Jeden z ważniejszych. Pierwsze nadana przez PUODO kara administracyjna dotyczyła właśnie braku spełnienia obowiązku informacyjnego wobec osób, których dane były przetwarzane.

Obowiązek informacyjny spełnia się w trzech sytuacjach:

  • przy zbieraniu danych, od osoby, której dane dotyczą (członkostwo do ZHP),
  • przy zbieraniu danych w sposób inny niż od osoby, której dane dotyczą (od osoby

    trzeciej, a nie bezpośrednio od członka),

  • w przypadku aktualizacji danych.

    Uwaga, bardzo ważne! Jeżeli cel, kategoria danych, jego zakres itd. pozostają niezmienne, obowiązek informacyjny spełniamy tylko raz. Tylko w przypadku aktualizacji którejś z informacji należy spełnić obowiązek ponownie, uwzględniając zmianę. W przypadku realizacji innego celu, który nie został umieszczony w obowiązku w przynależności do ZHP, musimy spełnić oddzielny obowiązek informacyjny.

    A teraz najczęściej spotykane pytania.

1. Kto w ZHP może przetwarzać dane i w jaki sposób?

➢ Przetwarzać dane może wyłącznie osoba upoważniona do tego – upoważnienia powinny być nadawane kolejno, np. przez komendanta chorągwi komendantom hufców ze stosownym pełnomocnictwem do nadania upoważnień instruktorom z hufca.

➢ Fakt nadania upoważnienia powinien być uwierzytelniony i udokumentowany. W rejestrze takim powinna widnieć informacja: imię i nazwisko osoby upoważnionej, zakres upoważnienia, data nadania upoważnienia, data odebrania/blokowania upoważnienia i imię i nazwisko osoby, która nadała upoważnienie. Nie zawsze bowiem upoważnienie nadawać będzie np. komendant chorągwi – może on bowiem z odpowiednim pełnomocnictwem wyznaczyć do tego właściwą osobę.

➢ Kiedy mówimy o blokowaniu upoważnień – np. gdy instruktorka przebywa na urlopie macierzyńskim – wówczas nie powinna mieć dostępu do danych; a kiedy o odebraniu – np. w sytuacji usunięcia z ZHP. I pamiętajmy, że działania o faktycznym odebraniu dostępu do danych osobowych powinniśmy podejmować niezwłocznie.

➢ I ostatnia bardzo ważna informacja – zwracajmy uwagę, komu nadajemy upoważnienie, musi być to osoba absolutnie odpowiedzialna. Pamiętajmy, że powierzamy jej dane osobowe.

➢ Jeżeli mamy jakiekolwiek wątpliwości – skontaktujmy się z inspektorem danych osobowych.

2.

Dofinansowania od różnych instytucji

➢ Przy składaniu wniosku o dofinansowanie przeczytajmy warunki oferty – organy państwowe również powinny być dostosowane do RODO.

➢ Sprawdźmy, jakich danych naszych podopiecznych żąda dana instytucja – czy przypadkiem nie są to dane nadmiarowe?

➢ Poinformujmy rodziców niepełnoletnich członków o potrzebie zebrania danych, spełnijmy obowiązek informacyjny, wskazując na podstawę przetwarzania konkretnych danych i udostępnienia ich właściwym podmiotom. Nawet jeżeli te dane się powtarzają, bo przetwarzamy je w ewidencji, pamiętajmy, że zmianie uległ cel przetwarzania!

➢ Jeżeli mamy jakiekolwiek wątpliwości – skontaktujmy się z inspektorem danych osobowych.

Okres przechowywania danych

➢ Po zakończeniu przetwarzania dane powinny zostać usunięte lub też przekazane podmiotowi uprawnionemu ustawowo do ich przejęcia od administratora (w przypadku np. powierzenia danych).

➢ Z uwagi na powierzenie danych innym podmiotom, miejmy na uwadze to, żeby podpisać właściwą umowę powierzenia – skonsultujmy ją z inspektorem danych osobowych.

➢ Administrator powinien: oszacować okres przechowywania danych już w chwili ich pozyskania i poinformować zainteresowane osoby o przewidywanym okresie przechowywania danych.

➢ Jeśli z różnych przyczyn administrator nie jest w stanie powiedzieć wprost, jaki jest okres przetwarzania danych, powinien wskazać kryteria ustalania tego okresu – np. wykonanie umowy.

➢ Możemy korzystać z opracowanego dokumentu – retencji danych, zapewne okaże się bardzo pomocny.

➢ Pamiętajmy – przy spełnieniu obowiązku powinniśmy wskazać właściwy czas przetwarzania danych.

➢ Jeżeli mamy jakiekolwiek wątpliwości – skontaktujmy się z inspektorem danych osobowych.

Przechowywanie danych i ich zabezpieczenie

➢ Dane powinny być zawsze przechowywane w miejscu niedostępnym dla osób nieupoważnionych, tzn. nie powinniśmy zostawiać karty kwalifikacyjnej, listy uczestników na biurku, w namiocie czy w autokarze.

➢ Ważne jest, aby zabezpieczenia były dostosowane do sytuacji – dobrze byłoby przechowywać dane w zamkniętym pomieszczeniu, jeżeli jednak sytuacja na to nie pozwala, to w sposób uniemożliwiający dostęp innym osobom.

➢ Laptopy – jak wyżej. Odpowiednio zabezpieczone, szczególnie podczas wyjazdów – rekomenduje się posiadanie zaszyfrowanego dysku/pendrive’a;

3.

4.

➢ Jeżeli mamy jakiekolwiek wątpliwości – skontaktujmy się z inspektorem danych osobowych.

Mam nadzieje, że artykuł pozwolił wam zrozumieć główną ideę ustawodawcy stojącą za RODO, rzecz w tym, by dane osobowe były zbierane i wykorzystywane w sposób rzetelny, z odpowiednią przesłanką legalności, np. za naszą dobrowolną zgodą i w sposób celowy.

A WSZELKIE ABSURDY I MITY – TO TYLKO BRAK ZNAJOMOŚĆI RODO!

I pamiętajmy – jeżeli mamy jakąkolwiek wątpliwość – nie wiemy, czy właściwie przetwarzamy dane osobowe, czy w odpowiedni sposób je przekazujemy – skontaktujmy się z naszym inspektorem ochrony danych!

Życzę powodzenia w przetwarzaniu danych osobowych.

phm. Olga Skotnicka
Hufiec Pałuki
prawnik, specjalista przetwarzania danych osobowych

RAMKI

„RODO”, zwane także „GDPR” lub „Ogólnym Rozporządzeniem o Ochronie Danych” to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

„Dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

„Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

„Podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

„Przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

„Zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

,,Dane szczególnej kategorii’’ Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

W kolejnym artykule:

Checklista – zbieram dane i co muszę zrobić?
Komisje – a zbieranie danych?
Pierwsze kary nadane przez PUODO – czego dotyczą i jak się ma do tego ZHP? Prawa osób fizycznych – chce skorzystać z prawa do bycia zapomnianym? Podstawy prawne przetwarzania danych zwykłych i szczególnej kategorii danych?

%d bloggers like this: