7 minut czytania

RODO w działaniu – praktyczne spojrzenie na ochronę danych osobowych

dr Stanislaw Kuta, Doradca Zarządu Alwis&Secura
4 marca 2025

Ogólne rozporządzenie o ochronie danych, popularnie znane jako rozporządzenie o ochronie danych osobowych, RODO (z angielskiego General Data Protection Regulation), to rozporządzenie unijne, zawierające przepisy dotyczące ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych. Rozporządzenie to zostało przyjęte 27 kwietnia 2016 roku, ale zaczęło obowiązywać we wszystkich krajach Unii Europejskiej po dwuletnim okresie przejściowym (vacatio legis). W efekcie RODO obowiązuje od 25 maja 2018 roku, bez potrzeby wydawania aktów prawnych wdrażających je do porządku prawnego danego państwa. Niemniej jednak polski Sejm uchwalił nową ustawę o ochronie danych osobowych, która wdraża stosowanie Rozporządzenia Parlamentu Europejskiego i Rady (UE) o RODO do polskiego systemu prawa i ustanawia nowy organ do nadzoru, w postaci Prezesa Urzędu Ochrony Danych Osobowych.

Spis treści
  1. Cele i założenia RODO
  2. Początki wdrażania RODO i jego znaczenie w działalności agencyjnej
  3. 7 Kluczowych zasad przetwarzania danych osobowych
  4. RODO w praktyce – kluczowe zasady i obowiązki
  5. Naruszenie ochrony danych osobowych
  6. Obowiązek informacyjny w RODO
  7. Obowiązki administratorów danych osobowych w RODO
  8. Podsumowanie

Cele i założenia RODO

Podstawowym celem rozporządzenia RODO jest osiągnięcie pełnej harmonizacji prawa w ramach UE oraz zapewnienie swobodnego przepływu danych osobowych. W swoim założeniu ma zapewnić wszystkim mieszkańcom Unii Europejskiej lepszą kontrolę nad ich danymi osobowymi oraz ujednolicić przepisy, które umożliwiają firmom, organom państwowym i samorządowym ograniczanie biurokracji i korzystanie ze zwiększonego zaufania klientów – osób fizycznych. Rozporządzenie miało również na celu zaktualizowanie przepisów i dostosowanie ich do wymogów XXI wieku. Głównym zadaniem było wyeliminowanie zagrożeń wynikających z używania nowoczesnych technologii w przetwarzaniu danych osobowych. To ogólne rozporządzenie o ochronie danych jest częścią kompleksowego pakietu UE dotyczącego reformy ochrony danych, razem z jednolitą dyrektywą o ochronie danych w obszarze policji i wymiaru sprawiedliwości.

Początki wdrażania RODO i jego znaczenie w działalności agencyjnej

Wszyscy pamiętamy początki wdrażania tego rozporządzenia w naszym kraju. Wiele obaw się nie sprawdziło, a po okresie wstępnym, kiedy obserwowano liczne nadużycia i nieprawidłowości w praktycznym stosowaniu zasad RODO, weszliśmy w stabilny etap jego funkcjonowania – również w Alwis&Secura. Każda Osoba Fizyczna Wykonująca Czynności Agencyjne (OFWCA) – dystrybutor ubezpieczeń – wykonuje swoje obowiązki za pośrednictwem Alwisa na rzecz każdego konkretnego zakładu ubezpieczeniowego, na podstawie upoważnienia Zarządu Alwisa. Czynności te obejmują głównie: pozyskiwanie klientów, rozpoznawanie ich faktycznych potrzeb, oferowanie najlepszych rozwiązań ochrony ubezpieczeniowej, zawieranie umów ubezpieczenia, wystawianie polis oraz uczestniczenie w ich realizacji.

Tego rodzaju działalność praktycznie zawsze wiąże się z przetwarzaniem danych osobowych: ubezpieczających, ubezpieczonych, uposażonych i poszkodowanych. Podczas wykonywania czynności agencyjnych zbierane są różnorodne, niezbędne dane osobowe do przygotowania i zawarcia ubezpieczenia, takie jak: przeprowadzenie rozpoznania potrzeb (APK), ocena ryzyka, wybór najlepszego wariantu ubezpieczenia, identyfikacja ubezpieczającego i zawarcie ubezpieczenia. Z reguły są to dane podstawowe, ale w przypadku ubezpieczeń życiowych, osobowych i zdrowotnych, przetwarzane dane mogą mieć charakter „danych wrażliwych”, ponieważ dotyczą np. stanu zdrowia, stylu życia czy nałogów.

Problemy ochrony danych osobowych w Alwis&Secura od początku działalności znajdowały się na czołowym miejscu. Dlatego RODO nie było dla nas żadnym zaskoczeniem, a wdrożenie nowych zasad do praktyki dystrybucyjnej nie stanowiło problemu. Opracowane szczegółowe zasady działania zostały wprowadzone w życie i są skutecznie realizowane. W większości przypadków zasady te stały się naturalną częścią pracy OFWCA i są niemal automatycznie stosowane. Nie oznacza to jednak, że można zapomnieć o konieczności ich przypominania, weryfikacji działań i nadzorowania realizacji.

Celem tego artykułu jest przypomnienie zasad stosowania RODO – zarówno podstaw, jak i niektórych wybranych, bardziej szczegółowych problemów.

7 Kluczowych zasad przetwarzania danych osobowych

Na początku należy przypomnieć, że Rozporządzenie opiera się na siedmiu głównych zasadach przetwarzania danych osobowych, które są punktem wyjścia do wszystkich przepisów szczegółowych, opracowywanych procedur, instrukcji i regulaminów. Te zasady to:

  1. Zasada rzetelności, zgodności z prawem i przejrzystości (art. 5 ust. 1 lit. a)
    Oznacza to, że dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
  2. Zasada ograniczenia celu przetwarzania (art. 5 ust. 1 lit. b)
    Dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Dalsze przetwarzanie danych do celów archiwalnych w interesie publicznym, badań naukowych, historycznych lub statystycznych nie jest uznawane za sprzeczne z pierwotnymi celami (zgodnie z art. 89 ust. 1).
  3. Zasada minimalizacji danych (art. 5 ust. 1 lit. c)
    Zbierane dane osobowe muszą być adekwatne, stosowne i ograniczone do niezbędnego minimum. Oznacza to, że zakres przetwarzanych danych powinien być ograniczony do tego, co jest niezbędne do osiągnięcia celu ich przetwarzania. Każdy podmiot przetwarzający dane powinien dokonać selekcji i wybrać tylko te dane, które są konieczne.
  4. Zasada prawidłowości danych (art. 5 ust. 1 lit. d)
    Wszystkie dane osobowe muszą być prawidłowe i w razie potrzeby aktualizowane. Należy podjąć wszelkie rozsądne działania, aby nieprawidłowe dane zostały niezwłocznie usunięte lub sprostowane. W praktyce oznacza to konieczność wprowadzenia rozwiązań technicznych i organizacyjnych umożliwiających korygowanie danych.
  5. Zasada ograniczenia przechowywania danych (art. 5 ust. 1 lit. e)
    Dane osobowe muszą być przechowywane w sposób umożliwiający identyfikację osoby, której dane dotyczą, tylko przez czas niezbędny do realizacji celu przetwarzania. Wyjątkiem jest przechowywanie danych wyłącznie do celów archiwalnych, badań naukowych, historycznych lub statystycznych. Realizacja tej zasady wymaga wdrożenia procedur określających czas przechowywania danych lub cykliczne przeglądy danych.
  6. Zasada integralności i poufności (art. 5 ust. 1 lit. f)
    Dane osobowe muszą być przetwarzane w sposób zapewniający ich bezpieczeństwo, w tym ochronę przed nieuprawnionym przetwarzaniem, przypadkową utratą, zniszczeniem lub uszkodzeniem. Środki techniczne i organizacyjne zapewniające bezpieczeństwo danych muszą być dopasowane do specyfiki i ryzyka przetwarzania. Pojęcie „odpowiednich środków” jest niedookreślone i powinno być dostosowywane do indywidualnych przypadków.
  7. Zasada rozliczalności (art. 5 ust. 2)
    Administrator danych osobowych jest odpowiedzialny za przestrzeganie powyższych zasad i musi być w stanie wykazać ich realizację. Oznacza to konieczność dokumentowania procesów przetwarzania oraz uzasadniania podejmowanych decyzji.

RODO w praktyce – kluczowe zasady i obowiązki

Te podstawowe zasady RODO dotyczą wszystkich, którzy przetwarzają dane osobowe na terenie Unii Europejskiej. Nawet mała jednoosobowa działalność gospodarcza, np. OFWCA, jest zobowiązana do przestrzegania przepisów RODO. Nie ma przy tym znaczenia, gdzie odbywa się przetwarzanie danych ani gdzie znajdują się serwery. Dlatego wszystkie rozwiązania wdrożone przez Alwis&Secura, przestrzegane przez OFWCA, gwarantują bezpieczeństwo przetwarzanych danych.

Istotnym pytaniem jest, które dane stanowią „dane osobowe”, a które nie? Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, np. imię i nazwisko, PESEL, adres IP itd. Danymi osobowymi nie są takie dane, jak numer KRS, firmowy adres e-mail czy dane anonimowe, które nie pozwalają na identyfikację osoby. Warto podkreślić, że dane osobowe dotyczą wyłącznie osób fizycznych.

Ważne jest, aby wiedzieć, na czym polega przetwarzanie danych osobowych, ponieważ jego zakres jest znacznie szerszy niż w potocznym rozumieniu tego terminu. W przepisach RODO określenie „przetwarzanie danych” jest bardziej złożone i nie ogranicza się wyłącznie do zbierania czy wykorzystywania danych. W rozumieniu RODO przetwarzanie danych obejmuje cały szereg operacji, które można wykonywać na danych osobowych.

Zgodnie z art. 4 pkt 2 RODO, przetwarzanie to operacje lub zestaw operacji wykonywanych na danych osobowych lub ich zestawach, zarówno w sposób zautomatyzowany, jak i niezautomatyzowany, takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Jak wynika z powyższego, przetwarzanie danych to kompleksowy cykl działań związanych z posiadaniem i wykorzystywaniem danych osobowych.

Naruszenie ochrony danych osobowych

Każde niezgodne z przepisami ujawnienie danych osobowych – nawet nieświadome – stanowi naruszenie ochrony danych osobowych, zgodnie z art. 4 pkt 12 RODO. Naruszenie bezpieczeństwa może prowadzić do:

  • przypadkowego lub niezgodnego z prawem zniszczenia,
  • utraty,
  • modyfikacji,
  • nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Każde naruszenie musi być ewidencjonowane, zgłaszane i wyjaśniane, zgodnie z obowiązującymi procedurami. Naruszenie ochrony danych występuje, gdy dane, za które odpowiada firma lub organizacja, ucierpiały w wyniku incydentu zagrażającego ich bezpieczeństwu, w szczególności jeśli naruszona została poufność, dostępność lub integralność posiadanych danych.

Za nieprzestrzeganie zasad bezpieczeństwa RODO oraz niewłaściwą reakcję na incydenty grożą wysokie kary, określone w rozporządzeniu. Dlatego każda organizacja przetwarzająca dane osobowe powinna mieć wdrożone odpowiednie mechanizmy zapobiegania, wykrywania oraz reagowania na potencjalne naruszenia ochrony danych.

Obowiązek informacyjny w RODO

Z przetwarzaniem danych osobowych wiąże się bardzo ważny obowiązek – obowiązek informacyjny wynikający z RODO. Przetwarzając dane osobowe, nie można zapominać, że na administratorze danych osobowych ciąży obowiązek informacyjny. Oznacza to, że przetwarzając czyjeś dane osobowe, należy przekazać takiej osobie informacje dotyczące: kto przetwarza jej dane osobowe, w jakim celu, jak długo, na jakiej podstawie, kto ma dostęp do tych danych. Wymóg ten został szczegółowo określony w artykule 13 RODO.

Każdy administrator danych osobowych powinien przekazać osobom zainteresowanym wszystkie informacje:

  • Po pierwsze, w języku zrozumiałym, jasnym i prostym, tak aby osoba fizyczna rozumiała, na co wyraża zgodę.
  • Po drugie, najpóźniej w momencie zbierania danych osobowych.

W przypadku OFWCA obowiązek ten powinien być realizowany przy pierwszym kontakcie z klientem, jeszcze przed rozpoczęciem rozpoznania jego potrzeb (APK). Alwis opracował i przekazał swoim dystrybutorom specjalne opracowanie informacji, które spełnia wszystkie ustawowe wymogi.

Obowiązki administratorów danych osobowych w RODO

Przepisy RODO nakładają na administratorów danych wiele obowiązków, w tym konieczność wdrożenia odpowiednich środków organizacyjnych i technicznych, mających na celu zapewnienie odpowiedniej ochrony danych. RODO nie wskazuje jednak konkretnych rozwiązań czy środków bezpieczeństwa, jakie należy zastosować. Stosowane rozwiązania powinny być dostosowane do skali ryzyka oraz specyfiki przetwarzania danych.

Stąd zasady bezpieczeństwa RODO, u każdego zobowiązanego podmiotu, powinny być analizowane i aktualizowane co najmniej raz w roku. W Alwis&Secura takie analizy również są przeprowadzane, a wnioski przekazywane do stosowania u OFWCA.

Podsumowanie

To tylko sygnalizacja i przypomnienie najważniejszych zagadnień. Problematyka ochrony danych osobowych jest niezwykle rozległa, a związanych z nią problemów jest wiele. Mamy już zebrane kilkuletnie doświadczenia, a także własne dobre praktyki.

Share
Share
Share
Poprzedni wpis

Sąd Najwyższy wydał orzeczenie w sprawie zadośćuczynienia

20 lutego 2025