Kiedy można przetwarzać dane osobowe?

25 maja 2018 r. w państwach członkowskich UE zmieniają się wymogi dotyczące przetwarzania danych osobowych. RODO to inaczej Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawieochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (inaczej ogólne rozporządzenie o ochronie danych osobowych - RODO). Wdrożenie RODO wynika, po pierwsze, z konieczności dostosowania przepisów do rozwoju technologii, a po drugie – z potrzeby wprowadzenia jednolitych zasad ochrony danych osobowych we wszystkich państwach Unii Europejskiej.

Przetwarzanie danych osobowych

Zgodnie z nowymi przepisami (RODO)dane osobowe to takie dane, które pozwalają zidentyfikować osobę fizyczną. Mogą to być informacje takie jak: imię, nazwisko, numer PESEL, płeć, adres domowy, adres e-mail, nr telefonu, ale też mniej oczywiste, jak numer IP komputera, dane o lokalizacji, kod genetyczny, identyfikator internetowy, poglądy polityczne lub historia zakupów. Wszelkie informacje zbierane na temat osoby, które pozwalają na ustalenie jej tożsamości (tj. jeden bądź kilka szczegółów określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową badź społeczną tożsamość osoby fizycznej, jak np. przychód czy dane bankowe, dokumentacja zdrowotna), są danymi osobowymi, niezależnie od tego, czy są przetwarzane w formie papierowej, czy cyfrowej.

Przetwarzanie danych osobowych oznacza wszelkie operacje wykonywane na danych osobowych, takie jak: zbieranie danych, przechowywanie danych, usuwanie danych, opracowywanie danych, udostępnianie danych. A dokładniej: przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych, w sposób zautomatyzowany lub niezautomatyzowany np.: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

A więc zbieranie danych osobowych to również przetwarzanie.

RODO jest neutralne technologicznie, co oznacza, że dane osobowe są objęte ochroną bez względu na to, w jaki sposób są używane lub przechowywane – czy wykorzystujemy najnowszy system informatyczny, czy papierowe dokumenty w segregatorach - w każdym z tych przypadków przetwarzanie danych podlega wymogom RODO.

Kto może przetwarzać dane osobowe?

Jeśli jakaś instytucja (np. przedsiębiorca) przetwarza dane osobowe, to może to robić jako jeden z dwóch kategorii podmiotów:

  1. administrator danych;
  2. podmiot przetwarzający dane.

Administrator danych to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie bądź wspólnie z innymi ustalacele i sposoby przetwarzania danych osobowych. To taki podmiot, który decyduje o celach i sposobach przetwarzania danych, a więc decyduje o tym, po co i w jaki sposób wykorzystać dane osobowe (np. sprzedawca w sklepie internetowym w stosunku do danych osobowych swoich klientów, pracodawca w odniesieniu do danych osobowych swoich pracowników, właściciel strony internetowej w stosunku do danych osobowych osób, które zaprenumerowały newsletter). Administratorem danych jest zawsze określony podmiot – np. spółka, nie zaś jego pracownik (np. administratorem danych jest spółka z o.o., a nie jej prezes zarządu bądź dyrektor sprzedaży, administratorem danych jest Józef Nowak prowadzący jednoosobową działalność gospodarczą).

Podmiot przetwarzający dane osobowe to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Podmiot ten nie decyduje o celach oraz o środkach przetwarzania danych – działa na podstawie umowy z administratorem danych. Administrator danych może bowiem albo sam przetwarzać dane, albo skorzystać z usług zewnętrznego podmiotu, który te dane będzie przetwarzał dla niego (np. biuro rachunkowe przetwarza na zlecenie dane osobowe przekazane mu w tym celu przez klientów, podmiot utrzymujący na zlecenie swoich klientów konta poczty elektronicznej przetwarza na zlecenie daneosobowe, podmiot zajmujący się profesjonalnie niszczeniem danych osobowych przetwarza w tym zakresie dane osobowe na zlecenie swoich klientów). Podmiot przetwarzający dane na zlecenie powinien zawrzeć z administratorem danych odpowiednią umowę, tzw.umowę powierzenia, w której określa się zasady przetwarzania danych.

W danej organizacji, dane osobowe faktycznie przetwarzają konkretne osoby fizyczne: pracownicy bądź współpracownicy administratora lub podmiotu przetwarzającego dane. Takie osoby powinny posiadać upoważnienie do przetwarzania danych osobowych.

RODO obowiązuje organizacje, które przetwarzają dane osobowe w związku z działalnością prowadzoną w Unii Europejskiej, niezależnie od tego, czy samo przetwarzanie danych odbywa się w Unii. RODO ma więc zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną w Unii Europejskiej przez przedsiębiorstwo lub organizację – czyli administratora danych lub podmiot przetwarzający, niezależnie od tego, czy samo przetwarzanie danych odbywa się w Unii.

Rozporządzenie obowiązuje również określone grupy podmiotów spoza UE, które nie mają jednostek organizacyjnych w Unii, ale ich czynności przetwarzania wiążą się z:

  • oferowaniem towarów lub usług osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty;
  • monitorowaniem zachowania osób fizycznych, o ile do zachowania tegodochodzi w Unii.

Kiedy można przetwarzać dane osobowe?

Dane osobowe można przetwarzać wyłącznie wówczas, gdy istnieje tzw. podstawa prawna przetwarzania danych. Podstawami przetwarzania danych zwykłych są:

  • zgoda osoby, której dane dotyczą (tj. osoby fizycznej, możliwej do zidentyfikowania na podstawie określonych danych osobowych; zgoda na np. wysyłkę newslettera);
  • ochrona żywotnych interesów osoby, której dane dotyczą (np. dla monitorowania epidemii);
  • relizacja zadania w interesie tej osoby (np. dla zapobiegania skutkom klęski żywiołowej);
  • przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dane dotyczą bądź do podjęcia działań poprzedzających zawarcie umowy, na żądanie tej osoby (np. ocena zdolności kredytowej);
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, tj. obowiązku wynikającego z przepisów prawa (np. przy rekrutacji do pracy);
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (np. monitoring wizyjny).

Przetwarzanie jest dozwolone wyłącznie, jeżeli spełniony jest co najmniej jeden z powyższych warunków i wyłącznie w zakresie wynikającym z tego warunku.

W przypadku szczególnych kategorii danych, typowe podstawy przetwarzania danych to:

  • wyraźna zgoda osoby, której dane dotyczą,
  • przetwarzanie danych jest niezbędne do wykonania zadań związanych z zatrudnieniem czy ubezpieczeniem społecznym pracowników,
  • przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej bądź medycyny pracy, do oceny zdolności pracownikado pracy,
  • przetwarzanie danych jest niezbędne w celu dochodzenia praw przed sądem.

Zawsze to administrator danych winien móc wykazać, iż dysponuje odpowiednią podstawą przetwarzania danych. Jest to prawny obowiązek administratora danych wynikający z tzw. zasady rozliczalności. Zasada ta sprawia, że to na administratora zostaje narzucony oboeiązek wykazania, że spełnia wymogi RODO.

Ile danych osobowych można zbierać zgodnie z RODO?

Zgodnie z wprowadzoną przez RODO zasadą minimalizacji danych osobowych, można przetwarzać wyłącznie takie daneosobowe, które są niezbędne do osiągnięcia celu przetwarzania danych.

Przetwarzanie danych powinno zatem być ograniczone do takich danych, bez których nie można osiągnąć celu przetwarzania danych. Jeśli np. celem przetwarzania danych jest realizacja zamówienia w sklepie internetowym, to przetwarzanie danycho sytuacji rodzinnej lub finansowej klienta nie jest dopuszczalne. Przetwarzanie takich danych byłoby dopuszczalne, lecz w innym celu, np. w celach marketingowych, na innej podstawie prawnej.

Jak uzyskiwać zgodę na przetwarzanie danych osobowych?

Zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba fizyczna, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Każda zgoda na przetwarzanie danych powinna więc charakteryzować się następującymi cechami:

  • dobrowolność – zgoda może być ważna jedynie, jeśli osoba, której dane dotyczą, ma możliwość dokonania rzeczywistego wyboru, przy czym nie zachodzi ryzyko wprowadzenia jej w błąd, zastraszenia, przymusu bądź znaczących negatywnych konsekwencji, gdyby nie wyraziła zgody. Jeśli konsekwencje wyrażenia zgody nie dają się pogodzić ze swobodą wyboru, to zgoda nie jest dobrowolna;
  • konkretność – żeby zgoda była ważna, musi być konkretna; tzn. niedopuszczalna jest ogólna zgoda bezokreślenia dokładnego celu przetwarzania 
  • świadomość – zgoda na przetwarzanie danych osobowych nie może mieć charakteru abstrakcyjnego, ale winna odnosić się do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania;
  • jednoznaczność – zgoda musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującegow momencie jej wyrażania.

Zgoda może zostać wyrażona w dowolnej formie – jednak zawsze w przypadku wątpliwości to administrator danych powinienwykazać, że zgoda została udzielona. Decyzja o tym, jaki konkretnie sposób zbierania – i archiwizowania – zgód należy zastosować winna być podjęta świadomie przez administratora danych.

Jakie informacje przekazywać przy zbieraniu zgody na przetwarzanie danych osobowych?

RODO nakazuje, żeby przy gromadzeniu danych przekazywać osobie, której dane dotyczą, szereg informacji:

  • o tożsamości administratora danych i o jego danych kontaktowych,
  • jeżeli administrator danych powołał Inspektora Ochrony Danych (IOD) – o danych kontaktowych IOD,
  • o celach i podstawie przetwarzania danych, a jeśli przetwarzanie odbywa się na tej podstawie, że jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora bądź przez stronę trzecią – o tych prawnie uzasadnionych interesach,
  • o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją
  • kiedy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego,
  • o okresie czasu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalaniatego okresu,
  • o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania bądź o prawie do wniesienia sprzeciwu wobec przetwarzania,a także o prawie do przenoszenia danych,
  • jeśli przetwarzanie odbywa się na podstawie zgody – o prawie do cofnięcia zgody w dowolnym momencie,
  • o prawie wniesienia skargi do organu nadzorczego,
  • o tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym bądź warunkiem zawarciaumowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencjeniepodania danych,
  • jeżeli dochodzi do tzw. zautomatyzowanego podejmowania decyzji lub profilowania – należy poinformowaćo tym fakcie oraz podać istotne informacje o zasadach automatycznego podejmowania decyzji, a także o znaczeniui przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Odbiorcy danych to również podmioty przetwarzające dane osobowe na zlecenie administratora danych, zatem trzeba poinformować także o tych podmiotach.Te szerokie obowiązki informacyjne w przypadku zgody na przetwarzanie danych osobowych przybierają najczęściej postać tzw. klauzuli zgody na przetwarzanie danych.

Przykład:

Klauzula zgodna z RODO może brzmieć następująco: "Wyrażam zgodę na przetwarzanie moich danych osobowych przez spółkę ABCD sp. z o.o. z siedzibą w ……….., ul. ……………., w celach ……………. (np. marketingowych). Podanie danych jest dobrowolne. Podstawą przetwarzania danych jest moja zgoda. Odbiorcami danych mogą być ………….. (np. podmioty zajmujące się obsługą informatyczną administratora danych). Mam prawo wycofania zgodyw dowolnym momencie. Dane osobowe będą przetwarzane ………….. (np. do czasu ew. odwołania zgody, a po takim odwołaniu - przez okres przedawnienia roszczeń przysługujących administratorowi danych i w stosunku do niego). Mam prawo żądania od administratora dostępu do moich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz prawo wniesienia skargi do organu nadzorczego. W razie pytań dotyczących przetwarzania danych osobowych, prosimy o kontakt z Inspektorem Ochrony Danych pod adresem ……………. (jeśli został wyznaczony)". Należy też podać informacje o prawie do przenoszenia danych, jeżeli przysługuje, a także jeżeli dochodzi do profilowania - informacje dotyczące profilowania.

Obowiązki informacyjne powinny być wykonywane w zwięzłej, przejrzystej, zrozumiałej oraz łatwo dostępnej formie, jasnym i prostym językiem.

Zgodnie z propozycją Ministerstwa Cyfryzacji, te rozbudowane obowiązki informacyjne mają zostać wyłączone w stosunku do przedsiębiorców zatrudniających mniej niż 250 osób, przetwarzających dane osobowe niezbędne do wykonywania działalności gospodarczej, w szczególności w celu zawierania umów i prowadzenia rachunkowości.

Kiedy nie potrzeba zgody na przetwarzanie danych?

Zgoda na przetwarzanie danych jest tylko jedną z podstaw prawnych przetwarzania danych. Zgody na przetwarzanie danych nie trzeba zbierać w szczególności wówczas, kiedy:

  • przetwarzanie danych jest niezbędne do wykonania umowy – np. sklep internetowy sprzedaje wysyłkowo obrazki; nie musi w takim wypadku prosić o zgodę na przetwarzanie danych, a przetwarzanie danych będzie zgodne z RODO jako niezbędne do wykonania umowy (sprzedaży),
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze – np. przetwarzanie danych w celach związanych z prowadzeniem ksiąg rachunkowych nie wymaga zgody osób, których dane dotyczą - jego podstawą są przepisy ustawy o rachunkowości,
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora bądź przez stronę trzecią – np. skierowanie do sądu pozwu o zapłatę przeciwko nieuczciwemu klientowi nie wymaga jego zgody na przetwarzanie danych, zaś podstawą przetwarzania danych w takiej sytuacji jest realizacja prawnie uzasadnionego interesu administratora danych. 

Prawnie uzasadnionym interesem realizowanym przez administratora danych jest również marketing jego produktów czy usług. Przetwarzanie danych w takim celu – marketingowym w stosunku do produktów i usług administratora danych – nie wymaga zgody na przetwarzanie danych osobowych. Jednakże pewne formy kontaktu z osobami, których dane dotyczą, wymagają zgody. 

Przetwarzanie szczególnych kategorii danych osobowych (tzw. danych wrażliwych)

RODO wprowadza zamknięty katalog szczególnych kategorii danych, których przetwarzanie jest zabronione poza sytuacjami wymienionymi w rozporządzeniu. Są to tzw. dane wrażliwe. Dane wrażliwe to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, biometryczne bądź dotyczące zdrowia, seksualności lub orientacji seksualnej osoby fizycznej.

Organizacja może je przetwarzać tylko pod specjalnymi warunkami i musi się liczyć z koniecznością wdrożenia dodatkowych zabezpieczeń, takich jak np. szyfrowanie.

RODO – inaczej, niż to ma miejsce na gruncie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych – nie wymaga, by zgoda na przetwarzanie danych zaliczonych do szczególnych kategorii danych osobowych była wyrażona na piśmie. Na gruncie RODO taka zgoda powinna być zgodą „wyraźną” – oznacza to, iż zgoda może zostać udzielona np. na stronie internetowej - poprzez zaznaczenie odpowiedniego pola wyboru. Oczywiście nadal będzie można zbierać zgody na piśmie.

Przetwarzanie danych nieletnich

W przypadku usług oferowanych bezpośrednio dziecku, np. w Internecie, zgodnie z prawem można przetwarzać dane osobowe dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, to takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaakceptowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody.

Jeżeli więc organizacja kieruje swoją ofertę do dzieci i młodzieży, to zgodę na przetwarzanie danych mogą wyrazić samodzielnie osoby powyżej 16 roku życia. W przypadku zaś młodszych osób - zgodę musi wyrazić opiekun prawny albo rodzic.

Zakres przetwarzanych informacji

"(…) Przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów (…)". - Tak sformułowane zdanie motywu 171 ogólnego rozporządzenia o ochronie danych jest bardzo wyraźnym wskazaniem, że to właśnie teraz jest czas na dokonywanie przeglądu i weryfikacji stosowanych dotąd rozwiązań z zakresu ochrony danych osobowych.

Zanim jeszcze będziemy stosować rozporządzenie, warto dokonać swego rodzaju audytu przygotowawczego i udokumentować, jakie dane osobowe przetwarza się, skąd pochodzą i co uprawnia administratora do ich wykorzystywania, czy i komu je udostępnia oraz jak zabezpiecza. Rzetelnie przeprowadzona analiza wszystkich operacji przetwarzania danych w organizacji będzie pierwszym krokiem do prowadzenia rejestru czynności przetwarzania, który od 25 maja 2018 r. będzie obowiązkowy dla wielu podmiotów (z całą pewnością dla tych zatrudniających więcej niż 250 pracowników oraz tych, którzy przetwarzają tzw. dane wrażliwe). W wielu przypadkach trzeba zaktualizować zgody na przetwarzanie danych.

Na każdym administratorze danych ciąży obowiązek zapewnienia, że przetwarzane przez niego dane są prawidłowe i aktualne. Dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, muszą zostać niezwłocznie usunięte lub sprostowane. Taki audyt przygotowawczy może pomóc w aktualizacji wszystkich przetwarzanych danych i uporządkować dokumentację oraz procedury przetwarzania danych.

Może również pomóc administratorowi danych w realizacji zasady rozliczalności, która wymaga, aby każdy, kto przetwarza dane osobowe, był w stanie wykazać, że robi to w zgodzie z zasadami przyjętymi w rozporządzeniu.

Tę zgodność można wykazać na przykład poprzez wdrożenie efektywnych polityk i procedur przetwarzania danych.

 

Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.

 

Podstawa prawna:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1) - art. 6 i 9, art. 4 pkt 7 i 8, art. 5 ust. 1 pkt c, art. 12 i 13;
  • ustawa o świadczeniu usług drogą elektroniczną - art. 10;
  • ustawa -  Prawo telekomunikacyjne - art. 172.

A.J.
Zespół e-prawnik.pl

Skomentuj artykuł - Twoje zdanie jest ważne

Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?


Masz inne pytanie do prawnika?

 

Komentarze

    Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!

Potrzebujesz pomocy prawnej?

Zapytaj prawnika