Kilka lat temu niemałe zamieszanie wśród administratorów danych osobowych zrobiło wprowadzenie RODO, czyli Rozporządzenie 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Zwane potocznie „ogólne rozporządzenie o ochronie danych” zaczęło obowiązywać od 25 maja 2018 roku i od razu sprawiło, że każdy chciał i musiał się do niego jak najszybciej dostosować.
To unijne prawo ma na celu zapewnienie ochrony i swobodnego przepływu danych osobowych w Unii Europejskiej. Dotyczy wszystkich podmiotów, które przetwarzają dane osób fizycznych na terytorium Unii Europejskiej, niezależnie od tego, gdzie mają siedzibę. Obejmuje także podmioty polskie. Jak zatem przetwarzać dane osobowe zgodnie z RODO?
Żeby zrozumieć i zapamiętać, jak przetwarzać dane osobowe zgodnie z RODO, przyda się znajomość kilku definicji. Będzie to pomocne zwłaszcza dla osób, które dopiero zaczynają swoją przygodę z danymi. Albo dopiero orientują się, że obowiązki z RODO ich także dotyczą. Zacznijmy od podstaw.
Co to są dane osobowe?
Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osoba, której dane dotyczą”). Kim jest możliwa do zidentyfikowania osoba fizyczna? To osoba, którą można bezpośrednio lub pośrednio zidentyfikować za pomocą jakiegoś identyfikatora. Najbardziej popularnym znacznikiem jest jej imię i nazwisko. Ale może to być także numer identyfikacyjny – na przykład PESEL, numer dowodu osobistego albo paszportu.
Takich identyfikatorów mogą być dziesiątki, a nawet setki. Zaliczają się do nich dane o lokalizacji, adresy e-mail, numery klientów w sklepach internetowych, loginy oraz inne dające się przypisać do konkretnej osoby informacje i numery, takie jak numer telefonu, adres zamieszkania czy numer rachunku bankowego. To dlatego, że współcześnie każdy człowiek, z uwagi na swoją aktywność, ma przypisanych do siebie tak wiele znaczników, tak często mamy do czynienia z danymi osobowymi. Mamy z nimi do czynienia nawet wówczas, gdy nie zdajemy sobie z tego sprawy.
Dane osobowe to nie tylko przypisany do konkretnej osoby fizycznej identyfikator. To o wiele więcej. Na przykład jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Prawdziwy obłęd, prawda? Dlatego ochrona tych danych we współczesnym świecie ma tak duże znaczenie. Wszak każdy z nas, każdy człowiek, ma i chce mieć prawo do prywatności. Jak to wszystko pogodzić?
Czym jest przetwarzanie danych osobowych?
Podobnie jak często nie zdajemy sobie sprawy, że mamy do czynienia z danymi osobowymi, tak często nie wiemy, na czym właściwie polega ich przetwarzanie. Aby to zrozumieć, należałoby rozkodować pojęcie takiego przetwarzania. Żeby to zrobić, trzeba wnikliwie wczytać się w definicję z RODO. Uwierz na słowo, że ten katalog jest bardzo szeroki.
Przetwarzanie danych osobowych oznacza jakiekolwiek operacje lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych, w sposób zautomatyzowany lub niezautomatyzowany, takie jak:
- zbieranie,
- utrwalanie,
- organizowanie,
- porządkowanie,
- przechowywanie,
- adaptowanie lub modyfikowanie,
- pobieranie,
- przeglądanie,
- wykorzystywanie,
- ujawnianie poprzez przesłanie,
- rozpowszechnianie lub innego rodzaju udostępnianie,
- dopasowywanie lub łączenie,
- ograniczanie,
- usuwanie lub niszczenie.
Jak widzisz, już sam dostęp do danych w systemach informatycznych, patrzenie na nie, przeglądanie ich, kopiowanie czy zbieranie jest ich przetwarzaniem. A skoro tak, każda taka czynność wymaga zgodności z RODO. Co trzeba zrobić, aby przetwarzać dane osobowe zgodnie z RODO?
Jak przetwarzać dane osobowe zgodnie z RODO?
Aby to zrobić, trzeba spełnić kilka ważnych warunków. Omówimy je po kolei.
Podstawa prawna przetwarzania
Najważniejsze to mieć podstawę prawną do przetwarzania. Co może być taką podstawą? Chociaż jako pierwsza do głowy przychodzi nam odpowiedź, że jest to zgoda osoby, której dane dotyczą, to nie jest to podstawa jedyna. Co więcej, stosuje się ją wtedy, gdy nie mamy innej podstawy przetwarzania. Te inne podstawy wymienia artykuł 6 rozporządzenia RODO i są nimi:
- realizacja obowiązku prawnego ciążącego na administratorze danych;
- wykonanie umowy, której stroną jest osoba, której dane dotyczą, albo podjęcie działań przed zawarciem umowy, na żądanie osoby, której dane dotyczą;
- ochrona żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;
- wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- realizacja celów administratora wynikających z jego prawnie uzasadnionych interesów. W tym przypadku, jeśli dochodzi jednak do kolizji interesów administratora danych i interesów albo podstawowych praw i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych (zwłaszcza, jeśli chodzi o dzieci), to interesy osoby, której dane dotyczą, są nadrzędne.
Prawidłowe informowanie
Bardzo ważnym obowiązkiem administratora danych, za którego niedochowanie może on ponieść konsekwencje, jest informowanie osoby, której dane dotyczą, o celach i sposobach przetwarzania jej danych. Informacja powinna zawierać także prawa tej osoby wynikające z RODO. Czasami administratorzy podają te informacje tak, że trudno je znaleźć lub zrozumieć. Tymczasem z rozporządzenia RODO wynika wyraźny obowiązek podania ich w sposób jasny i przejrzysty, a przede wszystkim PRZED rozpoczęciem przetwarzania danych.
Odpowiednie środki techniczne i organizacyjne
Jak chronić dane? To zadanie mają wypełnić środki techniczne i organizacyjne, które zapobiegną nieuprawnionemu lub niezgodnemu z prawem dostępowi do danych, ich przypadkowej utracie, zniszczeniu lub uszkodzeniu. Pod tym tajemniczym pojęciem kryją się takie zabezpieczenia jak regularna zmiana hasła z użyciem specjalnych znaków, ograniczanie dostępu do pomieszczeń, gdzie przetwarzane są dane, czy choćby zamykanie na klucz szafki z segregatorem i dokumentami, które zawierają dane.
- Kup wzór umowy powierzenia przetwarzania danych osobowych z przykładowymi środkami technicznymi i organizacyjnymi
Zasady przetwarzania zgodnie z RODO
Żeby przetwarzać dane zgodnie z RODO, oprócz obowiązków, trzeba pamiętać też o kilku ważnych zasadach. Mają one na celu ochronę danych i zapewnienie, aby nie były one przetwarzane w zbyt szerokim zakresie. Jakie to zasady? Oto one:
1. Zasada legalności, przejrzystości i rzetelności
Dane osobowe możesz przetwarzać tylko wtedy, gdy masz ku temu podstawę prawną. Ich przetwarzanie musi odbywać się zgodnie z RODO, ale także innymi przepisami, które regulują ten obszar. Sposób przetwarzania musi być przejrzysty dla osoby, której dane dotyczą. Spełnieniem tej zasady będzie np. prawidłowa realizacja obowiązku informacyjnego przed przystąpieniem do przetwarzania.
2. Zasada celowości
Wiesz już, że aby możliwe było przetwarzanie danych osobowych, musi istnieć cel takiego przetwarzania. Zasada ta mówi o tym, że dane osobowe mogą być zbierane tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach. Ich dalsze przetwarzanie w sposób niezgodny z celami, dla których zostały zebrane, jest działaniem nieprawidłowym.
3. Zasada minimalizacji danych osobowych
Oznacza, że administrator może zbierać i przetwarzać tylko te dane osobowe, które są mu niezbędne do realizacji celu przetwarzania. Innymi słowy, nie można przetwarzać danych w zakresie szerszym, niż jest to niezbędne. Jeśli na przykład do podpisania umowy potrzebujesz imienia, nazwiska i adresu e-mail drugiej strony, a nie potrzebujesz numeru telefonu, to nie powinieneś o niego prosić.
4. Zasada ograniczenia przechowywania
Ta zasada oznacza, że dane powinno się przetwarzać tylko tak długo, jak długo jest to niezbędne do osiągnięcia celu przetwarzania. Innymi słowy retencja danych nie powinna być rozciągnięta w czasie, jeśli nie ma takiej potrzeby. Te dwie pierwsze zasady są kluczowe. Oznaczają, że nie można gromadzić i przechowywać danych „na wszelki wypadek”, co może być zaskoczeniem dla wielu administratorów danych.
5. Zasada prawidłowości danych osobowych
Oznacza, że administratorzy muszą dbać, aby przetwarzane przez nich dane były zgodne z prawdą, aktualne i kompletne.
6. Zasada rozliczalności (odpowiedzialności)
Stanowi, że to administratora obciąża dowód wykazania, że przetwarzanie danych osobowych, a w szczególności danych wrażliwych, odbywa się zgodnie z przepisami.
7. Zasada integralności i poufności
Ta zasada odnosi się do bezpieczeństwa danych osobowych. Zgodnie z nią, administrator zapewnia, że dane są chronione przed nieuprawnionym dostępem, przetwarzaniem lub przypadkową utratą, zniszczeniem lub uszkodzeniem. Realizując tę zasadę, administrator danych określa i stosuje odpowiednie środki techniczne i organizacyjne.
Prawa osób, których dane dotyczą
Administratorzy chcący być w zgodzie z RODO, oprócz prawidłowego przeprowadzania operacji na danych oraz spełnienia obowiązków informacyjnych i przestrzegania zasad, muszą też pamiętać o prawach osób, których dane dotyczą. Czynności przetwarzania danych osobowych muszą odbywać się w sposób gwarantujący spełnienie obowiązku wynikającego z rozporządzenia parlamentu europejskiego i rady, czyli RODO. Administrator musi zapewnić osobom, których dane dotyczą, zrealizowanie uprawnienia, które gwarantuje im prawo unijne. O jakich prawach mówimy?
Osoba, której dane dotyczą, ma prawo:
- dostępu do swoich danych osobowych oraz otrzymania kopii tych danych;
- sprostowania lub uzupełnienia swoich danych osobowych, jeśli są one nieprawidłowe lub niekompletne;
- usunięcia swoich danych osobowych, jeśli nie ma podstawy prawnej do ich przetwarzania lub jeśli wycofała swoją zgodę na przetwarzanie;
- ograniczenia przetwarzania swoich danych osobowych, jeśli kwestionuje prawidłowość tych danych, sprzeciwia się ich przetwarzaniu lub żąda ich zachowania na potrzeby dochodzenia roszczeń;
- przenoszenia swoich danych osobowych do innego administratora danych lub otrzymania ich w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego;
- sprzeciwu wobec przetwarzania swoich danych osobowych, jeśli przetwarzanie odbywa się na podstawie prawnie uzasadnionego interesu administratora danych lub w celach marketingu bezpośredniego;
- niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu, jeśli decyzje te mają dla niej skutki prawne lub w podobny sposób istotnie na nią wpływają;
- wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych, jeśli uważa, że przetwarzanie ich danych osobowych narusza RODO.
W podsumowaniu
Przetwarzanie danych osobowych jest legalne tylko wówczas, gdy odbywa się zgodnie z RODO. Jak widzisz definicja przetwarzania danych osobowych jest bardzo szeroka, bo oznacza jakiekolwiek operacje wykonywane na danych. To dlatego z pojęciem przetwarzania danych osobowych mamy do czynienia tak często. Zdarza się, że administratorzy danych nawet nie wiedzą, że posiadają informacje zawierające dane osobowe. Stąd RODO przetwarzanie danych osobowych traktuje naprawdę serio i warto wiedzieć, jak przepisy prawa regulują ten obszar.
Jesteś administratorem danych osobowych i potrzebujesz wsparcia prawnego? Wykonujesz operacje na danych osobowych, w których dochodzi do przetwarzania tych danych? Chcesz zawrzeć umowę powierzenia przetwarzania danych z podmiotem przetwarzającym albo prawidłowo ustalić katalog odbiorców danych? Skontaktuj się z naszą kancelarią. Chętnie Ci pomożemy.
Nasze radczynie prawne mają doświadczenie w obszarze danych osobowych. Miałyśmy do czynienia z przetwarzaniem danych na podstawie zgody i dla realizacji umowy. Wiemy, kiedy przetwarzanie narusza prawa i wolności osób, których dane dotyczą. Pomożemy przy usunięciu danych osobowych oraz w sytuacjach, w których dochodzi do przetwarzania danych. Mamy doświadczenie w kontaktach z inspektorem danych osobowych i znamy stanowiska organów ochrony danych osobowych.
Niniejszy artykuł ma wyłącznie funkcję informacyjną i publicystyczną i nie stanowi porady prawnej. Jest efektem pracy i wiedzy jego autora. Jeśli potrzebujesz porady prawnej lub oceny prawnej Twojej konkretnej sytuacji, skontaktuj się z radcą prawnym i poproś o indywidualną opinię.
