Zasady ogólne przetwarzania danych osobowych wg RODO

Dane osobowe według RODO

RODO dzieli dane osobowe na:

• zwykłe dane osobowe
• szczególne dane osobowe (dawniej dane wrażliwe takie jak pochodzenie, przynależność religijna, związkowa,dane dotyczące zdrowia, dane genetyczne itp.)

Na czym polega przetwarzanie danych osobowych

Przetwarzanie danych osobowych obejmuje:

• zbieranie, utrwalanie
• organizowanie, porządkowanie
• przechowywanie, adaptowanie lub modyfikowanie
• pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie
• rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie albo
• łączenie, ograniczanie, usuwanie lub niszczenie

W jakim charakterze można przetwarzać dane osobowe

Jeżeli jesteś przedsiębiorcą, to możesz przetwarzać dane osobowe jako:

• administrator danych
• podmiot przetwarzający dane

Administrator danych to podmiot, który decyduje o tym, po co (cele) i jak (środki, sposoby) przetwarzać dane osobowe. Administratorem może więc być:

• zakład pracy w stosunku do danych osobowych swoich pracowników
• właściciel strony internetowej w stosunku do danych osób, które zaprenumerowały newsletter

Natomiast podmiotem przetwarzającym dane osobowe może być:

• administrator, który sam przetwarza dane
• przetwarzający dane, który jako podmiot zewnętrzny będzie przetwarzał dane w imieniu i na rzecz administratora i na podstawie zawartej z nim pisemnej umowy

Przetwarzającym dane może być:

• biuro rachunkowe, które przetwarza dane osobowe klientów przedsiębiorstwa/instytucji współpracującej z nim
• przedsiębiorstwo IT zajmujące się profesjonalnie przechowywaniem lub niszczeniem danych osobowych dostarczonych przez klientów

W roli administratora lub podmiotu przetwarzającego dane osobowe zawsze występuje firma, a nie jej pracownik. Pracownik, który zajmuje się przetwarzaniem danych osobowych w firmie, powinien być upoważniony do czynności w tym zakresie.

Inspektor Ochrony Danych (IOD)

Musisz powołać Inspektora Ochrony Danych (IOD), jeśli:

• w swojej firmie przetwarzasz dane na dużą skalę (musisz samodzielnie ocenić, czy przetwarzasz dane na dużą skalę; takie przetwarzanie dotyczy m.in. banków i firm ubezpieczeniowych)
• dotyczy to przetwarzania szczególnych kategorii danych (np. szpitale) lub wymaga ciągłego monitorowania osób na dużą skalę

Inspektor musi być powołany także w przypadku, gdy dane będą przetwarzane przez jednostki sektora publicznego (urzędy).

Kiedy możesz przetwarzać dane

Aby przetwarzać dane, musisz mieć do tego podstawę. W przypadku zwykłych danych podstawą do przetwarzania jest:

• zgoda osoby, której dane są przetwarzane
• sytuacja, w której przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dane dotyczą (dane do przygotowania umowy cywilnej sprzedaży)
• sytuacja, w której przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (np. wpisywanie danych klienta do ksiąg rachunkowych, których prowadzenie jest narzucone przepisami prawa o rachunkowości)
• sytuacja, w której przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (np. złożenie pozwu do sądu o zapłatę przeciwko nieuczciwemu klientowi)

W przypadku szczególnych kategorii danych (wyznanie, orientacja seksualna, poglądy polityczne, pochodzenie) podstawą do przetwarzania danych są:

• wyraźna zgoda osoby, której dane dotyczą
• sytuacja, w której przetwarzanie danych jest niezbędne do wykonania zadań związanych z zatrudnieniem czy ubezpieczeniem społecznym pracowników
• sytuacja, w której przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, a także do oceny zdolności pracownika do pracy
• sytuacja, w której przetwarzanie danych jest niezbędne w celu dochodzenia praw przed sądem

Jako administrator musisz zawsze wykazać, że posiadasz odpowiednią podstawę do ich przetwarzania (tzw. rozliczalność).

Jak uzyskać zgodę na przetwarzanie danych

Każda zgoda na przetwarzanie danych powinna być:

• dobrowolna – zgoda może być ważna tylko wtedy, gdy osoba, której dane dotyczą, wyrazi ją bez przymusu
• konkretna – aby zgoda była ważna, musi dokładnie określać cel przetwarzania i być wyrażona oddzielnie dla każdego celu
• jednoznaczna – zgoda musi mieć charakter wyraźny, a nie domniemany

Aby uzyskać zgodę na gromadzenie danych, musisz przekazać osobie, której dane dotyczą, informacje o:

• celach i podstawie przetwarzania danych
• odbiorcach danych osobowych lub o kategoriach odbiorców
• zamiarze przekazania danych osobowych do państwa trzeciego
• prawie do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub o prawie do wniesienia sprzeciwu wobec przetwarzania
• prawie do cofnięcia zgody w dowolnym momencie lub wniesienia skargi do UODO

Pamiętaj

Twój klient może zawsze odwołać zgodę na przetwarzanie jego danych osobowych. Odwołanie zgody powinno być równie łatwe, jak jej udzielenie.

Tak rozbudowane obowiązki informacyjne w przypadku zgody na przetwarzanie danych osobowych mają najczęściej postać:

• tzw. klauzuli zgody na przetwarzanie danych wpisywanej do umowy o współpracy
• formularza internetowego (udzielenie zgody na przetwarzanie poprzez zaznaczenie odpowiedniego pola w formularzu)

Zasada minimalizmu

Zgodnie z zasadą minimalizmu będziesz mógł przetwarzać wyłącznie takie dane osobowe, które są niezbędne do osiągnięcia celu ich przetwarzania. Musisz więc ograniczyć przetwarzanie do takich danych, bez których nie możesz osiągnąć tego celu.

Profilowanie

Profilowanie to szczególny rodzaj przetwarzania danych osobowych, który:

• odbywa się automatycznie
• ma na celu ocenę osoby fizycznej lub przewidywanie jej zachowania

Może to być na przykład podanie daty urodzenia lub wieku w celu ustalenia dla danej osoby jej zdolności kredytowej lub propozycji sprzedaży usług medycznych. Innym przykładem profilowania jest automatyczny dobór reklam na stronie internetowej w oparciu o wcześniejszą aktywność osoby na tej stronie.

Aby wykonywać profilowanie, będziesz musiał zawsze poinformować o tym osoby, które chcesz profilować i uzyskać na tę czynność zgodę wyraźną.

Rejestrowanie czynności przetwarzania

Rejestr czynności przetwarzania danych osobowych jest elementem dokumentacji ochrony danych.

Taki rejestr muszą prowadzić administrator danych oraz podmiot przetwarzający dane.

Administrator danych musi odnotować w rejestrze:

• imię i nazwisko lub nazwę oraz dane kontaktowe administratora, przedstawiciela administratora oraz inspektora danych osobowych IOD
• cele przetwarzania
• opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych
• kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione
• przekazanie danych osobowych do państwa trzeciego - jeśli do niego doszło
• planowane terminy usunięcia poszczególnych kategorii danych - jeżeli jest to możliwe
• ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych - jeżeli jest to możliwe

Z kolei podmiot przetwarzający musi umieścić w rejestrze:

• imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego oraz każdego administratora, w imieniu którego działa podmiot przetwarzający
• rodzaj przetwarzań dokonywanych w imieniu każdego z administratorów
• przekazania danych osobowych do państwa trzeciego - jeśli do niego doszło
• ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych - jeżeli jest to możliwe

Rejestr można prowadzić w formie pisemnej i elektronicznej. Przykłady rejestrów dla sklepu internetowego i placówki oświatowej znajdziesz na stronach UODO.

Inne zasady, których musisz przestrzegać

Jeśli posiadasz lub przetwarzasz dane należące do konkretnych osób fizycznych, to pamiętaj o ich uprawnieniach. Osoby te mogą korzystać z prawa:

• do bycia zapomnianym
• do przenoszenia danych
• do ograniczenia przetwarzania
• sprzeciwu wobec przetwarzania danych

Prawo do bycia zapomnianym pozwala osobom, których danymi dysponujesz, na żądanie ich usunięcia i poinformowania o tym również innych przedsiębiorców, którym te dane przekażesz. Jest zazwyczaj konsekwencją odwołania wcześniejszej zgody klienta na przetwarzanie jego danych lub złożenia przez niego sprzeciwu. Usunięcie danych osobowych w tym trybie dotyczy także przypadków, gdy dalsze przetwarzanie danych jest już zbędne lub gdy do przetwarzania doszło z naruszeniem prawa. Jeśli osoba fizyczna skorzysta z prawa do bycia zapomnianym, musisz natychmiastowo przestać przetwarzać dane i zlikwidować je z własnych zasobów. Prawo to nie obejmuje sytuacji, gdy:

• prawo - wbrew oczekiwaniom danej osoby - nakazuje przetwarzanie jej danych (np. wystawioną jej fakturę zaksięgowano w ewidencjach podatkowych, które trzeba przechowywać przez 5 lat)
• przetwarzanie danych jest niezbędne do dochodzenia lub obrony roszczeń (np. złożenie pozwu do sądu przeciwko dłużnikowi)

Pamiętaj

W ramach tej instytucji musisz zawiadomić też innych administratorów, którym przekażesz dane osoby o jej żądaniu usunięcia tych danych. 

Prawo do przenoszenia danych to z kolei prawo, w ramach którego klient może:

• chcieć uzyskać od ciebie swoje dane
• domagać się ich przesłania innemu administratorowi

Prawo do przenoszenia danych możesz realizować wyłącznie wtedy, gdy przetwarzasz dane na podstawie zgody lub w celu wykonania umowy. Możesz je wykonać tylko wtedy, gdy przetwarzasz dane elektronicznie. Prawo to bowiem obejmuje tylko te dane osobowe, które przetwarza się elektronicznie i nie ma zastosowania do tradycyjnych, czyli papierowych zbiorów danych.

Natomiast prawo sprzeciwu pozwala twoim klientom domagać się od ciebie zaprzestania przetwarzania ich danych osobowych. Od tego momentu nie możesz tych danych używać ani przekazywać innym podmiotom przetwarzającym je na zlecenie (np. biuro rachunkowe), chyba że wykażesz, iż przemawia za tym interes nadrzędny tego klienta. Do czasu wyjaśnienia tej kwestii obowiązuje cię jednak ograniczenie przetwarzania danych. Innym powodem ograniczenia przetwarzania danych może być sytuacja, gdy nie potrzebujesz już danych osobowych, ale są one niezbędne do dochodzenia lub obrony twoich roszczeń. 

Skarga dotycząca naruszenia przepisów o ochronie danych osobowych

Jeśli naruszysz dane osobowe twoich klientów, mogą oni złożyć skargę do Prezesa UODO. Może to dotyczyć sytuacji, gdy np. zamieścisz nazwisko klienta lub jego adres bez jego zgody w ogólnodostępnym miejscu. Skargę możesz złożyć również i ty, gdy twoje dane lub dane twoich pracowników zostały naruszone w podobny sposób. 

Przeczytaj też, jak przygotować się do RODO.

Podstawa prawna:

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
• Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych