RODO - jak prawidłowo przetwarzać dane osobowe w firmie?

RODO jest unijnym prawem wyznaczającym zasady przetwarzania, wykorzystywania oraz przechowywania danych osobowych zarówno w firmach, jak i urzędach. Przepisy weszły w życie w 2018 roku i obowiązują wszystkich, bez wyjątków.

RODO a przepisy prawa

Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 wydane 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych uchyla dyrektywę 95/46/WE. Rozporządzenie zawiera szereg zasad związanych z ochroną osób fizycznych ze względu na przetwarzanie danych osobowych i przepisy o swobodnym przepływie danych osobowych.

Ustawa o ochronie danych osobowych nie zawiera definicji określenia „dane osobowe”, „przetwarzanie” i innych ważnych określeń. Brakuje tam również szczegółowych zasad dotyczących przetwarzania danych, podstawy prawnej, wymaganych elementów obowiązku informacyjnego i praw przysługujących osobom, których dane dotyczą. Aby uzyskać wymagane informacje, trzeba sięgnąć do przepisów RODO.

Art. 4 pkt 1 RODO wskazuje, że dane osobowe to wszystkie informacje o zidentyfikowanej bądź możliwej do identyfikacji osobie fizycznej. Do identyfikacji używa się imienia, nazwiska, numeru identyfikacyjnego, danych o lokalizacji, identyfikatora internetowego albo paru charakterystycznych elementów wyznaczających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową bądź społeczną tożsamość osoby fizycznej.

Osoba fizyczna może uzyskać identyfikatory internetowe, do których zalicza się adresy IP, identyfikatory plików cookie wyznaczane przez urządzenia, aplikacje, narzędzia i protokoły.

Za dane osobowe uznaje się także identyfikatory wyznaczane przy pomocy etykiety RFID. Wymienione sposoby przyczyniają się do stworzenia oryginalnych i przypisanych do konkretnej osoby profili, uwzględniających identyfikatory oraz informacje, które są wymagane przez serwery.

Wyłączenia i ograniczenia RODO

Wyłączenia związane z RODO odnoszą się do działalności prasowej, literackiej, artystycznej i wypowiedzi akademickiej (art. 2 UODO) oraz wyznaczonych przez ustawodawcę jednostek sektora finansów publicznych i działalności służb specjalnych (zgodnie z art. 6 UODO).

Z kolei administratorom zajmującym się zadaniami publicznymi w zakresie wykonywania obowiązków informacyjnych z art. 13 oraz 14 RODO i realizacji prawa dostępu do danych z art. 15 RODO przysługuje prawo do skorzystania z ograniczenia stosowania przepisów RODO.

Oprócz RODO trzeba przestrzegać także zasad wyznaczonych przez UODO, który również jest poświęcony przetwarzaniu danych osobowych.

Kategoria danych osobowych z uwzględnieniem przepisów o RODO

Zgodnie z przepisami o RODO, można wskazać dwie kategorie danych osobowych, czyli:

• dane zwykłe, do których zalicza się:
  • imię,
  • nazwisko,
  • adres,
  • datę i miejsce urodzenia,
  • numer telefonu,
  • wykonywana profesja,
  • wizerunek,
  • adres e-mail,
• dane szczególne, określane jako dane wrażliwe:
  • pochodzenie rasowe bądź etniczne,
  • poglądy polityczne, przekonania religijne bądź światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne,
  • dane biometryczne wykorzystywane do jednoznacznej identyfikacji osoby fizycznej,
  • dane na temat zdrowia, seksualności bądź orientacji seksualnej danej osoby,
  • dane na temat wyroków skazujących i czynów zabronionych.

Należy podkreślić, iż numer KRS, adres e-mail oraz dane anonimowe nie są kwalifikowane jako dane osobowe.

Zgodnie z przepisami prawa dane osobowe wrażliwe muszą być szczególnie chronione, a ich przetwarzanie generuje ryzyko dla podstawowych praw i wolności.

Przetwarzanie danych osobowych

Art. 4 ust. 2 RODO wskazuje, iż określenie przetwarzania odnosi się do operacji bądź zestawów operacji, w których wykorzystywane są dane osobowe bądź zestawy danych osobowych. Podejmowane czynności odbywają się w sposób automatyczny bądź nieautomatyczny - mowa o zbieraniu, utrwalaniu, organizowaniu, porządkowaniu, przechowywaniu, adaptowania, modyfikacji, powielaniu, przeglądaniu, wykorzystywaniu, ujawnianiu w formie przesyłania, rozpowszechniania bądź udostępniania w innych sposób, dopasowywania albo łączenia, ograniczania usuwania albo niszczenia.

W trakcie wykonywania wymienionych powyżej czynności trzeba pamiętać, aby przetwarzanie było zgodne z prawem, a także odbywało się w sposób rzetelny i przejrzysty.

Gromadzenie danych musi odbywać się w konkretnym, precyzyjnym i zgodnym z przepisami prawa celu. Informacje nie mogą być przetwarzane w sposób niezgodny z wyznaczonym celem. Art. 89 ust. 1 zabrania dalszego przetwarzania danych w celach archiwalnych w interesie publicznym, do celów naukowych albo historycznych bądź w celach statystycznych.

Wymagane jest przetwarzanie jedynie tych danych, które są konieczne. Rozumie się przez to tak zwaną minimalizację danych.

Niepoprawne bądź nieaktualne dane osobowe mają zostać bez żadnej zwłoki usunięte, bądź poprawione.

Dane osobowe muszą być przechowywane w taki sposób, aby ułatwić identyfikację osoby, której dotyczą przez okres nie dłuższy, niż jest to konieczne do celów, w jakich są przetwarzane. W tym miejscu należy zaznaczyć, że dane osobowe mogą być przechowywane dłużej z zastrzeżeniem, że są przetwarzane w celach archiwalnych w interesie publicznym, do celów badań naukowych bądź historycznych albo opcjonalnie do celów statystycznych (zgodnie z art. 89 ust. 1), pod warunkiem że zastosowano właściwe środki techniczne oraz organizacyjne wyznaczone rozporządzeniem w celu ochrony praw i wolności osób, których dane dotyczą (mowa o ograniczeniach przechowywania).

Kluczowe znaczenie odgrywa zapewnienie bezpieczeństwa danych osobowych, wliczając do tego zabezpieczenie przed niedozwolonym bądź niezgodnym z prawem przetwarzaniem i przypadkową utratą, zniszczeniem bądź uszkodzeniem (mowa o integralności i poufności danych).

Art. 6 RODO wyznacza zasady dotyczące przetwarzania danych osobowych zgodnie z obowiązującymi przepisami.
Przetwarzanie danych odbywa się w sposób zgodny z prawem, jeżeli przestrzegana jest minimum jedna z wymienionych przesłanek:

• uzyskano zgodę na przetwarzanie danych osobowych w jednym albo większej liczbie konkretnych celów przez osobę, której dane dotyczą,
• przetwarzanie jest niezbędne do wykonania umowy, w której jedną stroną jest osoba, której dane są przetwarzane albo ma miejsce podjęcie działań na żądanie osoby, której dane są przetwarzane, zanim umowa zostanie zawarta,
• przetwarzanie jest konieczne do sfinalizowania obowiązku prawnego, który obowiązuje administratora,
• przetwarzanie jest konieczny do ochrony żywotnych interesów osoby, której dane dotyczą bądź innej osoby fizycznej,
• przetwarzanie danych umożliwia sfinalizowanie zadania wykonywanego w interesie publicznym bądź w ramach sprawowania władzy publicznej, którą posiada administrator,
• przetwarzanie jest wymagane do celów określonych w sprawie uzasadnionych interesów wykonywanych przez administratora bądź stronę trzecią, jedynym wyjątkiem od tej zasady jest nadrzędny charakter względem interesantów wykazujących interesy bądź podstawowe prawa i wolności osoby, której dane dotyczą i która podlega ochronie danych osobowych, przede wszystkim, kiedy osoba, której dane są przetwarzane, jest dzieckiem.

Do przetwarzania danych wielokrotnie wymagana jest zgoda osoby, której dotyczą i w tym przypadku administrator jest zobowiązany udowodnić, iż konkretna osoba zgodziła się na ich przetwarzanie.

Kiedy zabrania się przetwarzania danych osobowych?

Ochrona danych osobowych jest uwarunkowana przepisami prawa administracyjnego oraz cywilnego i prawa karnego. W praktyce wyznaczono sytuacje, kiedy przetwarzanie danych zostanie określone jako nielegalne, co przyczynia się do wszczęcia postępowania karnego.

Art. 107 ustawy o ochronie danych osobowych wydane w 2018 roku wyznacza przepisy dotyczące przestępstwa bezprawnego, określanego również jako nielegalne przetwarzanie danych osobowych.

Zgodnie z art. 107 u.o.d.o.:

Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

Istnieje szereg sytuacji, kiedy nie zabrania się przetwarzania danych osobowych:

• jeżeli przetwarzanie jest konieczne do ochrony żywotnych interesów osoby, której dane są przetwarzane bądź innej osoby fizycznej, a osoba, której dane dotyczą jest fizycznie, bądź prawnie niezdolna do wyrażenia zgody,
• przetwarzanie odbywa się w ramach uprawnionej działalności, która funkcjonuje zgodnie z zachowaniem właściwych zabezpieczeń przez fundację, stowarzyszenie bądź inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych bądź związkowych z zastrzeżeniem, iż przetwarzane są dane jedynie członków, bądź byłych członków wymienionego podmiotu, bądź osób pozostających z nim w stałym kontakcie w związku z jego celami, oprócz tego dane nie mogą być udostępniane poza tym podmiotem bez uzyskania zgody osoby, której dotyczą,
• przetwarzanie jest konieczne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, do których zalicza się ochronę przed poważnymi transgranicznymi zagrożeniami zdrowotnymi, bądź zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej, a także produktów leczniczych bądź wyrobów medycznych, zgodnie z prawem Unii Europejskiej bądź prawami państwa członkowskiego, z których wynikają właściwe, odgórnie wyznaczone środki ochrony praw i wolności osób, których dane dotyczą — mowa przede wszystkim o tajemnicy zawodowej.

Kto może przetwarzać dane osobowe?

Art. 28 ust. 1 RODO wskazuje, że oprócz administratora danych osobowych może je przetwarzać inny profesjonalny podmiot, który uzyska zgodę od administratora. Warunkiem udzielenia zgody jest wybór zakresu, w jakim odbywa się przetwarzanie danych. Podejmowane czynności są wykonywane przez podmiot przetwarzający w imieniu oraz na rzecz administratora.

W tym miejscu warto przytoczyć przepis, który odnosi się do tej zasady:

Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Kim jest administrator? Administratorem może być:

• osoba fizyczna,
• osoba prawna,
• organ publiczny,
• jednostka,
• inny podmiot, który samodzielnie albo wspólnie z innymi wyznacza cele oraz sposoby przetwarzania danych osobowych.

Podmiotem przetwarzanym jest:

• osoba fizyczna,
• osoba prawna,
• organ publiczny,
• jednostka lub inny podmiot przetwarzający dane.

Kilka słów podsumowania

Od momentu wprowadzenia przepisów o RODO w 2018 roku dane osobowe są szczególnie chronione. Musi o tym pamiętać każda osoba, która z nich korzysta. Szczególna odpowiedzialność spoczywa na administratorach biorących na siebie odpowiedzialność karną za postępowanie niezgodne z obowiązującymi zasadami. Dane osobowe mogą zostać udostępnione również innemu podmiotowi, jednak na ściśle określonych zasadach.

Data publikacji: 2023-10-25, autor: FakturaXL