Termin przetwarzanie danych osobowych obejmuje wiele czynności. Nie można uznawać, że przetwarza dane tylko osoba, która je zbiera albo wykorzystuje. Dowiedz się więcej na temat tego czym jest i z czym się wiąże przetwarzanie danych osobowych!
Co oznacza przetwarzanie danych osobowych RODO?
O przetwarzaniu danych osobowych mówi Rozporządzenie o ochronie danych osobowych (inaczej RODO). W uproszczeniu mówiąc przetwarzanie danych osobowych to szereg czynności, które wykonywane są na danych osobowych. Zgodnie z art. 4 pkt 2 RODO przetwarzanie to operacje lub zestaw operacji wykonywanych na danych osobowych, lub zestawach danych osobowych w sposób zautomatyzowany, lub niezautomatyzowany, takie jak:
- zbieranie, utrwalanie
- organizowanie, porządkowanie
- przechowywanie, adaptowanie lub modyfikowanie
- pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie
- rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie albo
- łączenie, ograniczanie, usuwanie lub niszczenie
Należy zwrócić uwagę, że ten katalog jest otwarty – tj nie wymienia wszystkich elementów które będą uznane za przetwarzanie. Trybunał Sprawiedliwości UE uznał szereg innych operacji za przetwarzanie – takich jak ładowanie danych osobowych na stronę internetową czy ich nagrywanie na nośnik danych. Trudno jest wymienić operacje, prowadzone na danych osobowych, które nie będą uznawane za przetwarzanie – takie decyzje są niezwykle rzadkie.
Sprawdź jak wdrożyć RODO w twojej organizacji
Przetwarzanie danych osobowych – przykłady
Obecnie niemal niemożliwe jest prowadzenie firmy bez przetwarzanie danych osobowych. Z przetwarzaniem danych osobowym mamy styczność praktycznie codziennie. Przetwarzamy dane osobowe przykładowo kiedy zatrudniamy pracowników, jak też nawet w momencie kiedy inny przesyłają nam swoje CV, które potem przetwarzamy. Również kiedy dokonujemy czynności na bazach klientów czy nawet w celach marketingowych przesyłamy wiadomości e-mail mamy do czynienia z przetwarzaniem danych.
Jak legalnie przetwarzać dane osobowe?
Podstawę do przetwarzania zwykłych danych osobowych stanowi m.in.:
- zgoda osoby, której dane dotyczą, na ich przetwarzanie w określonym celu
- sytuacja, w której przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dane dotyczą
- sytuacja, w której przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (np. przechowywanie faktur)
- sytuacja, w której przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej – sytuacja odnosząca się do ochrony życia i zdrowia człowieka
- sytuacja, w której przetwarzanie jest niezbędne do ochrony interesów osoby, której dane dotyczą lub innej osoby fizycznej (np. nie potrzeba zgody na złożenie pozwu do sądu o zapłatę przeciwko klientowi)
Przetwarzanie danych osobowych wrażliwych
Inaczej wygląda sytuacja w przypadku gdy przetwarzane są szczególne kategorie danych (dane wrażliwe). W pojęciu tym mieszczą się dane dotyczące pochodzenia rasowego, etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych, przynależności do związków zawodowych, dane genetycznych, biometryczne w dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. W tym przypadku katalog takich danych – wpisany w art. 9 RODO- jest wyczerpujący, tj żadne dane tam nie wymienione nie są danymi wrażliwymi. Dane te można przetwarzać, jeżeli został wypełniony chociaż jeden z poniższych warunków
- osoba, której dane dotyczą wyraziła wyraźną zgodę na ich przetwarzanie
- przetwarzanie jest konieczne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej (o ile jest to dozwolone prawem UE lub prawem państwa członkowskiego);
- przetwarzanie jest konieczne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
- przetwarzanie danych przez fundację, stowarzyszenie lub inny podmiot działający w celach niezarobkowych, jeśli chodzi o cele polityczne, światopoglądowe, religijne i związkowe dotyczące członków tej organizacji;
- przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
- przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
- przetwarzanie jest związane z realizacją ważnego interesu publicznego;
- przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego;
- przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.
Zgoda na przetwarzanie danych osobowych
Jedną z najczęściej stosowanych podstaw – ale wcale nie “najlepszą” – jest zgoda odebrana od osoby, której dane dotyczą. Wskazać należy, że RODO precyzuje jak ma wyglądać taka zgoda, a administrator powinien zadbać właśnie o taką jej formę. Zgoda na przetwarzanie danych osobowych musi być – dobrowolna (nie wywołana przymusem), konkretna, świadoma oraz jednoznaczna. Zgoda musi być więc skonstruowana w taki sposób, aby nie było wątpliwości na co i w jakim zakresie się dana osoba zgadza.
Zawsze musimy pamiętać, że osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, powinna być o tym poinformowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. Dobrze jest zatem, zanim zapytamy się o zgodę, zastanowić się nad skutkami jej wycofania dla naszej operacji – i w miarę możliwości, poszukać innej podstawy do przetwarzania danych. Niestety wiele podmiotów ma tendencję do nadmiernego polegania na zgodzie, z różnych przyczyn – jest to podejście błędne. Absolutnie nie musimy pytać o zgodę, jeżeli znajdziemy inną podstawę z art 6 ust. 1.