W jednym z poprzednich artykułów poruszyliśmy kwestię podziału danych osobowych na zwykłe i wrażliwe. Z poniższego artykułu dowiesz się, kiedy przetwarzanie danych osobowych zwykłych jest dozwolone. 

Podstawy przetwarzania danych osobowych zwykłych zostały wskazane w art. 6 ust. 1 RODO. W świetle tego przepisu przedsiębiorca ma prawo przetwarzać dane osobowe jeśli wystąpi co najmniej jedna z poniższych sytuacji (podstawa przetwarzania): 

• osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

• przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

• przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

• przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

• przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

 Co istotne, powyższe podstawy przetwarzania są od siebie niezależne i wystarczy, że wystąpi tylko jedna z nich. W związku z tym może dojść do sytuacji, że pomimo braku zgody od osoby fizycznej na przetwarzanie danych, które jej dotyczą , przedsiębiorca będzie uprawniony do ich przetwarzania, np. gdy jest to niezbędne do wykonania umowy z tą osobą. 

OPT- in a OPT- out

W doktrynie prawa funkcjonują dwa modele dopuszczalności przetwarzania danych osobowych. Model OPT – in zakłada, że osoba fizyczna musi najpierw podjąć jakąś aktywność, celem wyrażenia zgody na przetwarzanie jej danych. Natomiast założeniem leżącym u podstaw modelu OPT-out, jest przyzwolenie na przetwarzanie danych do momentu sprzeciwu osoby fizycznej, której dane dotyczą. Oznacza to, że zgodnie z konstrukcją  OPT – out, można przetwarzać dane osoby fizycznej do momentu wyrażenia przez nią sprzeciwu wobec czynności przetwarzania. Niewątpliwie RODO wprowadziło model OPT-in, ponieważ jeśli dane mają być przetwarzane w oparciu o zgodę, to musi być ona udzielona uprzednio. 

Zgoda osoby na przetwarzanie jej danych osobowych 

Jeśli podstawą przetwarzania jest zgoda osoby fizycznej to należy pamiętać o tym, że RODO wprowadziło definicję takiego oświadczenia w art. 4 pkt 11 RODO. W świetle powołanego przepisu zgoda na przetwarzanie danych osobowych to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Ponadto zgoda taka powinna zawierać jasno określony cel (może być jeden lub kilka) i zakres przetwarzania oraz podmiot na którego rzecz zgoda jest udzielana. Co do formy udzielenia zgody wskazać należy, że może ona być udzielona właściwie dowolnej formie np. pisemnej lub elektronicznej, a także w sposób dorozumiany. Jednak zalecamy udzielanie takiej zgody w sposób, który umożliwi utrwalenie jej treści i tym samym udowodnienie udzielenia tej zgody przez przetwarzającego. 

Współczesny rozwój technologiczny nierozerwalnie związany jest z tym, że nasze dane osobowe są gromadzone oraz przetwarzane. Sama kontrola tych danych może sprawiać trudności, gdyż zamieszczone w internecie informacje są niejednokrotnie udostępniane nieograniczonej liczbie podmiotów, nawet wbrew woli i wiedzy osoby, której dotyczą. Z tego powodu coraz istotniejsza jest świadomość dotycząca ochrony naszej prywatności, która realizuje się między innymi 
w cofnięciu zgody na przetwarzanie danych oraz w prawie do bycia zapomnianym. 

Jak wycofać zgodę na przetwarzanie danych osobowych?

Każda osoba, której dane są przetwarzane ma prawo wycofać swoją zgodę na przetwarzanie danych osobowych. Co istotne, może to zrobić w każdym momencie. Warto jednak pamiętać, że wycofanie zgody pozostaje bez wpływu na przetwarzanie danych, które nastąpiło przed złożeniem oświadczenia o wycofaniu zgody. Złożenie przedmiotowego oświadczenia powinno być tak samo łatwe jak jej wyrażenie – nie może powodować dodatkowych trudności ani generować kosztów. Stosowanie przed przedsiębiorców wieloetapowych mechanizmów lub też żądanie uzasadnienia naszej decyzji, które uniemożliwiają wycofanie zgody, nie jest zgodne z przepisami Rozporządzenia RODO oraz wiąże się z nałożeniem kar finansowych przez UODO. 

Jednym ze sposobów na wycofanie zgody jest rozmowa z przedstawicielem handlowym przedsiębiorstwa przetwarzającego nasze dane osobowe. Oświadczenie może być również złożone za pośrednictwem wiadomości e-mail. Warto jednak zaznaczyć, że obecnie firmy już w wiadomościach e-mail umożliwiają złożenie takiego oświadczenia za pomocą kilku kliknięć myszką.

Warto pamiętać, że prawo do odwołania zgody na przetwarzanie danych osobowych nie jest nieograniczone. W przepisach RODO przewidziano sytuacje, w których oświadczenie o odwołaniu zgody nie będzie uwzględnione przez administratora danych. Mowa tutaj o danych niezbędnych m. in. do korzystania z prawa do wolności wypowiedzi i informacji; z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego, do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych bądź do celów statystycznych oraz do ustalenia, dochodzenia lub obrony roszczeń.

Co oznacza „prawo do bycia zapomnianym”?

Każda osoba ma również prawo do żądania od administratora usunięcia swoich danych osobowych. Administrator będzie zobowiązany do niezwłocznego usunięcia danych osobowych z takich miejsc jak serwer, poczta, pliki, dyski zewnętrzne i przenośne oraz dokumenty papierowe w przypadku, gdy: 

• dane osobowe nie są już niezbędne do celów, w których zostały zebrane;
• osoba, której dane dotyczą, cofnęła zgodę, w sytuacji, kiedy przetwarzanie opierało się wyłącznie na dobrowolnej zgodzie; 
• osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania
• dane osobowe były przetwarzane niezgodnie z prawem
• dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator.

Tutaj również warto uwzględnić, że administrator ma prawo zachować nasze dane, które są niezbędne do ustalenia, dochodzenia lub obrony roszczeń. Tytułem przykładu sprzedawca będzie mógł w dalszym ciągu przechowywać dane kupującego, takie jak m.in. imię, nazwisko, adres dostawy czy inne dane kontaktowe, gdyż mogą być one wykorzystywane m.in. do ochrony sprzedawcy przed ewentualnymi przyszłymi roszczeniami.

Z następnego artykułu dowiesz się, jakie są podstawy przetwarzania danych osobowych.

Pochylmy się dzisiaj na chwilę nad zagadnieniem kto musi stosować RODO? Czy dotyczy każdego bez wyjątku? Czy trzeba je stosować zawsze, gdy poznasz jakieś dane osobowe? Czy RODO jest wszędzie i zawsze jak powszechnie się uważa?

W powszechnej świadomości RODO dotyczy każdego i każdej sytuacji, gdy w jakiś sposób używane są dane osobowe. Nie jest to jednak prawda.

Jakie czynności z danymi osobowymi obejmuje RODO?

Unijne rozporządzenie używa pojęcia przetwarzania danych. Należy przez nie rozumieć wykonywanie na danych osobowych takich działań jak: przechowywanie, zbieranie, utrwalanie, porządkowanie, wykorzystywanie, usuwanie. W uproszczeniu można przyjąć, że wszelkie działanie jakie jest wykonywanie na danych osobowych to ich przetwarzanie.

Jeśli więc zapisujesz sobie gdzieś kogoś imię nazwisko i telefon, masz pracowników, których umowy trzymasz w szafie itp. to przetwarzasz dane osobowe.

Przepisy RODO nie mają zastosowania do każdego przetwarzania danych, lecz do konkretnych sposobów tj.:

1. przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany lub
2. przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

Będziesz przetwarzał dane osobowe w sposób chroniony przez RODO jeżeli imiona i nazwiska swoich kontrahentów będziesz zapisywał w arkuszu kalkulacyjnym na komputerze lub ręcznie w zeszycie. Wciąż nie oznacza to jeszcze, że RODO musisz przestrzegać.  

Jeżeli przetwarzasz dane w któryś z powyższych powodów istnieje możliwość, że powinieneś stosować RODO. Rozporządzenie ma zastosowanie m.in.:

– wobec jednostek organizacyjnych administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii. Z czego wynika, że jeżeli prowadzisz działalność gospodarczą w Unii obowiązuje Cię RODO.

– do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:

a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub

b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

Dopiero jeżeli masz siedzibę w Unii albo Twoi klienci żyją na terenie Unii i działasz zarobkowo lub zawodowo musisz działać w zgodzie z RODO, choć nawet wtedy musisz sprawdzić czy nie dotyczy Ciebie jakieś wyłączenie i RODO bać się nie musisz.

Wyłączenia spod przepisów RODO

Czy każdy kto tak przetwarza dane podlega RODO?
Nie, zależy to jeszcze od tego kto i po co przetwarza dane osobowe. 

Przepisy RODO nie mają zastosowania m.in. w zakresie przetwarzania danych:

–  wykonywanego przez ramach czynności o czysto osobistym lub domowym charakterze np. nie ma problemu. gdy zapiszemy sobie w zeszycie imię nazwisko i numer telefonu hydraulika,

– przez organy ścigania w celu zapobiegania przestępczości,

– w ramach wspólnej polityki bezpieczeństwa i zagranicznej UE.

Słowniczek

Administrator – osoba fizyczna lub prawna, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Potocznie jest to każdy pomiot, który przetwarza lub na którego zlecenie przetwarzane są dane osobowe. 

Podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

Z poprzedniego artykułu dowiedziałeś się czym jest RODO. Dzisiaj przyjrzymy się jakie dane chroni Rodo oraz jaki jest podział danych osobowych. 

Ochrona, którą mają zapewniać przepisy RODO dotyczy danych osobowych, czyli wszelkich informacji o zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osobie fizycznej. W obrocie często można spotkać się z podziałem danych na zwykłe oraz wrażliwe. Które dane w świetle RODO podlegają szczególnej ochronie ? 

Dane osobowe zwykłe 

Identyfikacja osoby fizycznej odbywa się najczęściej na podstawie imienia i nazwiska, numeru PESEL, numeru NIP, numeru telefonu czy adresu zamieszkania. Wymienione dane to podstawowe informacje na temat osoby fizycznej, którymi posługujemy się bardzo często. Stąd w praktyce dane te określa się mianem danych zwykłych. Samo rozporządzenie nie wprowadza kategorii danych osobowych zwykłych, jednak taki podział można wyprowadzić z brzmienia art. 9 RODO, w którym mowa o przetwarzaniu szczególnych kategorii danych osobowych (potocznie: „danych wrażliwych”). Zwykłe dane osobowe co do zasady można przetwarzać, jeśli zostanie spełniona przynajmniej jedna przesłanka wskazana w art. 6 ust. 1 RODO. Przesłanki te zostaną omówione w jednym z kolejnych artykułów.  

Dane osobowe wrażliwe

Dane osobowe wrażliwe to właśnie dane, o których mowa w art. 9 ust. 1 RODO. Zgodnie z powołanym artykułem, zabronione jest przetwarzanie danych osobowych ujawniających:

 pochodzenie rasowe lub etniczne, 

 poglądy polityczne, 

 przekonania religijne lub światopoglądowe, 

 przynależność do związków zawodowych.

Zabronione jest także przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Zakaz przetwarzania powyższych danych wynika z faktu, że przetwarzanie wyżej wskazanych informacji może stanowić poważną ingerencję w sferę prywatności (a nawet intymności) osób, których dane dotyczą, a nawet pociągać za sobą znacznie większe zagrożenia niż przetwarzanie tzw. danych zwykłych. 

Wyjątki od zakazu przetwarzania danych wrażliwych

Ze względu na szczególny charakter danych wrażliwych, ustawodawca unijny dopuszcza ich przetwarzanie jedynie w wyjątkowych sytuacjach, które zostały wymienione w sposób wyczerpujący w art. 9 ust. 2 litera a) – j). Powyższy zakaz zostanie uchylony gdy wystąpi jedna z sytuacji, o których mowa w powołanym przepisie np.  gdy osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu lub jeśli przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy. Co ciekawe, zakaz przetwarzania danych wrażliwych nie obowiązuje również w przypadku, gdy przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą. Chodzi mianowicie o podanie do wiadomości publicznej danych wrażliwych przez samą osobę, której informacje te dotyczą, np. za pośrednictwem Internetu. 

Chociaż od rewolucji w zakresie ochrony danych osobowych, czyli wprowadzenia do polskiego porządku prawnego Rozporządzenia o Ochronie Danych Osobowych (RODO) w dniu 25 maja 2018 roku, minęło trochę czasu, temat RODO wciąż wzbudza obawy i jest niezrozumiały. Dodatkowo w niedalekiej przyszłości czeka nas również rewolucja dotycząca bezpieczeństwa naszych danych w sieci, tj. rozporządzenie o e-Prywatności, zwane potocznie RODO II, które dostało już akceptacje części unijnych instytucji. Czy RODO jest bronią w walce o naszą prywatność?

Czym jest RODO?

Rozporządzenie o Ochronie Danych Osobowych (RODO) reguluje zagadnienia dotyczące prywatności i ochrony danych osobowych. Rozporządzenie nałożyło wiele obowiązków na administratorów danych, tj. firmy, strony internetowe, aplikacje, sklepy, które gromadzą nasze dane osobowe. Rozporządzenie zawiera zatem przepisy, które mówią przedsiębiorcom i konsumentom, do czego mają prawo w zakresie prywatnych informacji i jak należy się z nimi obchodzić. Rozporządzenie reguluje przetwarzanie przez osoby fizyczne, przedsiębiorstwa lub organizacje danych osobowych dotyczących osób fizycznych w Unii Europejskiej. Nie obejmuje ono swoim zakresem przetwarzania danych osobowych dotyczących osób zmarłych ani osób prawnych.

Co zmieniło RODO?

Wejście w życie przepisów RODO sprawiło, że od tego momentu na przedsiębiorstwa zostały nałożone liczne obowiązki związane z analizą ryzyka, zabezpieczeniem informacji czy też przejrzystością prowadzonych działań w zakresie gromadzenia danych osobowych. Do podstawowych obowiązków należy obowiązek powołania Inspektora Ochrony Danych w przedsiębiorstwach, w których przetwarzanie danych stanowi podstawę działalności, obowiązek informowania o wycieku danych oraz obowiązek dokumentowania przetwarzania danych osobowych. Przedsiębiorstwa również zobowiązane są do umożliwienia konsumentom korzystania z ich uprawnień takich jak: prawo do dostępu do danych, prawo do przenoszenia danych, prawo do poprawienia danych osobowych, prawo do bycia zapomnianym.

Jakie są konsekwencje za złamanie rozporządzenia?

Przedsiębiorcy, którzy o to nie zadbają o prawidłowe wdrążenie przepisów rozporządzenia, muszą liczyć się z dotkliwymi karami. W rozporządzeniu przewiduje się dwa maksymalne progi grzywien: do 10 mln euro lub 2 % całkowitego rocznego obrotu za niewypełnianie obowiązku informacyjnego, braki w systemach ochrony danych, nieprawidłowe prowadzenie rejestrów itp. oraz do 20 mln euro lub 4 % całkowitego rocznego obrotu za złamanie podstawowych zasad przetwarzania danych, złamanie praw konsumenckich, niedozwolone udostępnianie danych.

Dolegliwą i być może trudną do odwrócenia konsekwencją dla przedsiębiorcy za brak dostosowania procedur do wymogów prawnych jest utrata renomy firmy jak samego zaufania klientów oraz kontrahentów.  

Z następnego artykułu dowiesz jakie dane chroni RODO.

Jeśli potrzebujesz porady prawnej w sprawie dotyczącej ochrony danych osobowych bądź też jesteś zobowiązany do wdrążenia odpowiednich regulacji w swojej firmie, skontaktuj się z nami telefonicznie pod numerem 32 7538230 lub wyślij e-mail na adres kancelariamosor@gmail.com. Możesz również napisać do nas korzystając z formularza w zakładce „kontakt”.