Podstawy przetwarzania danych osobowych

W jednym z poprzednich artykułów poruszyliśmy kwestię podziału danych osobowych na zwykłe i wrażliwe. Z poniższego artykułu dowiesz się, kiedy przetwarzanie danych osobowych zwykłych jest dozwolone. 

Podstawy przetwarzania danych osobowych zwykłych zostały wskazane w art. 6 ust. 1 RODO. W świetle tego przepisu przedsiębiorca ma prawo przetwarzać dane osobowe jeśli wystąpi co najmniej jedna z poniższych sytuacji (podstawa przetwarzania): 

  • osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

 Co istotne, powyższe podstawy przetwarzania są od siebie niezależne i wystarczy, że wystąpi tylko jedna z nich. W związku z tym może dojść do sytuacji, że pomimo braku zgody od osoby fizycznej na przetwarzanie danych, które jej dotyczą , przedsiębiorca będzie uprawniony do ich przetwarzania, np. gdy jest to niezbędne do wykonania umowy z tą osobą. 

OPT- in a OPT- out

W doktrynie prawa funkcjonują dwa modele dopuszczalności przetwarzania danych osobowych. Model OPT – in zakłada, że osoba fizyczna musi najpierw podjąć jakąś aktywność, celem wyrażenia zgody na przetwarzanie jej danych. Natomiast założeniem leżącym u podstaw modelu OPT-out, jest przyzwolenie na przetwarzanie danych do momentu sprzeciwu osoby fizycznej, której dane dotyczą. Oznacza to, że zgodnie z konstrukcją  OPT – out, można przetwarzać dane osoby fizycznej do momentu wyrażenia przez nią sprzeciwu wobec czynności przetwarzania. Niewątpliwie RODO wprowadziło model OPT-in, ponieważ jeśli dane mają być przetwarzane w oparciu o zgodę, to musi być ona udzielona uprzednio. 

Zgoda osoby na przetwarzanie jej danych osobowych 

Jeśli podstawą przetwarzania jest zgoda osoby fizycznej to należy pamiętać o tym, że RODO wprowadziło definicję takiego oświadczenia w art. 4 pkt 11 RODO. W świetle powołanego przepisu zgoda na przetwarzanie danych osobowych to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Ponadto zgoda taka powinna zawierać jasno określony cel (może być jeden lub kilka) i zakres przetwarzania oraz podmiot na którego rzecz zgoda jest udzielana. Co do formy udzielenia zgody wskazać należy, że może ona być udzielona właściwie dowolnej formie np. pisemnej lub elektronicznej, a także w sposób dorozumiany. Jednak zalecamy udzielanie takiej zgody w sposób, który umożliwi utrwalenie jej treści i tym samym udowodnienie udzielenia tej zgody przez przetwarzającego. 

Odwołanie zgody na przetwarzanie danych osobowych

Współczesny rozwój technologiczny nierozerwalnie związany jest z tym, że nasze dane osobowe są gromadzone oraz przetwarzane. Sama kontrola tych danych może sprawiać trudności, gdyż zamieszczone w internecie informacje są niejednokrotnie udostępniane nieograniczonej liczbie podmiotów, nawet wbrew woli i wiedzy osoby, której dotyczą. Z tego powodu coraz istotniejsza jest świadomość dotycząca ochrony naszej prywatności, która realizuje się między innymi 
w cofnięciu zgody na przetwarzanie danych oraz w prawie do bycia zapomnianym. 

Jak wycofać zgodę na przetwarzanie danych osobowych?

Każda osoba, której dane są przetwarzane ma prawo wycofać swoją zgodę na przetwarzanie danych osobowych. Co istotne, może to zrobić w każdym momencie. Warto jednak pamiętać, że wycofanie zgody pozostaje bez wpływu na przetwarzanie danych, które nastąpiło przed złożeniem oświadczenia o wycofaniu zgody. Złożenie przedmiotowego oświadczenia powinno być tak samo łatwe jak jej wyrażenie – nie może powodować dodatkowych trudności ani generować kosztów. Stosowanie przed przedsiębiorców wieloetapowych mechanizmów lub też żądanie uzasadnienia naszej decyzji, które uniemożliwiają wycofanie zgody, nie jest zgodne z przepisami Rozporządzenia RODO oraz wiąże się z nałożeniem kar finansowych przez UODO. 

Jednym ze sposobów na wycofanie zgody jest rozmowa z przedstawicielem handlowym przedsiębiorstwa przetwarzającego nasze dane osobowe. Oświadczenie może być również złożone za pośrednictwem wiadomości e-mail. Warto jednak zaznaczyć, że obecnie firmy już w wiadomościach e-mail umożliwiają złożenie takiego oświadczenia za pomocą kilku kliknięć myszką.

Warto pamiętać, że prawo do odwołania zgody na przetwarzanie danych osobowych nie jest nieograniczone. W przepisach RODO przewidziano sytuacje, w których oświadczenie o odwołaniu zgody nie będzie uwzględnione przez administratora danych. Mowa tutaj o danych niezbędnych m. in. do korzystania z prawa do wolności wypowiedzi i informacji; z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego, do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych bądź do celów statystycznych oraz do ustalenia, dochodzenia lub obrony roszczeń.

Co oznacza „prawo do bycia zapomnianym”?

Każda osoba ma również prawo do żądania od administratora usunięcia swoich danych osobowych. Administrator będzie zobowiązany do niezwłocznego usunięcia danych osobowych z takich miejsc jak serwer, poczta, pliki, dyski zewnętrzne i przenośne oraz dokumenty papierowe w przypadku, gdy: 

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane;
  • osoba, której dane dotyczą, cofnęła zgodę, w sytuacji, kiedy przetwarzanie opierało się wyłącznie na dobrowolnej zgodzie; 
  • osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania
  • dane osobowe były przetwarzane niezgodnie z prawem
  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator.


Tutaj również warto uwzględnić, że administrator ma prawo zachować nasze dane, które są niezbędne do ustalenia, dochodzenia lub obrony roszczeń. Tytułem przykładu sprzedawca będzie mógł w dalszym ciągu przechowywać dane kupującego, takie jak m.in. imię, nazwisko, adres dostawy czy inne dane kontaktowe, gdyż mogą być one wykorzystywane m.in. do ochrony sprzedawcy przed ewentualnymi przyszłymi roszczeniami.

Z następnego artykułu dowiesz się, jakie są podstawy przetwarzania danych osobowych.

Kogo dotyczy RODO?

Pochylmy się dzisiaj na chwilę nad zagadnieniem kto musi stosować RODO? Czy dotyczy każdego bez wyjątku? Czy trzeba je stosować zawsze, gdy poznasz jakieś dane osobowe? Czy RODO jest wszędzie i zawsze jak powszechnie się uważa?

W powszechnej świadomości RODO dotyczy każdego i każdej sytuacji, gdy w jakiś sposób używane są dane osobowe. Nie jest to jednak prawda.

Jakie czynności z danymi osobowymi obejmuje RODO?

Unijne rozporządzenie używa pojęcia przetwarzania danych. Należy przez nie rozumieć wykonywanie na danych osobowych takich działań jak: przechowywanie, zbieranie, utrwalanie, porządkowanie, wykorzystywanie, usuwanie. W uproszczeniu można przyjąć, że wszelkie działanie jakie jest wykonywanie na danych osobowych to ich przetwarzanie.

Jeśli więc zapisujesz sobie gdzieś kogoś imię nazwisko i telefon, masz pracowników, których umowy trzymasz w szafie itp. to przetwarzasz dane osobowe.

Przepisy RODO nie mają zastosowania do każdego przetwarzania danych, lecz do konkretnych sposobów tj.:

  1. przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany lub
  2. przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

Będziesz przetwarzał dane osobowe w sposób chroniony przez RODO jeżeli imiona i nazwiska swoich kontrahentów będziesz zapisywał w arkuszu kalkulacyjnym na komputerze lub ręcznie w zeszycie. Wciąż nie oznacza to jeszcze, że RODO musisz przestrzegać.  

Jeżeli przetwarzasz dane w któryś z powyższych powodów istnieje możliwość, że powinieneś stosować RODO. Rozporządzenie ma zastosowanie m.in.:

– wobec jednostek organizacyjnych administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii. Z czego wynika, że jeżeli prowadzisz działalność gospodarczą w Unii obowiązuje Cię RODO.

– do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:

a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub

b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

Dopiero jeżeli masz siedzibę w Unii albo Twoi klienci żyją na terenie Unii i działasz zarobkowo lub zawodowo musisz działać w zgodzie z RODO, choć nawet wtedy musisz sprawdzić czy nie dotyczy Ciebie jakieś wyłączenie i RODO bać się nie musisz.

Wyłączenia spod przepisów RODO

Czy każdy kto tak przetwarza dane podlega RODO?
Nie, zależy to jeszcze od tego kto i po co przetwarza dane osobowe. 

Przepisy RODO nie mają zastosowania m.in. w zakresie przetwarzania danych:

–  wykonywanego przez ramach czynności o czysto osobistym lub domowym charakterze np. nie ma problemu. gdy zapiszemy sobie w zeszycie imię nazwisko i numer telefonu hydraulika,

– przez organy ścigania w celu zapobiegania przestępczości,

– w ramach wspólnej polityki bezpieczeństwa i zagranicznej UE.

Słowniczek

Administrator – osoba fizyczna lub prawna, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Potocznie jest to każdy pomiot, który przetwarza lub na którego zlecenie przetwarzane są dane osobowe. 

Podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;