Poradnik Przedsiębiorcy

Powered by

wFirma.pl

Poznaj
niezbędne narzędzia
do zarządzania
Twoją firmą!

Dostępne
na wszystkie
platformy

Apple Windows Android BlackBerry

Ochrona danych osobowych w biurze rachunkowym (cz. 3) - Czym jest przetwarzanie danych osobowych?

Prawo do prywatności oraz ochrony danych jest zagwarantowane przez Konstytucję Rzeczypospolitej. Zasady przetwarzania danych i prawa osób fizycznych, których dane są albo mogą być przetwarzane, uregulowano m.in. w Ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: ustawa) oraz w szeregu aktów wykonawczych. Wyjaśnijmy zatem, czym jest przetwarzanie danych osobowych oraz kto i w jakich okolicznościach może tego dokonywać.

Definicja przetwarzania danych osobowych

W ustawie posłużono się zwrotem “przetwarzanie danych”. Definicja tej czynności została zakotwiczona w art. 7 pkt 2. i rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

W praktyce przez przetwarzanie danych należy rozumieć każdą operację albo zestaw operacji, które są dokonywane na danych osobowych za pośrednictwem środków zautomatyzowanych.

Mogą to być m.in. takie czynności jak: rejestracja, porządkowanie, przechowywanie, gromadzenie, adaptacja, modyfikacja, odzyskiwanie, ujawniania, transmisja, blokowanie, a nawet ich niszczenie.

Ciekawostka

Nawet wykonanie jednorazowej operacji na danych osobowych może być ich przetwarzaniem.

Podstawowe obowiązki w zakresie przetwarzania danych osobowych

Nadrzędnym obowiązkiem administratora danych jest wykazanie, że spełnione zostały odpowiednie warunki prawne dla przetwarzania danych, w tym dopełnienie obowiązku informacyjnego oraz zapewnienie jakości przetwarzanych danych. Dokonując tych czynności, podmiot przetwarzający powinien respektować prawa osób, których dane dotyczą, odpowiednio je zabezpieczyć.

Określenie charakteru danych osobowych: “zwykłe” dane osobowe i dane wrażliwe

Mimo tego, że ustawa o ochronie danych osobowych nie reguluje wprost podziału danych na zwykłe i wrażliwe, to stosowanie takich pojęć przyjęło się w praktyce.

“Zwykłe” dane osobowe

Przez “zwykłe” dane osobowe należy uważać wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Z kolei przez  osobę możliwą do zidentyfikowania należy rozumieć osobę, której tożsamość można określić bezpośrednio albo pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Przykłady “zwykłych” danych osobowych:

  • imię i nazwisko,

  • PESEL,

  • numer dowodu,

  • wykształcenie,

  • adres zamieszkania,

  • adres e-mail.

W myśl ustawy informacji nie będzie się uważało za umożliwiających określenie tożasamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu albo działań. Przykładowo danymi osobowymi nie będą dane zbyt ogólnikowe, np. Jan Kowalski, numer kołnierzyka 43.

Dane osobowe “wrażliwe”

Określenie “wrażliwe” dane osobowe dotyczy szeregu informacji, które są szczególnie ważne dla ochrony prywatności. W myśl ustawy mogą to być informacje, które dotyczą pochodzenia rasowego, etnicznego, poglądów politycznych, przekonań religijnych, stanu zdrowia itp.

Warto katalog tego typu danych jest zamknięty (art. 27 ustawy). Szerzej zostanie omówiony w dalszej części artykułu.

Ciekawostka

Nie będą “wrażliwymi” danymi osobowymi informacje, które zostały kulturowo przyjęte za wrażliwie. Dotyczy to m.in. wieku czy numeru konta bankowego.

Warunki przetwarzania “zwykłych” danych osobowych

Wykonywanie operacji na danych osobowych jest możliwe pod warunkiem spełnienia ustawowych przesłanek. Spełnienie którejkolwiek z nich (łącznie lub odrębnie) sprawia, że przetwarzanie staje się zgodne z literą prawa.

W przypadku gdy operowanie danymi jest realizacją danego uprawnienia albo obowiązku wynikającego z przepisów, wówczas nie jest potrzebne dodatkowe żądanie zgody osoby na wykorzystywanie danych ani uzasadnianie, że owe przetwarzanie służy dobru publicznemu.

Ciekawostka

Wymaganie zgody na przetwarzanie danych, w sytuacji gdy dochodzi do realizacji normy prawnej, wprowadza tak naprawdę w błąd. Jest sugestią wolności wyboru, podczas gdy przekazanie danych w tych okolicznościach jest obowiązkiem, bez którego cel pozyskania danych nie mógłby zostać osiągnięty.

Zgodnie z ustawą przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

W przypadku wymaganej zgody osoby, której dane dotyczą, należy mieć na uwadze definicję zgody wynikającą z art. 7 ustawy, przez którą rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Ponadto może być odwołana w każdym czasie. Choć z przepisu to nie wynika, zaleca się, by jej wyrażenie miało formę pisemną.

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

Przesłanka ta jest uzasadnieniem dla przetwarzania danych przede wszystkim przez podmioty publiczne. Ich bowiem działania wyznaczone są przez przepisy prawa. Czynności zaś podejmują w celu wykonania zadań oraz kompetencji wyznaczonych w ustawach czy rozporządzeniach ministrów.

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

Polecamy

Wartość odsetek niepodlegających wpłacie wzrosła do 8,70 zł!

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej).

W myśl przepisów wyrażona zgoda może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się jego cel.

Wyjątkiem od zasady jest przetwarzanie danych w celu ochrony żywotnych interesów osoby, której dane dotyczą. Wówczas warunkowo dane można przetwarzać także bez zgody tej osoby, jednakże nie dłużej jak do czasu gdy uzyskanie zgody będzie możliwe.

Warunki przetwarzania szczególnie chronionych danych osobowych

Przetwarzanie danych, które podlegają szczególnej ochronie, zasadniczo jest zabronione. Wynika to wprost z brzmienia art. 27 ustawy.

Art. 27. 1.Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Jednak ustawa przewiduje od tej zasady pewne wyjątki, dopuszczając przetwarzanie danych, jeżeli:

1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych,

2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony,

3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora,

4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych,

5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem,

6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie,

7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych,

8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą,

9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone,

10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

Przetwarzanie danych jest pojęciem dość szerokim i swym zakresem obejmuje wiele czynności, począwszy od samego gromadzenia danych, do ich faktycznego wykorzystania. Należy pamiętać o tym, że do przetwarzania danych powinno dochodzić tylko na określonej podstawie prawnej wynikającej z Ustawy o ochronie danych osobowych oraz przepisów szczególnych.