Przedsiębiorcy podczas prowadzenia działalności gospodarczej gromadzą liczne informacje dotyczące swoich klientów oraz kontrahentów, jednak muszą pamiętać o tym, że niektóre z nich będą stanowić dane osobowe, w związku z czym należy je przetwarzać zgodnie z zasadami określonymi przez ustawodawcę oraz zapewnić im stosowną ochronę. Wymaga tego zarówno profesjonalizm, jak i przepisy prawa nadające przedsiębiorcy rolę administratora danych osobowych. Na czym polega przetwarzanie danych osobowych? Wyjaśniamy poniżej.
Przetwarzanie danych osobowych – definicja ustawowa
Ustawowa definicja pojęcia „przetwarzanie danych osobowych” została zawarta w art. 7 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883 ze zm.; dalej: u.o.d.o.), zgodnie z którym przetwarzanie danych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
25 maja 2018 roku weszła w życie nowa ustawa o ochronie danych osobowych, zastępująca dotychczasowe regulacje, jednakże przywołany przepis, wyjątkowo, zachował moc, w związku z czym definicja legalna przetwarzania danych osobowych nie zmieniła się.
W praktyce najczęściej przetwarzanie danych osobowych polega na ich rejestracji, przechowywaniu oraz ujawnianiu w zautomatyzowany sposób. Co ciekawe, za przetwarzanie danych uznaje się również ich niszczenie.
Przetwarzanie danych osobowych według RODO
Również 25 maja 2018 r. weszło w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. rozporządzenie RODO)
Zgodnie z art. 4 pkt 2 rozporządzenia RODO „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Przytoczone definicje przetwarzania danych osobowych nie różnią się znacząco od siebie. W rozporządzeniu RODO przytoczono wprawdzie bardziej obszerny katalog przykładowych sposobów przetwarzania danych, ale to nie definicje, lecz wprowadzenie zasad przetwarzania danych osobowych stanowi podstawę nowych standardów ochrony danych.
Rozporządzenie RODO wprowadziło następujące zasady przetwarzania danych osobowych:
1. Zasada minimalizmu, zgodnie z którą przetwarzanie danych osobowych jest dopuszczalne w zakresie, w jakim jest to niezbędne. Zakazane jest gromadzenie danych osobowych „na zapas”.
2. Zasada rozliczalności, zgodnie z którą administrator danych osobowych odpowiada za przestrzeganie przepisów o ochronie danych osobowych.
Kiedy przetwarzanie danych osobowych jest legalne?
Zgodnie z art. 6 rozporządzenia RODO przetwarzanie danych osobowych jest legalne, gdy spełnione zostaną następujące warunki:
1. osoba, której dane dotyczą, wyraziła zgodę na ich przetwarzanie;
2. przetwarzanie danych jest niezbędne do:
wykonania umowy lub podjęcia działań przed jej zawarciem;
- wypełnienia obowiązku prawnego;
- ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;
- wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej;
- celów wynikających z prawnie uzasadnionych interesów.
Zgodnie z rozporządzeniem RODO w każdym z wyżej wskazanych przypadków możemy zgodnie z prawem przetwarzać tzw. dane zwykłe.
Natomiast nadal obowiązujący art. 23 u.o.d.o. stanowi, że przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;
jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Zgodnie z ust. 4 przywołanego przepisu za prawnie usprawiedliwiony cel, o którym mowa w punkcie 5, uważa się w szczególności:
marketing bezpośredni własnych produktów lub usług administratora danych;
dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Należy wskazać, że unijne rozporządzenie ma pierwszeństwo przed ustawą o danych osobowych. W związku z tym w przypadku kolizji obu tych aktów należy stosować regulacje zawarte w rozporządzeniu RODO. Dla przykładu można wskazać, że ustawa o ochronie danych osobowych uznaje za dopuszczalne przetwarzanie danych osobowych, gdy jest to niezbędne dla zrealizowania uprawnienia wynikającego z przepisu prawa. Rozporządzenie RODO nie przewiduje takiej przesłanki legalności przetwarzania danych osobowych, w związku z tym od dnia jego wejścia w życie nie można się na nią powoływać.
Generalny Inspektor Danych Osobowych wskazał, że „przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.). Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 pkt 2 ustawy, w tym w szczególności do ich udostępnienia. Są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich. Zgodnie natomiast z art. 23 ust. 1 pkt 2 ustawy, przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Tym samym zgoda na przetwarzanie danych, o której mowa w art. 23 ust. 1 pkt 1 ustawy, nie jest jedyną przesłanką legalizującą proces przetwarzania danych osobowych” (decyzja GIODO z 20 czerwca 2013 roku, DOLiS/DEC 673/13/38829).
Czy można udzielić zgody na przetwarzanie danych osobowych w przyszłości?
Zgodnie z art. 23 ust. 2 u.o.d.o. zgoda może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.
Należy podkreślić, że istnieją sytuacje, w których przetwarzanie danych jest niezbędne dla bardzo ważnych interesów osoby (ustawodawca określa je jako „żywotne”), której dane dotyczą, a uzyskanie jej zgody jest niemożliwe, wówczas można przetwarzać dane bez zgody tej osoby, do czasu, gdy jej uzyskanie będzie możliwe.
Czy trzeba uzyskać zgodę rodzica na przetwarzanie danych osobowych dziecka?
Do ukończenia przez dziecko 16. roku życia zgody na przetwarzanie danych osobowych dziecka udziela rodzic. Nie dotyczy to przypadków, w których podstawą przetwarzania danych osobowych jest akceptacja regulaminu świadczenia usług drogą elektroniczną – wówczas nie ma obowiązku uzyskiwania zgody rodzica na przetwarzanie danych dziecka.
Przykład bezprawnego przetwarzania danych osobowych – przetwarzanie danych osobowych klienta w celach marketingowych poprzez kierowanie do niego informacji handlowych w internetowym serwisie transakcyjnym
Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 9 października 2015 roku, II SA/Wa 40/15, stwierdził, że „klient, logując się do serwisu informacyjnego przy użyciu unikalnego loginu i tylko jemu znanego hasła, ma prawo oczekiwać, iż wszystkie informacje, do których otrzyma dostęp, będą spersonalizowane. Klient może więc zakładać, że informacje, z jakimi się zapozna po zalogowaniu, będą kierowane tylko i wyłącznie do niego i że będą uwzględniały jego osobiste preferencje, w tym m.in. dotyczące braku zgody na kierowanie do niego reklam. Jeśli bowiem po zalogowaniu się do serwisu klient ma możliwość zapoznania się z reklamą, to świadczy to o tym, że dokonano operacji na jego danych osobowych w celach marketingowych. Dochodzi więc w takiej sytuacji do bezprawnego (wobec złożonego sprzeciwu klienta) przetwarzania jego danych osobowych”.
Przykład bezprawnego przetwarzania danych osobowych – pozyskiwanie informacji na temat pracowników korzystających z ochrony związku zawodowego
„Przepis art. 30 ust. 21 ustawy z dnia 23 maja 1991 r. o związkach zawodowych (t.j. Dz. U. z 2001 r. Nr 79, poz. 854) w związku z art. 232 kp, nie może stanowić podstawy do pozyskiwania przez pracodawcę od organizacji związkowej danych osobowych wszystkich pracowników korzystających z ochrony związku zawodowego. Oznacza to, że pozyskiwanie informacji o korzystaniu przez pracownika z ochrony związkowej w toku konsultacji ze związkami zawodowymi jest uzasadnione w razie zamiaru wypowiedzenia warunków pracy i płacy konkretnemu pracownikowi lub pracownikom lub rozwiązaniu umowy o pracę z konkretnym pracownikiem lub pracownikami. Dlatego też brak jest podstaw do pozyskiwania danych osobowych we wskazanym zakresie w odniesieniu do wszystkich pracowników korzystających z ochrony związku zawodowego w sytuacji, gdy nie są oni objęci zamiarem pracodawcy wypowiedzenia im warunków zatrudnienia albo rozwiązania z nimi umów o pracę” (Wyrok Wojewódzkiego Sądu Administracyjnego z 5 września 2013 roku, II SA/Wa 764/13).
