Poradnik Przedsiębiorcy

Dane osobowe osób fizycznych - jak chronią je przepisy RODO?

RODO chroni dane osobowe osób fizycznych. Przez dane osobowe należy rozumieć wszystkie dane, które umożliwiają pośrednie lub bezpośrednie zidentyfikowanie osoby fizycznej – nie tylko imię i nazwisko czy numer dowodu tożsamości, lecz także poglądy polityczne, społeczne, przynależność kulturowa czy stan zdrowia. RODO uznaje, że prawo do ochrony danych osobowych jest prawem podstawowym każdego człowieka i z tego względu nakłada na administratorów danych (na przykład przedsiębiorców) szereg obowiązków związanych z koniecznością zapewnienia niezwykle silnej ochrony tych danych.

Prawo do ograniczonego przetwarzania danych

Rozmaite podmioty dysponują danymi osobowymi osób fizycznych – pracodawcy zatrudniają pracowników i przetwarzają ich dane osobowe, przedsiębiorcy obsługują swoich klientów i pozyskują informacje o nich w związku z wykonaniem umowy, osoby fizyczne powierzają swoje dane lekarzom i szkołom. Z uwagi na niezwykle szerokie możliwości i sposoby przetwarzania danych osobowych najważniejsze zasady RODO dotyczą ograniczonego celu przetwarzania danych i minimalizacji zakresu danych pozyskiwanych od osób fizycznych

Zgodnie z zasadą ograniczonego celu przetwarzania dane osobowe osób fizycznych mogą być przetwarzane wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach.
Zgodnie z zasadą minimalizacji danych przetwarzane dane muszą być adekwatne, stosowne oraz ograniczone wyłącznie do informacji, których przetwarzanie jest niezbędne z uwagi na cel przetwarzania.

Administratorzy danych nie mogą pozyskiwać i przetwarzać danych w sposób dowolny – mogą to czynić jedynie w przypadkach uzasadnionych z uwagi na sytuacje wymienione w treści rozporządzenia, na przykład w związku z wyrażeniem przez osobę fizyczną zgody na przetwarzanie jej danych osobowych lub w związku z koniecznością wykonania umowy. Osoba fizyczna musi zostać poinformowana o celu i podstawie prawnej przetwarzania jej danych, o czym poniżej.

Jednocześnie administrator danych ma prawo do pozyskiwania wyłącznie minimalnego ich zakresu, koniecznego do osiągnięcia celu przetwarzania. Administrator nie może żądać od osoby fizycznej podania danych, które nie zostaną przez niego wykorzystane – nie może pobierać danych „dodatkowych”, „na przyszłość”, „na wszelki wypadek”.

Przykład 1.

Joanna kupiła buty w sklepie stacjonarnym. Po kilku dniach użytkowania podeszwa w jednym z butów odkleiła się i Joanna postanowiła złożyć reklamację. Podczas wypełniania formularza reklamacyjnego sklep prosił ją o podanie rozmaitych danych, m.in. imienia i nazwiska, adresu e-mail i numeru telefonu w celu umożliwienia kontaktu, a także numeru dowodu osobistego. Żądanie wskazania numeru dowodu osobistego jest sprzeczne z przepisami RODO, informacja ta jest bowiem całkowicie zbędna z punktu widzenia procedury reklamacji towaru.

Dane osobowe powinny być zawsze przetwarzane zgodnie z prawem, w sposób rzetelny (tj. z poszanowaniem obowiązujących przepisów i z zastosowaniem skutecznych metod ochrony danych, w zależności od ich rodzaju i znaczenia) oraz w sposób przejrzysty dla osoby, której dotyczą.

Prawo do wyrażenia zgody

Co do zasady dane osobowe mogą być przetwarzane wyłącznie po uzyskaniu zgody osoby fizycznej, której dotyczą.

Musi ona zostać wyrażona w sposób wyraźny, dobrowolny i jednoznaczny, po spełnieniu obowiązku informacyjnego. Osoba fizyczna musi zostać dokładnie poinformowana o zakresie zgody i jej konsekwencjach. Każdy cel przetwarzania wymaga odrębnie wyrażonej zgody – jeżeli administrator danych pobiera je dla większej liczby celów, musi uzyskać odrębną zgodę na każdy z nich (przykładowo, jeśli przedsiębiorca prowadzi rekrutację, przetwarzanie danych osobowych obejmuje wyłącznie konkretny proces rekrutacyjny – jeżeli przedsiębiorca chce wykorzystać dane w innym celu, np. na wypadek przyszłej rekrutacji na inne stanowisko, musi uzyskać odrębną zgodę potencjalnego pracownika).

Art. 6 ust. 1 RODO
„1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów”.

Co istotne, zgoda nie jest wymagana w każdym przypadku – RODO przewiduje wyjątki, w których administrator danych nie ma obowiązku pozyskiwania wyraźnej zgody osoby fizycznej na przetwarzanie jej danych. Nie jest ona wymagana, kiedy przetwarzanie jest konieczne z uwagi na:

  • obowiązek prawny ciążący na administratorze danych;

  • potrzebę zrealizowania umowy, jeżeli osoba fizyczna jest stroną tej umowy;

  • potrzebę podjęcia działań przed zawarciem umowy, jeżeli osoba fizyczna wyraziła żądanie ich podjęcia (np. przesłanie oferty handlowej);

  • wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

  • potrzebę zrealizowania celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, jeżeli nie narusza to praw i wolności osoby, której dane dotyczą.

Prawo do informacji

Jednym z najważniejszych obowiązków nałożonych na podmioty przetwarzające dane osobowe jest obowiązek informacyjny. Każda osoba fizyczna, której dane są przetwarzane, ma prawo do uzyskania wyczerpujących informacji dotyczących procesu przetwarzania i przechowywania danych, zakresu ich pozyskiwanych, celu przetwarzania, a także obowiązków administratora danych i swoich praw.

W szczególności administrator danych musi poinformować osobę, której dane dotyczą o:

  • swoich danych (w tym nazwie i danych kontaktowych);

  • danych inspektora ochrony danych, jeżeli został wyznaczony;

  • celu przetwarzania danych;

  • zakresie przetwarzania danych;

  • planowanym okresie przetwarzania danych;

  • prawie dostępu do zgromadzonych przez administratora danych;

  • prawie do żądania ich sprostowania lub ograniczenia;

  • prawie do bycia zapomnianym;

  • prawie do złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Jeżeli administrator danych nie wykona ciążącego na nim obowiązku informacyjnego, może ponieść za to odpowiedzialność.

Dane osobowe, a prawo do ich sprostowania i usunięcia

Osoba fizyczna ma prawo do wglądu w swoje dane osobowe, przetwarzanych i przechowywanych przez ich administratora. Jeżeli osoba fizyczna zgłosi takie żądanie, obowiązkiem administratora – po zweryfikowaniu tożsamości żądającego – jest poinformowanie osoby, której dane dotyczą, o posiadanych przez siebie danych. Osoba fizyczna może zażądać przesłania ich kopii, a administrator nie może jej odmówić.

W każdym czasie osoba może zażądać sprostowania danych (jeżeli przechowywane dane są obarczone błędem), ich aktualizacji (np. w przypadku zmiany adresu e-mail czy numeru telefonu) lub ograniczenia ich przetwarzania.

Prawem osoby fizycznej jest również tzw. prawo do bycia zapomnianym, tj. prawo do żądania usunięcia danych. Administrator danych musi usunąć je ze wszystkich używanych nośników, w tym również kopii dokumentów czy kopii zapasowych nośników elektronicznych. RODO przewiduje sytuacje, w których dane nie zostaną usunięte (np. konieczność dochodzenia roszczeń, interes publiczny w przypadku zdrowia publicznego, cele związane z badaniami naukowymi).

Prawo do złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych

Każda osoba fizyczna, która uważa, że jej prawa zostały naruszone przez nieuprawnione przetwarzanie danych (np. przetwarzanie danych bez jej zgody, w innym niż uzgodniony celu, w zbyt szerokim zakresie, gdy administrator odmówił usunięcia danych z bazy itp.), ma prawo do złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Złożenie skargi do Prezesa UODO powinno być poprzedzone złożeniem sprzeciwu do administratora danych. Jeżeli administrator danych nie zareaguje na złożony sprzeciw albo odmówi jego uwzględnienia, wówczas następnym krokiem jest złożenie skargi.

Skarga może zostać złożona w formie elektronicznej za pośrednictwem strony internetowej UODO albo w formie tradycyjnej – papierowej, w tym do protokołu w siedzibie urzędu.

Prezes urzędu przeprowadzi postępowanie w sprawie złożonej skargi i – jeżeli uzna, że administrator danych naruszył przepisy RODO – wyda decyzję administracyjną, w której nakaże administratorowi przywrócenie stanu zgodnego z prawem.

Osoba fizyczna, której prawa zostały naruszone, może również dochodzić odszkodowania na zasadach ogólnych przewidzianych w przepisach Kodeksu cywilnego.