Poradnik Przedsiębiorcy

Jak zidentyfikować zbiór danych osobowych w swojej firmie?

Każdy podmiot, posiadający w dyspozycji dane osobowe, powinien gwarantować legalność ich przetwarzania. Jest to jeden z podstawowych wymogów stawianych przez RODO. Jak legalnie przetwarzać dane osobowe? Jak zidentyfikować zbiór danych osobowych? Odpowiedzi na te pytania znajdziesz poniżej.

Dane osobowe i zbiór danych osobowych - ustawowe definicje

Przed przystąpieniem do identyfikacji zbiorów danych osobowych należy wyjaśnić dwa zasadnicze pojęcia: dane osobowe oraz zbiór danych. Ich prawidłowe zdefiniowanie ułatwi dalsze postępowanie.

Pojęcie danych osobowych zostało określone w art. 4 rozporządzenia RODO. Zgodnie z jego treścią przez dane osobowe rozumie się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Ważne!

Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników, określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Natomiast zbiór danych osobowych, to każdy, posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Identyfikacja zbiorów danych osobowych - zasady

Kolejny krok to zidentyfikowanie zbiorów danych osobowych. Na to czym polega? Opiera się przede wszystkim na przeprowadzeniu wewnętrznej inwentaryzacji (audytu), której celem jest wyodrębnienie zbiorów danych. W dużym skrócie czynność ta sprowadza się do fizycznego obejścia wszystkich działów znajdujących się w firmie i sprawdzenia, gdzie mamy do czynienia z danymi osobowymi.

Ważne!

Przeglądowi podlegają również komputery i systemy informatyczne wykorzystywane w jednostce.

W oparciu o opracowany spis dokonuje się wyselekcjonowania danych osobowych i pogrupowania ich w zbiory.

Kryteria identyfikacji zbiorów danych osobowych

W celu identyfikacji, czym jest zbiór danych osobowych należy określić:

  1. podstawę prawną uprawniająca do przetwarzania danych osobowych,
  2. cel przetwarzania danych osobowych (czy te same dane osobowe będą przetwarzane tylko w jednym celu),
  3. zakres przetwarzania danych osobowych,
  4. sposób przetwarzania danych osobowych w zbiorze (czy będzie to forma papierowa (tradycyjna) czy system informatyczny).

Podstawa prawna przetwarzania danych osobowych

Na podstawie rozporządzenia RODO przetwarzanie danych osobowych jest dopuszczalne. Jest to możliwe, gdy:

  • osoba, której dotyczą dane, wyrazi zgodę na przetwarzanie danych osobowych;
  • jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku, wynikającego z przepisu prawa;
  • jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
  • jest niezbędne do wykonania określonych prawem zadań, realizowanych dla dobra publicznego;
  • jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów, realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Ważne!

Przez prawnie usprawiedliwiony cel przetwarzania danych osobowych uważa się:

  • marketing bezpośredni własnych produktów lub usług administratora danych;

  • dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Jednak w niektórych sytuacjach przetwarzanie danych wrażliwe, jest dopuszczalne. Są to następujące sytuacje:

  1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych 
  2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
  3. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
  4. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
  5. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
  6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
  7. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
  8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego
  9. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
  10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

Jak już wcześniej zostało wspomniane, w oparciu o zebrane dane osobowe dokonujemy wydzielenia zbiorów. Przykładowe zbiory:

  • zbiór zatrudnionych pracowników,

  • zbiór kontrahentów,

  • zbiór pacjentów,

  • zbiór kandydatów do pracy.

Zgłoszenie zbiorów danych osobowych do GIODO

Od 25 maja 2018 roku, czyli wraz z wejściem RODO w życie nie ma obowiązku, ani nawet możliwości zgłoszenia zbioru danych do GIODO. Obowiązek zgłoszenia zbiorów danych zostanie zastąpiony obowiązkiem sporządzenia przez podmioty przetwarzające i administratorów danych osobowych  tzw. rejestrów czynności przetwarzania.

Rejestr jest wewnętrznym, firmowym dokumentem, można go prowadzić zarówno w formie elektronicznej jak i pisemnej. W rejestrze prowadzonym przez administratora (dla podmiotu przetwarzającego wymogi są nieco odmienne) powinny się znaleźć m.in.:

  • imię i nazwisko lub nazwa oraz dane kontaktowe administratora, a także gdy ma to zastosowanie inspektora ochrony danych;
  • cele przetwarzania (w ramach Twojej działalności możesz przetwarzać dane w różnych celach, np. w celu prowadzenia działań marketingowych czy realizowania umów);
  • opis kategorii osób, których dane dotyczą (np. Użytkownicy aplikacji), oraz
  • opis kategorii danych osobowych (nie podajesz tutaj danych konkretnych osób np. Jan Kowalski tylko ogólnie: imię i nazwisko);
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich (w tym dodatkowe informacje związane z przekazaniem danych do państwa trzeciego);
  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. RODO