Ochrona danych osobowych w biurze rachunkowym (cz. 3) - Czym jest przetwarzanie danych osobowych?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Prawo do prywatności oraz ochrony danych jest zagwarantowane przez Konstytucję Rzeczypospolitej. Zasady przetwarzania danych i prawa osób fizycznych, których dane są albo mogą być przetwarzane, uregulowano m.in. w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - dalej RODO oraz w Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: ustawa). Wyjaśnijmy zatem, czym jest przetwarzanie danych osobowych oraz kto i w jakich okolicznościach może to robić.

Definicja przetwarzania danych osobowych

W RODO posłużono się zwrotem “przetwarzanie danych”. Definicja tej czynności została zakotwiczona w art. 4 pkt 2. i rozumie się przez to jakiekolwiek operacje wykonywane na danych

osobowych, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

W praktyce przez przetwarzanie danych należy rozumieć każdą operację albo zestaw operacji, które są dokonywane na danych osobowych za pośrednictwem środków zautomatyzowanych do czego wykorzystywane są najczęściej systemy informatyczne. 

Mogą to być m.in. takie czynności jak: rejestracja, porządkowanie, przechowywanie, gromadzenie, adaptacja, modyfikacja, odzyskiwanie, ujawnianie, transmisja, blokowanie, a nawet ich niszczenie.

Ciekawostka

Nawet wykonanie jednorazowej operacji na danych osobowych może być ich przetwarzaniem.

Podstawowe obowiązki w zakresie przetwarzania danych osobowych

Nadrzędnym obowiązkiem administratora danych (jest nim zarówno biuro jak i jego Klient-przedsiębiorca) jest wykazanie, że spełnione zostały odpowiednie warunki prawne dla przetwarzania danych, w tym dopełnienie obowiązku informacyjnego oraz zapewnienie jakości przetwarzanych danych. Dokonując tych czynności, podmiot przetwarzający powinien respektować prawa osób, których dane dotyczą, odpowiednio je zabezpieczyć.

Określenie charakteru danych osobowych: “zwykłe” dane osobowe i dane wrażliwe

Mimo tego, że przepisy o ochronie danych osobowych  nie regulują wprost podziału danych na zwykłe i wrażliwe, to stosowanie takich pojęć przyjęło się w praktyce.

“Zwykłe” dane osobowe

Przez “zwykłe” dane osobowe należy uważać wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Z kolei przez  osobę możliwą do zidentyfikowania należy rozumieć osobę, której tożsamość można określić bezpośrednio albo pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Przykłady “zwykłych” danych osobowych:

  • imię i nazwisko,

  • PESEL,

  • numer dowodu,

  • wykształcenie,

  • adres zamieszkania,

  • adres e-mail (nie zawsze jest daną osobową). 

W myśl przepisów informacji nie będzie się uważało za umożliwiających określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu albo działań. Przykładowo danymi osobowymi nie będą dane zbyt ogólnikowe, np. Jan Kowalski, numer kołnierzyka 43.

Dane osobowe “wrażliwe”

Określenie “wrażliwe” dane osobowe dotyczy szeregu informacji, które są szczególnie ważne dla ochrony prywatności. W myśl przepisów mogą to być informacje, które dotyczą pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych, przynależności do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej osoby.

Warto katalog tego typu danych jest zamknięty (art. 27 ustawy). Szerzej zostanie omówiony w dalszej części artykułu.

Ciekawostka

Nie będą “wrażliwymi” danymi osobowymi informacje, które zostały kulturowo przyjęte za wrażliwie. Dotyczy to m.in. wieku czy numeru konta bankowego.

Warunki przetwarzania “zwykłych” danych osobowych

Wykonywanie operacji na danych osobowych jest możliwe pod warunkiem spełnienia przesłanek uregulowanych w RODO. Spełnienie którejkolwiek z nich (łącznie lub odrębnie) sprawia, że przetwarzanie staje się zgodne z literą prawa.

W przypadku gdy operowanie danymi jest realizacją danego uprawnienia albo obowiązku wynikającego z przepisów, wówczas nie jest potrzebne dodatkowe żądanie zgody osoby na wykorzystywanie danych ani uzasadnianie, że owe przetwarzanie służy dobru publicznemu.

Ciekawostka

Wymaganie zgody na przetwarzanie danych, w sytuacji gdy dochodzi do realizacji normy prawnej (np. umowa na prowadzenie księgowości), wprowadza tak naprawdę w błąd. Jest sugestią wolności wyboru, podczas gdy przekazanie danych w tych okolicznościach jest obowiązkiem, bez którego cel pozyskania danych nie mógłby zostać osiągnięty.

Zgodnie z przepisami przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

  1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

  3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

  4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

  5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

  6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

W myśl przepisów wyrażona zgoda może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się jego cel.

Wyjątkiem od zasady jest przetwarzanie danych w celu ochrony żywotnych interesów osoby, której dane dotyczą. Wówczas warunkowo dane można przetwarzać także bez zgody tej osoby, jednakże nie dłużej jak do czasu gdy uzyskanie zgody będzie możliwe.

Warunki przetwarzania szczególnie chronionych danych osobowych

Przetwarzanie danych, które podlegają szczególnej ochronie, zasadniczo jest zabronione. Wynika to wprost z brzmienia art. 9 ust 1 RODO.

Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Jednak ustawa przewiduje od tej zasady pewne wyjątki, dopuszczając przetwarzanie danych, jeżeli:

  1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
  2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
  3. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
  4. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglą­ dowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
  5. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
  6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
  7. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
  8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;
  9. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osoób, których dane dotyczą, w szczególności tajemnicę zawodową;
  10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

Przetwarzanie danych jest pojęciem dość szerokim i swym zakresem obejmuje wiele czynności, począwszy od samego gromadzenia danych, do ich faktycznego wykorzystania. Należy pamiętać o tym, że do przetwarzania danych powinno dochodzić tylko na określonej podstawie prawnej wynikającej z Ustawy o ochronie danych osobowych oraz przepisów szczególnych.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów