Ochrona przetwarzanych danych osobowych w biurze rachunkowym (cz. 3)

Prawo doprywatności oraz ochrony danych jest zagwarantowane przez Konstytucję Rzeczypospolitej. Zasady przetwarzania danych i prawa osób fizycznych, których dane są albo mogą być przetwarzane, uregulowano m.in. w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - dalej RODO oraz w Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: ustawa). Wyjaśnijmy zatem, czym jest przetwarzanie danych osobowych oraz kto i w jakich okolicznościach może to robić.

Definicja przetwarzania danych osobowych

W RODO posłużono się zwrotem “przetwarzanie danych”. Definicja tej czynności została zakotwiczona w art. 4 pkt 2. i rozumie się przez to jakiekolwiek operacje wykonywane na danych

Zobacz też:

osobowych, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

W praktyce przez przetwarzanie danych należy rozumieć każdą operację albo zestaw operacji, które są dokonywane na danych osobowych za pośrednictwem środków zautomatyzowanych do czego wykorzystywane są najczęściej systemy informatyczne.

Mogą to być m.in. takie czynności jak: rejestracja, porządkowanie, przechowywanie, gromadzenie, adaptacja, modyfikacja, odzyskiwanie, ujawnianie, transmisja, blokowanie, a nawet ich niszczenie.

Ciekawostka

Nawet wykonanie jednorazowej operacji na danych osobowych może być ich przetwarzaniem.

Podstawowe obowiązki w zakresie przetwarzania danych osobowych

Nadrzędnym obowiązkiem administratora danych (jest nim zarówno biuro jak i jego Klient-przedsiębiorca) jest wykazanie, że spełnione zostały odpowiednie warunki prawne dla przetwarzania danych, w tym dopełnienie obowiązku informacyjnego oraz zapewnienie jakości przetwarzanych danych. Dokonując tych czynności, podmiot przetwarzający powinien respektować prawa osób, których dane dotyczą, odpowiednio je zabezpieczyć.

Określenie charakteru danych osobowych: “zwykłe” dane osobowe i dane wrażliwe

Mimo tego, że przepisy o ochronie danych osobowych nie regulują wprost podziału danych na zwykłe i wrażliwe, to stosowanie takich pojęć przyjęło się w praktyce.

“Zwykłe” dane osobowe

Przez “zwykłe” dane osobowe należy uważać wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Z kolei przez osobę możliwą do zidentyfikowania należy rozumieć osobę, której tożsamość można określić bezpośrednio albo pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Przykłady “zwykłych” danych osobowych:

imię i nazwisko,
PESEL,
numer dowodu,
wykształcenie,
adres zamieszkania,
adres e-mail (nie zawsze jest daną osobową).

W myśl przepisów informacji nie będzie się uważało za umożliwiających określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu albo działań. Przykładowo danymi osobowymi nie będą dane zbyt ogólnikowe, np. Jan Kowalski, numer kołnierzyka 43.

Dane osobowe “wrażliwe”

Określenie “wrażliwe” dane osobowe dotyczy szeregu informacji, które są szczególnie ważne dla ochrony prywatności. W myśl przepisów mogą to być informacje, które dotyczą pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych, przynależności do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej osoby.

Warto katalog tego typu danych jest zamknięty (art. 27 ustawy). Szerzej zostanie omówiony w dalszej części artykułu.

Ciekawostka

Nie będą “wrażliwymi” danymi osobowymi informacje, które zostały kulturowo przyjęte za wrażliwie. Dotyczy to m.in. wieku czy numeru konta bankowego.

Warunki przetwarzania “zwykłych” danych osobowych

Wykonywanie operacji na danych osobowych jest możliwe pod warunkiem spełnienia przesłanek uregulowanych w RODO. Spełnienie którejkolwiek z nich (łącznie lub odrębnie) sprawia, że przetwarzanie staje się zgodne z literą prawa.

W przypadku gdy operowanie danymi jest realizacją danego uprawnienia albo obowiązku wynikającego z przepisów, wówczas nie jest potrzebne dodatkowe żądanie zgody osoby na wykorzystywanie danych ani uzasadnianie, że owe przetwarzanie służy dobru publicznemu.

Ciekawostka

Wymaganie zgody na przetwarzanie danych, w sytuacji gdy dochodzi do realizacji normy prawnej (np. umowa na prowadzenie księgowości), wprowadza tak naprawdę w błąd. Jest sugestią wolności wyboru, podczas gdy przekazanie danych w tych okolicznościach jest obowiązkiem, bez którego cel pozyskania danych nie mógłby zostać osiągnięty.

Zgodnie z przepisami przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

W myśl przepisów wyrażona zgoda może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się jego cel.

Wyjątkiem od zasady jest przetwarzanie danych w celu ochrony żywotnych interesów osoby, której dane dotyczą. Wówczas warunkowo dane można przetwarzać także bez zgody tej osoby, jednakże nie dłużej jak do czasu gdy uzyskanie zgody będzie możliwe.

Warunki przetwarzania szczególnie chronionych danych osobowych

Przetwarzanie danych, które podlegają szczególnej ochronie, zasadniczo jest zabronione. Wynika to wprost z brzmienia art. 9 ust 1 RODO.

Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Jednak ustawa przewiduje od tej zasady pewne wyjątki, dopuszczając przetwarzanie danych, jeżeli:

osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglą dowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;
przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osoób, których dane dotyczą, w szczególności tajemnicę zawodową;
przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

Przetwarzanie danych jest pojęciem dość szerokim i swym zakresem obejmuje wiele czynności, począwszy od samego gromadzenia danych, do ich faktycznego wykorzystania. Należy pamiętać o tym, że do przetwarzania danych powinno dochodzić tylko na określonej podstawie prawnej wynikającej z Ustawy o ochronie danych osobowych oraz przepisów szczególnych.

Polecamy:

Jednolity Plik Kontrolny