Poradnik Przedsiębiorcy

Podstawy przetwarzania danych osobowych na gruncie RODO

Wszystkie podmioty gospodarcze w większym lub mniejszym zakresie przetwarzają dane osobowe. Dotyczą one ich klientów, pracowników czy osób odwiedzających stronę internetową. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku  z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) – w skrócie zwane RODO – zostało uchwalone już dwa lata temu, jednak jego stosowanie opóźniono i od 25 maja 2018 r. w zakresie przetwarzania danych osobowych konieczne jest nie tylko stosowanie się do przepisów krajowych, lecz także unijnych. Jakie są podstawy przetwarzania danych osobowych na gruncie RODO?

Obowiązywanie RODO

RODO jest rozporządzeniem, a więc obowiązuje bezpośrednio. Oznacza to, że każdy podmiot, który przetwarza dane osobowe (np. osoba prowadząca jednoosobową działalność gospodarczą, spółka prawa handlowego, stowarzyszenie, fundacja, instytucja państwowa), musi przetwarzać dane osobowe zgodnie z jego przepisami. Podobnie każdy, kogo prawa do prywatności zostały naruszone, może bezpośrednio powoływać się na przepisy RODO, składając skargę do Prezesa Urzędu Ochrony Danych Osobowych (dawniej GIODO), a także pozew w sądzie. Dlatego też bardzo ważne jest odpowiednie zrozumienie obowiązków, jakie nowe przepisy nakładają na przetwarzających dane osobowe.

Jednym z obowiązków jest omówiony w niniejszym artykule obowiązek przetwarzania danych osobowych zgodnie z prawem. Wynika z tego, że w tym zakresie niedopuszczalna jest dobrowolność. Tylko przepisy prawa sankcjonują, a więc uznają za dopuszczalne przetwarzanie danych osobowych.

Podstawy przetwarzania danych osobowych

Zanim przejdziemy dalej, przypomnijmy sobie, czym są dane osobowe i ich przetwarzanie. Dana osobowa to informacja na temat osoby żyjącej, która bez nadmiernego nakładu pracy i środków umożliwi jej identyfikację. Przetwarzaniem jest natomiast każda czynność wykonywana na danych osobowych, w tym również ich przechowywanie i usuwanie (art. 4 RODO).

Kiedy możemy przetwarzać dane osobowe zwykłe, a kiedy wrażliwe?

Rozporządzenie wskazuje dwie zasady określające, kiedy możemy przetwarzać dane osobowe:

  • ogólne zezwolenie na przetwarzanie danych zwykłych pod warunkiem spełnienia choćby jednej z przesłanek art. 6 ust. 1 RODO,

  • ogólny zakaz przetwarzania danych szczególnych (wrażliwych), chyba że zajdą okoliczności stanowiące wyjątek, o których mowa w art. 9 ust. 2 RODO.

Wykaz danych osobowych wrażliwych znajdziemy w art. 9 ust. 1 RODO i są nimi dane: ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, a także dane dotyczące zdrowia, seksualności lub orientacji seksualnej. 

Ogólny zakaz przetwarzania danych wrażliwych bezpośrednio przekłada się na codzienne czynności administratorów danych, np. związek zawodowy nie ujawnia pracodawcy nazwisk pracowników, którzy do niego przynależą. Może to zrobić jedynie, kiedy jest to niezbędne ze względu na przepisy prawa lub słuszny interes pracodawcy albo pracownika.

Ważne!
Ograniczenia w przetwarzaniu danych osobowych określone w RODO nie dotyczą osób fizycznych, które przetwarzają dane osobowe na własny użytek, np. w książce telefonicznej czy zbiorze adresów e-mail.

Kiedy możemy przetwarzać dane osobowe zwykłe (przesłanki art. 6 ust. 1):

  • posiadamy zgodę osoby, której dane dotyczą, na przetwarzanie tych danych we wskazanym przez nas celu, np. prosimy o zgodę w celu wysyłania newslettera,

  • wykonujemy umowę lub czynności poprzedzające tę umowę, a przetwarzanie danych osoby będącej stroną umowy jest niezbędne, np. konieczne jest pobranie imienia i nazwiska oraz adresu w celu wysyłki zakupionego towaru,

  • przepisy prawa zobowiązują nas do przetwarzania danych osobowych, np. przepisy prawa podatkowego nakazują nam przechowywanie faktur i dokumentów, które mogą zawierać dane osobowe,

  • przetwarzanie danych jest niezbędne do ochrony interesów osoby, której dane dotyczą lub innej osoby fizycznej, np. nie musimy pytać o zgodę osoby, która nie zapłaciła nam faktury, by windykować swoje należności, nawet korzystając z firm zewnętrznych,

  • przetwarzanie danych jest niezbędne do wykonywania zadań publicznych, np. urzędy nie muszą pytać osób o zgodę na przetwarzanie danych, wydając decyzje przyznające prawo do zasiłku,

  • kiedy nasze cele jako administratorów danych osobowych wymagają przetwarzania danych i nie narusza to praw osób fizycznych do prywatności, np. monitoring na parkingu strzeżonym umożliwiający ochronie nadzór nad pozostawionymi samochodami będzie nagrywał numery rejestracyjne, marki samochodów czy wizerunek osób nimi jeżdżących, ale na tym polega ochrona tego parkingu.

Wyjątki, które zezwalają na przetwarzanie danych wrażliwych (art. 9 ust. 2):

  • zgoda osoby, której dane dotyczą – na co osoba się zgodzi, takie dane możemy przetwarzać,

  • realizacja przepisów prawa pracy, dotyczących zabezpieczenia społecznego i ochrony socjalnej, np. pracodawca nie potrzebuje zgody pracownika na przechowywanie otrzymanych druków L4,

  • ochrona interesów (istotnych dla życia, np. zdrowotnych, majątkowych) osoby, której dane dotyczą, np. osoba znajduje się w stanie śpiączki i nie może wyrazić zgody na przetwarzanie jej danych medycznych w celu leczenia,

  • wykonywanie działalności o celach politycznych, światopoglądowych, religijnych czy związkowych, np. partia polityczna nie musi prosić jej członków o zgodę na przetwarzanie danej wrażliwej, jaką są poglądy polityczne,

  • upublicznienie danych wrażliwych przez osobę, której te dane dotyczą – jeśli ktoś ogłosi np. na portalu społecznościowym swoją orientację seksualną albo chorobę, na którą cierpi, choć to dana wrażliwa, to jest już upubliczniona przez tę osobę i możemy ją przetwarzać,

  • ochrona roszczeń, sprawowanie wymiaru sprawiedliwości przez sądy, np. sąd nie pyta o zgodę na przetwarzanie danych przestępców,

  • realizacja zadań z zakresu profilaktyki zdrowotnej i medycyny pracy, diagnoza medyczna, ocena zdolności do pracy,

  • interes publiczny w dziedzinie zdrowia publicznego, np. działania organów państwowych czy jednostek medycznych zapobiegające epidemiom,

  • archiwizacja danych w interesie publicznym, np. organy państwowe, uczelnie czy szpitale nie pytają o zgodę, chcąc zarchiwizować dokumenty zawierające dane osobowe wrażliwe,

  • przetwarzanie danych w celach naukowych, historycznych lub statystycznych – osoby piszące prace naukowe nie muszą pytać o zgodę na przetwarzanie dokumentacji zawierającej dane wrażliwe pod warunkiem, że zebrane dane przedstawione będą w tej pracy w sposób zanonimizowany, np. „100 osób w miejscowości X zachorowało na odrę”.

RODO wyodrębnia trzecią kategorię, którą są dane dotyczące wyroków skazujących i naruszeń prawa. Ich przetwarzanie jest dopuszczalne tylko pod nadzorem władz publicznych, chyba że przepisy prawa pozwalają nam na przetwarzanie tych danych. Wtedy to te przepisy określają wszelkie warunki przetwarzania (art. 10 RODO).

Każda z powyższych przesłanek, zarówno dotyczących danych zwykłych, jak i wrażliwych, ma charakter indywidualny. Wystarczy więc, by zaistniała którakolwiek z nich, by przetwarzanie tych danych miało podstawę prawną. Możliwe jest oczywiście jednoczesne występowanie kilku z nich (nie licząc zgody). Nie ma to jednak wpływu na większą lub mniejszą zgodność przetwarzania z prawem. Przesłanki te są równoważne i żadna nie jest ważniejsza od drugiej.

Zgoda osoby

Przetwarzając dane osobowe na podstawie zgody odebranej od osoby, której dane dotyczą, należy pamiętać, że zgoda taka musi być (art. 4 ust. 11 RODO):

  • dobrowolna (nie może być złożona pod przymusem),

  • konkretna (ze zgody musi jasno wynikać, na co się zgadzamy),

  • świadoma (musimy wiedzieć, na co się zgadzamy),

  • jednoznaczna (nie może być wątpliwości, że wyraziliśmy zgodę).

W przypadku danych wrażliwych, zgoda musi być dodatkowo wyraźna, a więc wyrażona na piśmie. Nieprawidłowo odebrana zgoda, np. pod przymusem, jest nieważna.

Osoba, której dane dotyczą, może w każdej chwili wycofać zgodę, jednak nie ma to wpływu na zgodność z prawem przetwarzania sprzed wycofania zgody. Należy zapewnić warunki, by wycofanie zgody było równie łatwe, jak jej wyrażenie (art. 7 RODO).

Ważnym problemem w wielu sytuacjach jest ważność zgód na przetwarzanie danych, które zostały wyrażone przed 25 maja 2018 r. Co do zasady zachowują one swoją ważność pod warunkiem, że były odebrane w taki sposób, jaki jest wymagany przez RODO (dobrowolnie, konkretnie, świadomie i jednoznacznie).

Dane osobowe dzieci

Rozporządzenie w szczególny sposób podchodzi do przetwarzania danych osobowych dzieci. W przypadku realizacji usług społeczeństwa informatycznego (głównie serwisy WWW), na przetwarzanie danych osobowych dzieci poniżej 16 r.ż. konieczna jest zgoda ich opiekunów prawnych. Administrator danych ma w miarę możliwości technicznych dołożyć starań, by zweryfikować wiek osoby wyrażającej zgodę. Weryfikacja może odbyć się np. poprzez rozmowę telefoniczną, oświadczenie złożone na piśmie, dokonanie zwrotnego mikroprzelewu. Warto w tym momencie wspomnieć, że na ważność umów na gruncie prawa cywilnego zawieranych przez dzieci nie ma wpływu ważność wyrażonej zgody.

Państwa członkowskie UE mogą przepisami krajowymi obniżać ten wiek do 13 r.ż. (art. 8 RODO), jednak Polska nie skorzystała z tego uprawnienia.

Podsumowanie

Prawidłowe określenie podstawy przetwarzania danych osobowych jest niezwykle ważne z punktu widzenia zgodności przetwarzania z prawem. Jak zostało wykazane wyżej, nie zawsze niezbędna jest zgoda osoby, byśmy mogli przetwarzać jej dane. Jeśli mamy podstawę prawną do przetwarzania wynikającą wprost z przepisów, np. wystawiamy fakturę osobie fizycznej, wysyłamy towar pocztą, to wymaganie zgody na przetwarzanie danych w tym celu jest niezasadne. Częstym błędem jest stosowanie metody „zgoda na wszelki wypadek”. O zgodę możemy prosić tylko w przypadku, kiedy nie zachodzą inne przesłanki zezwalające nam na przetwarzanie danych. Należy pamiętać, że błędy w tym zakresie może wytknąć nam nie tylko ewentualna kontrola organów państwowych, lecz także podmioty danych, czyli osoby których dane przetwarzamy.

Autor: Tomasz Szyja