Jakie prawa przysługują osobom, których dane dotyczą?

Realizując przetwarzanie danych osobowych, administrator musi mieć na uwadze, że RODO przyznaje osobom, których dane dotyczą, szereg uprawnień związanych ze sprawowaniem kontroli nad własnymi danymi. Oznacza to, że oprócz zapewnienia bezpieczeństwa danym, administrator jest obowiązany do realizacji praw podmiotów danych. Opieszałość w tej materii może narazić administratora danych na kontrolę organu nadzorczego, a nawet wysokie kary finansowe. Warto wobec tego wiedzieć, jakich działań może domagać się każda osoba, której dane przetwarzamy.

Jakie prawa RODO przyznaje osobie, której dane są przetwarzane?

Prawami jakie przysługują osobom fizycznym są:

  1. prawo dostępu do danych oraz uzyskania ich kopii;

  2. prawo do indywidualnej kontroli;

  3. prawo do sprostowania i uzupełnienia danych;

  4. prawo do usunięcia danych („do bycia zapomnianym”);

  5. prawo do ograniczenia przetwarzania;

  6. prawo do wycofania zgody;

  7. prawo do przenoszenia danych;

  8. prawo sprzeciwu;

  9. prawo do wniesienia skargi do organu nadzorczego.

Prawo dostępu do danych

Jednym z najważniejszych praw przysługujących osobie, której dane są przetwarzane, jest prawo dostępu do nich. Każda osoba fizyczna musi mieć zapewniony dostęp do danych jej dotyczących, które podlegają procesowi przetwarzania. Uprawnienie to powinno być realizowane przez administratora w rozsądnym okresie czasu, tak, by podmiot uprawniony miał świadomość przetwarzania i mógł dokonać oceny zgodności tego przetwarzania z prawem. 

Jeżeli istnieje taka możliwość, administrator powinien umożliwić osobie, której dane dotyczą, zdalny dostęp do wyżej wymienionych informacji. Ponadto osoba taka jest uprawniona do otrzymania bezpłatnej kopii tych danych. Za każdą kolejną kopię, której żąda podmiot danych, administrator może pobrać opłatę w rozsądnej wysokości wynikającą z kosztów administracyjnych. 

Prawo do indywidualnej kontroli

Osoba, której dane dotyczą, powinna mieć możliwość kontroli procesu przetwarzania swoich danych. Podstawą tego uprawnienia jest obowiązek administratora danych osobowych (ADO) do podania informacji o tym, czy dane konkretnej osoby podlegają procesowi przetwarzania w jego organizacji. Jeżeli taka sytuacja ma miejsce, wówczas można wnioskować o udzielenie określonych informacji (np.: o celu przetwarzania danych, okresie ich przetwarzania czy przysługujących prawach).

Prawo do sprostowania i uzupełnienia danych

Osoba uprawniona ma prawo żądania od administratora niezwłocznego sprostowania nieprawidłowych danych, które jej dotyczą. Może ona także uzupełnić dane niekompletne. Należy jednak pamiętać, że uzupełnienie danych powinno być dokonane z uwzględnieniem celów przetwarzania. Oznacza to, że osoba uprawniona nie może żądać dodania informacji, które byłyby nadmierne z punktu widzenia celu przetwarzania. 

Prawo do usunięcia danych („do bycia zapomnianym”)

Osoba, której dane dotyczą, może zażądać od administratora usunięcia jej danych, a ADO ma obowiązek niezwłocznie to działanie wykonać, gdy zostanie spełniona jedna z przesłanek wymienionych w art. 17 RODO. Należą do nich:

  • sytuacja, w której dane osobowe nie są już niezbędne do realizacji celów, dla których zostały pozyskane;

  • cofnięcie zgody na przetwarzanie danych osobowych przez osobę uprawnioną (w sytuacji, gdy była to jedyna podstawa prawna przetwarzania);

  • wniesienie sprzeciwu wobec przetwarzania danych (jeżeli nie występują prawnie uzasadnione przyczyny dalszego przetwarzania);

  • sytuacja, w której dane przetwarzane były niezgodnie z prawem;

  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;

  • sytuacja, w której zostały zebrane dane dziecka w związku z bezpośrednim oferowaniem usług społeczeństwa informacyjnego (np. dostęp do gazet on-line).

Prawo do ograniczenia przetwarzania

RODO przyznaje osobie, której dane dotyczą, prawo do żądania ograniczenia przetwarzania danych, gdy:

  • osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – dotyczy to okresu, gdy ADO sprawdza poprawność danych;

  • przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

  • administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;

  • osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Do metod ograniczenia danych można zaliczyć: przeniesienie na określony czas wybranych danych do innego systemu przetwarzania, uniemożliwienie użytkownikom dostępu do określonych danych, usunięcie danych ze strony internetowej na określony czas oraz powstrzymanie się od wszelkich działań poza przechowywaniem.

Prawo do wycofania zgody

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę, o ile oczywiście przetwarzanie odbywa się na jej podstawie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie tej zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę.

Wycofanie zgody musi być równie łatwe jak jej wyrażenie

Prawo do przenoszenia danych

Osoba uprawniona może zażądać od administratora przekazania jej danych w powszechnie używanym formacie nadającym się do odczytu maszynowego. Może ona także uzyskać przeniesienie tych danych przez administratora do innego podmiotu. Z uprawnienia tego mogą skorzystać wyłącznie osoby, których dane przetwarzane są na podstawie zgody, w celu wykonania umowy lub gdy przetwarzanie odbywa się w sposób automatyczny. 

Prawo sprzeciwu

Zgodnie z art. 21 RODO osoba uprawniona, która znajduje się w szczególnej sytuacji, może w dowolnym momencie wnieść sprzeciw wobec przetwarzania dokonywanego w ramach zadań wykonywanych w interesie publicznym, związanego ze sprawowaniem władzy publicznej powierzonej ADO lub ze względu na prawnie uzasadnione interesy administratora. 

Ponadto zgodnie z art. 21 ust. 2 RODO osoba, której dane dotyczą, może sprzeciwić się przetwarzaniu danych na potrzeby marketingu bezpośredniego, w tym profilowania. Sprzeciw ten dotyczy danych w zakresie, w jakim przetwarzanie jest związane z takim marketingiem.

Prawo do wniesienia skargi do organu nadzorczego

Każda osoba, której dane są przetwarzane, ma prawo wnieść skargę do organu nadzorczego. W Polsce organem nadzoru jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). Z uprawnienia tego można skorzystać w sytuacji, gdy osoba ta podejrzewa, że dane jej dotyczące są przetwarzane niezgodnie z prawem.

Administrator a realizacja uprawnień 

ADO zobowiązany jest nie tylko do realizacji uprawnień przysługujących osobom, których dane są przetwarzane, ale także ma on obowiązek przekazania informacji o podjętych przez niego niezbędnych działaniach w celu wykonania tych uprawnień. Informacje te powinien dostarczyć bez zbędnej zwłoki, najpóźniej w ciągu miesiąca od otrzymania wniosku. W sprawach skomplikowanych termin ten może ulec przedłużeniu o dwa miesiące, jednak w takim przypadku w ciągu miesiąca należy poinformować o przedłużeniu oraz podać przyczynę opóźnienia. 

Jeżeli żądania są ewidentnie nieuzasadnione lub nadmierne, administrator może pobrać rozsądną opłatę za ich spełnienie lub odmówić realizacji roszczenia. ADO musi jednak powiadomić osobę uprawnioną o zaistniałym fakcie i przyczynach niespełnienia żądania. Powinien on także poinformować o możliwości wniesienia skargi do organu nadzorczego oraz o sądowej możliwości dochodzenia ochrony praw.

Kiedy i jak – zgodnie z RODO – należy spełnić obowiązek informacyjny?

Tylko osoba, która została należycie poinformowana, może skutecznie podejmować decyzje dotyczące przetwarzania jej danych osobowych. Z tego względu obowiązek informacyjny jest jedną z podstawowych powinności administratora danych osobowych.

Odpowiedź na pytania, kiedy i w jaki sposób należy spełnić obowiązek informacyjny jest jednym z kluczowych zagadnień dla administratorów danych osobowych. 

Kiedy należy udzielić informacji o procesie przetwarzania?

Obowiązek informacyjny polega na zobligowaniu administratora do przekazania informacji o przetwarzaniu danych osobie, której dane dotyczą.

RODO przewiduje trzy takie sytuacje:

  • przy zbieraniu danych bezpośrednio od osoby, której te dane dotyczą (np. przy zbieraniu danych przez formularz kontaktowy/rejestracyjny na stronie, landing pages, papierowe formularze);

  • przy zbieraniu danych ze źródeł innych niż osoba, której te dane dotyczą (np. od naszych partnerów biznesowych, z internetu- olx, allegro, ale również pracuj,pl);

  • gdy zmienia się cel przetwarzanych danych (np. sprzedaż naszych produktów naszym pracownikom, która dokumentowane jest fakturą).

Zbieranie danych bezpośrednio od osoby, której dane dotyczą

W pierwszym z podanych przypadków administrator danych osobowych powinien spełnić obowiązek informacyjny przed tym, gdy podmiot udostępni mu jeszcze swoje dane osobowe. Ma to bowiem umożliwić temu podmiotowi właściwą ocenę sytuacji i pomóc w podjęciu decyzji o udostępnieniu lub odmowie udostępnienia swoich danych osobowych.

Zgodnie z art. 13 RODO firma jest zobowiązana do poinformowania o:

  1. swojej tożsamości i danych kontaktowych;

  2. tożsamości i danych kontaktowych swojego przedstawiciela (gdy ma to zastosowanie);

  3. danych kontaktowych inspektora ochrony danych (gdy ma to zastosowanie);

  4. celu przetwarzania danych osobowych oraz podstawie prawnej przetwarzania;

  5. prawnie uzasadnionym interesie realizowanym przez administratora lub przez stronę trzecią (jeżeli takowe występują);

  6. odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

  7. zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (gdy ma to zastosowanie);

  8. okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;

  9. prawach, które przysługują danej osobie;

  10. prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (jeżeli przetwarzanie odbywa się na podstawie wcześniej udzielonej zgody);

  11. prawie wniesienia skargi do organu nadzorczego;

  12. tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

  13. zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu.

Podmiot danych powinien zostać poinformowany nie tylko o procesie przetwarzania jego danych, ale także o przysługujących mu uprawnieniach oraz skutkach, jakie niesie dla niego to przetwarzanie lub jego odmowa.

Zbieranie danych z innych źródeł niż osoba, której dane dotyczą

W przypadku, gdy dane nie są zbierane bezpośrednio od osoby, której dotyczą, oprócz informacji wskazanych wyżej, należy również poinformować o:

  1. kategoriach posiadanych danych (oznacza to wskazanie typów i rodzajów lub zakresu zbieranych danych);

  2. źródłach pochodzenia danych osobowych.

Źródło pochodzenia danych powinno być określone w sposób maksymalnie dokładny. Jeżeli administrator nie może przedstawić danych w sposób precyzyjny (ponieważ pochodzą np. z różnych źródeł), informacje te mogą być podane w sposób ogólny. 

W przypadku, gdy pozyskujemy dane ze źródła innego niż, osoba której te dane dotyczą, wówczas zgodnie z art. 14 ust 3 RODO i motywem 61 Preambuły RODO, obowiązek informacyjny powinien być spełniony w rozsądnym terminie. Termin ten nie może przekroczyć miesiąca. Jeżeli jednak dane osobowe mają być wykorzystywane do komunikacji z osobą, której dane dotyczą, wówczas obowiązek informacyjny należy spełnić najpóźniej przy pierwszej komunikacji z tą osobą. W sytuacji w której administrator planuje ujawnić dane osobowe innemu odbiorcy, obowiązek informacyjny należy zrealizować najpóźniej przy ich pierwszym ujawnieniu.

Obowiązek informacyjny, gdy zmienia się cel przetwarzania

W przypadku zmiany celu przetwarzania danych osobowych, administrator zobowiązany jest do udzielenia informacji przed rozpoczęciem nowego procesu przetwarzania. Dotyczy to sytuacji, gdy zebrał te dane bezpośrednio od podmiotu uprawnionego, jak i z innych źródeł. Wówczas należy podać informacje o:

  1. okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;

  2. fakcie zautomatyzowanego podejmowania decyzji, w tym profilowania i jego konsekwencjach dla osoby, której dane dotyczą;

  3. przysługujących podmiotowi prawach (dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania, przenoszenia danych);

  4. prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeżeli przetwarzanie miało miejsce na podstawie zgody na przetwarzanie danych zwykłych (art. 6 ust. 1 lit. a RODO) lub szczególnej kategorii (art. 9 ust. 2 lit. a RODO);

  5. prawie do wniesienia skargi do organu nadzorczego.

Należy zwrócić również uwagę, że w każdej z omówionych sytuacji motyw 60 RODO zobowiązuje administratora do podania osobie uprawnionej wszelkich innych informacji niezbędnych do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i kontekst przetwarzania danych osobowych.

Kiedy obowiązek informacyjny nie powstaje?

Istnieją pewne szczególne sytuacje, gdy ADO nie ma obowiązku udzielenia informacji o przetwarzaniu danych. Można do nich zaliczyć okoliczności, w ramach których: 

  1. osoba, od której dane są zbierane, już dysponuje tymi informacjami;

  2. udzielenie wymienionych wyżej informacji jest niemożliwe lub wymaga niewspółmiernego wysiłku;

  3. udzielenie takich informacji może uniemożliwić lub poważnie utrudnić realizację celu przetwarzania;

  4. pozyskanie danych jest regulowane przepisami prawa;

  5. konieczne jest zachowanie tajemnicy zawodowej.

W jakiej formie należy spełnić obowiązek informacyjny? 

ADO ma obowiązek podjąć wszelkie środki, by komunikować się i przekazywać informacje w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności, gdy informacje są kierowane do dziecka (art. 12 ust. 1 RODO).

Dodatkowo motyw 58 Preambuły wskazuje, że gdy jest to konieczne, informację należy przedstawić także w sposób graficzny. W sytuacji, gdy przetwarzane są dane dziecka, treść obowiązku należy przekazać w taki sposób, by mogło ją ono zrozumieć. 

Ponadto RODO stanowi, że obowiązek informacyjny można spełnić na piśmie lub w inny sposób (art. 12 ust. 1 RODO). Oznacza to, że katalog możliwych opcji jest otwarty. W rozporządzeniu zostały wymienione także dwie inne metody: elektroniczna i ustna.

Przykładowymi miejscami gdzie możemy umieścić obowiązki informacyjne są:

  • polityki prywatności, w szczególności, gdy zbieramy dane w sposób elektroniczny (np. formularze rejestracyjne) lub miejsca pod formularzami;

  • Stopki formularzy papierowych lub na odrębnych od nich kartkach;

Podsumowanie

Reasumując, można stwierdzić, że przepisy RODO ustanowiły szeroki katalog informacji, które ADO ma obowiązek przekazać podmiotowi danych. Zakres tego obowiązku jest zależny od sposobu, w który administrator uzyskał dane. Informacje te mają umożliwić podmiotowi danych samodzielną decyzję odnośnie przetwarzania jego danych osobowych oraz umożliwić mu kontrolę nad tym procesem.

Czy zgoda jest jedyną przesłanką przetwarzania zwykłych danych osobowych?

Zgoda udzielona przez osobę jest autonomiczną i wystarczającą podstawą prawną do przetwarzania danych osobowych. Warto jednak zwrócić uwagę, że zbieranie zgody podmiotu danych nie jest zawsze koniecznością, bowiem przepisy RODO wskazują także inne warunki, których spełnienie legalizuje proces przetwarzania danych. Art. 6 RODO zawierają katalog sześciu przesłanek, które mogą stać się legalną podstawą przetwarzania danych osobowych. Należy pamiętać, że mają one charakter niezależny, co oznacza, że wystarczy spełnienie tylko jednej z nich, by proces przetwarzania był zgodny z prawem.

Zgoda jako podstawa prawna

Wspomniana w tytule zgoda podmiotu danych jest bardzo często występującą podstawą procesu przetwarzania. Art. 4 RODO określa zgodę jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, w którym osoba, której dane dotyczą. Zgoda może być wyrażona w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwolenie na przetwarzanie dotyczących jej danych osobowych  pisemnej, elektronicznej lub ustnej. Zgoda może być zatem udzielona m.in. za pomocą: checkboxa, ustnego oświadczenia, jednoznacznego działania, podpisu pod klauzulą lub przyjęcia odpowiednich ustawień przeglądarki.

Formularz zgody nie może zawierać skomplikowanych, niejasnych sformułowań, musi zostać także wyodrębniony z innych dokumentów, aby osoba wyrażająca zgodę nie miała wątpliwości, że właśnie udziela jakiemuś podmiotowi zezwolenia na przetwarzanie danych osobowych. Oświadczenie o wyrażaniu zgody może zostać uznane za świadome tylko wtedy, gdy podmiot danych posiada informacje przynajmniej o celu przetwarzania danych oraz tożsamości podmiotu, któremu swoje dane udostępnia. By spełniona została przesłanka dobrowolności, osoba, której dane dotyczą, musi mieć możliwość rzeczywistego i wolnego wyboru, a więc odmowa lub wycofanie zgody nie mogą wiązać się z negatywnymi konsekwencjami.

Zgoda nie będzie stanowiła podstawy prawnej przetwarzania danych osobowych w sytuacjach, gdy:

  • występuje wyraźna nierównowaga między ADO a osobą, której dane dotyczą; w szczególności dotyczy to stosunków na linii obywatel – organ publiczny;
  • nie można udzielić zgody na różne czynności z zakresu przetwarzania danych z osobna;
  • od udzielenia zgody uzależnione jest wykonanie umowy.

Więcej na temat zgody na przetwarzanie danych  dowiesz się z artykułu „Kiedy zgoda na przetwarzanie danych jest ważna?„.

Jakie inne przesłanki wymienia art. 6 RODO?

Oprócz wspomnianej wcześniej zgody osoby uprawnionej, rozporządzenie za legalne uznaje przetwarzanie danych w sytuacjach, gdy:

  • jest ono niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  • jest ono niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  • jest ono niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  • jest ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.

Wykonanie umowy

Proces przetwarzania danych jest zgodny z prawem, jeżeli jest on związany z zawarciem umowy lub wykonaniem czynności, które zmierzają do zawarcia umowy. Oznacza to, że dokonanie czynności przed zawarciem umowy, które podejmowane są na żądanie osoby, której dane dotyczą, nie wymaga uzyskiwania dodatkowej zgody od tej osoby.

Obowiązek prawny

Przetwarzanie danych jest uznawane za legalne, jeżeli ono konieczne do spełnienia obowiązku prawnego ciążącego na administratorze. W tej sytuacji podstawą prawną są przepisy prawa UE lub państwa członkowskiego (np. polskie przepisy).

RODO nie wymaga, żeby dla każdej czynności wchodzącej w zakres procesu przetwarzania istniała szczegółowa podstawa prawna. Obowiązek prawny, któremu podlega administrator, może być podstawą różnych działań związanych z przetwarzaniem danych. Ponadto źródłem obowiązku mogą być nie tylko ustawy, ale także akty prawa miejscowego.

Ochrona żywotnych interesów

Proces przetwarzania jest zgodny z art. 6 RODO także w sytuacji, gdy jest on niezbędny do ochrony interesu mającego istotne znaczenie dla osoby, której dane dotyczą lub innej osoby fizycznej. Przesłanka ta może być podstawą przetwarzania tylko wtedy, gdy przetwarzanie danych osobowych jest wymagane do ratowania życia lub zdrowia osób.

Realizacja interesu publicznego

W sytuacji, gdy przetwarzanie danych jest niezbędne do wykonania zadania realizowanego w interesie publicznym, proces ten legalizowany jest przez prawo UE lub państwa członkowskiego. Rozporządzenie nie wymaga, by do każdego procesu przetwarzania istniała oddzielna podstawa prawna. Niemniej prawo to powinno określać, kto będzie administratorem tych danych oraz jaki interes publiczny jest w tym przypadku realizowany.

Prawnie uzasadniony interes administratora

Przesłanka ta ma miejsce w sytuacji, gdy istnieją odpowiednie powiązania między osobą, której dane dotyczą, a administratorem danych (np.: osoba ta jest klientem administratora lub z nim współpracuje). Występuje ona także wtedy, gdy przetwarzanie danych jest niezbędne do zapobiegania oszustwom, np. zastosowanie monitoringu. Za taki interes można również uznać przetwarzanie danych w ramach marketingu bezpośredniego. Przesłanka ta nie ma jednak zastosowania do działalności organów publicznych w zakresie wykonywania przez nich zadań ustawowych, dla których podstawę prawną przetwarzania danych powinien określić ustawodawca.

Podsumowanie

Reasumując, zgoda osoby uprawnionej nie jest jedyną przesłanką przetwarzania danych osobowych. Art. 6 RODO wymienia także zestaw innych warunków, które mogą stać się podstawą prawną przetwarzania. Warto pamiętać, że jest to katalog niezależny od siebie, w związku z czym spełnienie jednej przesłanki jest wystarczające do tego, by działanie było zgodne z prawem. Od tych przesłanek należy odróżnić przetwarzanie danych szczególnych kategorii (czyli danych wrażliwych, określonych w art. 9 RODO). Do tej kategorii danych będziemy stosować również inne podstawy prawne niż w przypadku danych osobowych zwykłych.

Przetwarzanie danych osobowych. 8 pytań, na które musisz znać odpowiedź

Zagadnieniem wokół którego oscyluje cała treść RODO jest przetwarzanie danych osobowych. Ustawodawca unijny dokonuje szerokiego ujęcia tego pojęcia i wyróżnia wiele składników procesu przetwarzania danych, które mogą nie być tak oczywiste. Należy jednak pamiętać, że wyliczenie zawarte w treści RODO ma charakter tylko przykładowy i nie jest ograniczone,

1. Co to przetwarzanie danych?

Przetwarzanie danych osobowych to wszelkiego typu operacje, jakie są dokonywane na informacjach o osobach fizycznych. Dotyczy to zarówno działań podjętych wobec pojedynczych rekordów danych, jak i całych zbiorów/zestawów takich danych.

2. Jakie czynności są uznane za przetwarzanie danych osobowych wg RODO?

Zgodnie z Art. 4 ust 2 RODO za przetwarzanie danych uznaje:

  • zbieranie,
  • utrwalanie,
  • organizowanie,
  • porządkowanie,
  • przechowywanie,
  • adaptowanie lub modyfikowanie,
  • pobieranie,
  • przeglądanie,
  • wykorzystywanie,
  • ujawnianie przez przesłanie,
  • rozpowszechnianie lub innego rodzaju udostępnianie,
  • dopasowywanie lub łączenie,
  • ograniczanie,
  • usuwanie lub niszczenie.

Niemniej należy pamiętać, że jest to wyliczenie przykładowe. Za przetwarzanie danych osobowych może zostać uznana każda operacja lub zestaw operacji dokonywanych na danych osobowych lub na zestawach tych danych. Dokonywana czynność nie musi być explicite wymieniona w treści RODO, może ona odbywać się w sposób zautomatyzowany (np. w systemach informatycznych) lub tradycyjny (np. w papierowych kartotekach).

3. Czy każde przedsiębiorstwo przetwarza dane osobowe?

Proces przetwarzania danych osobowych jest nieodłącznym elementem działalności każdego przedsiębiorstwa, choć często nie zdajemy sobie z tego sprawy. Codziennie bowiem podmioty prowadzące działalność przetwarzają dane m.in.:

  • dane pracowników i kandydatów na pracowników;
  • dane osób odwiedzających siedzibę spółki;
  • dane kontrahentów lub ich pracowników.

Więcej o tym czy jesteś zobowiązany do przestrzegania RODO znajdziesz w tym artykule.

4. Kim jest Administrator Danych Osobowych?

Za Administratora Danych Osobowych (ADO) należy uznać podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administratorem danych może być zarówno osoba prawna, jednostka organizacyjna nieposiadająca osobowości prawnej, podmiot publiczny, jak i osoba fizyczna. Kryterium wyróżniającym ADO w biznesie jest przetwarzanie danych w związku z prowadzoną działalnością zawodową lub handlową. Oznacza to, że osoba fizyczna która przetwarza dane w celu osobistym lub domowym nie będzie uznana za administratora danych osobowych, nie podlega ona zatem rygorom RODO.

5. Czym jest przetwarzanie danych w celach osobistych?

Za przetwarzanie danych w celu osobistym możemy uznać np.: posiadanie adresów e-mail lub numerów telefonów naszych znajomych oraz kontaktowanie się z nim. Należy jednak pamiętać, że działalnością domową nie będzie korzystanie po godzinach pracy z danych osobowych, z którymi zostaliśmy zaznajomieni podczas wykonywania obowiązków służbowych. Więcej o przetwarzaniu danych w celach osobistych znajdziesz w tym artykule.

6. Jaki status w RODO mają moim kontrahenci np. obsługa IT, księgowość czy BHP?

Firmy świadczące outsourcing procesów biznesowych są podmiotami przetwarzającymi. Choć nazwa ta może być nieco myląca, kryje się za nią podmiot zewnętrzny, który na zlecenie ADO przetwarza dane osobowe. Określany jest on także mianem procesora. Podmiot ten działa na podstawie tzw. powierzenia danych osobowych, co oznacza sytuację, w której dochodzi do przetwarzania danych, które posiada Administrator, przez inny podmiot na podstawie zawartej umowy. Aby takie powierzenie było legalne, należy spełnić następujące warunki:

  1. należy zawrzeć umowę w formie pisemnej, która reguluje stosunki na linii administrator – procesor (tzw. umowa powierzenia) oraz
  2. ADO powinien sprawować kontrolę nad działalnością procesora (oznacza to sprawowanie kontroli nad tym, czy procesor przetwarza dane zgodnie z prawem i umową powierzenia).

7. Kim jest Inspektor Ochrony Danych Osobowych?

Zastąpił on dotychczas działającego Administratora Bezpieczeństwa Informacji (ABI). Jest on odpowiedzialny za nadzór nad ochroną danych w przedsiębiorstwie oraz zapewnienie zgodności procesu przetwarzania danych z prawem. Jest on osobą, do której powinni mieć możliwość zwrócić pracownicy w związku z pytaniami lub wątpliwościami dotyczącymi danych osobowych. Więcej na ten temat pisaliśmy w tym artykule.

8. I co z tego, że przetwarzam dane osobowe?

Przetwarzanie danych osobowych, zgodnie z treścią RODO, dotknięte jest wieloma obostrzeniami. Musi być ono bowiem zgodne z zasadami wymienionymi w art. 5 rozporządzenia. Do zasad tych można zaliczyć:

  • zgodności z prawem (legalność);
  • rzetelności i prawidłowości;
  • ograniczenia celu;
  • minimalizacji danych;
  • integralności i poufności;
  • przejrzystości;
  • ograniczenia przechowania oraz
  • rozliczalności.

Wyrażone wprost w rozporządzeniu podstawowe pryncypia ochrony danych osobowych wskazują kierunek rozwoju ochrony prywatności obrany przez ustawodawcę unijnego. Wyznaczają one również standardy dla pozostałych regulacji oraz aktów prawnych państw członkowskich.

Podsumowanie

Reasumując, można uznać, że RODO w sposób szczegółowy określa zakres działań wchodzących w skład przetwarzania danych osobowych. Nie jest to jednak wyliczenie pełne, więc za przetwarzanie danych mogą zostać uznane procesy, które nie zostały bezpośrednio wymienione w artykule 4 RODO. Definicja przetwarzania danych, stanowiąca katalog otwarty, została skonstruowana w ten sposób, aby nie dezaktualizowała się wraz z pojawieniem się nowych sposobów przetwarzania danych. Zasady określone w rozporządzeniu powinny być stosowane jak najpełniej do wszelkich czynności związanych z przetwarzaniem danych – chyba że przetwarzanie to następuje tylko w celach osobistych.

Kto podlega reżimowi RODO?

Unijne rozporządzenie o ochronie danych osobowych (RODO), które jest stosowane od 25 maja 2018 roku, jest najważniejszym aktem prawnym dotyczącym ochrony danych osobowych, obowiązującym na terenie UE. Nic więc dziwnego, że wielu przedsiębiorców zadaje sobie pytanie czy jest zobowiązane stosować się do niego?

Przepisy RODO obejmują swoim zakresem wszelkie podmioty, które w ramach działalności dokonują przetwarzania danych. Definicja przetwarzania danych jest na gruncie rozporządzenia tak szeroka, że niemal każda operacja dokonywana na dowolnym zestawie informacji o osobach fizycznych będzie zawierała się w jej zakresie. Warto jednak pamiętać, że istnieją pewne wyłączenia od tych przepisów.

Jakie podmioty muszą stosować RODO?

Jak zaznaczono we wstępie, do przestrzegania przepisów RODO zobligowane są wszystkie podmioty zajmujące się przetwarzaniem danych osobowych w ramach swojej działalności – zarówno publiczne, jak i prywatne. W związku z powyższym do przestrzegania przepisów rozporządzenia zobowiązany jest każdy przedsiębiorca działający na terenie UE, który przetwarza dane osobowe, bez względu na formę prawną prowadzonej działalności, o ile zastosowania nie mają przepisy wprost przewidujące wyłączenie spod tego obowiązku. Rygorom określonym w RODO nie podlega przetwarzanie danych w celach osobistych – np. przechowywanie numerów telefonów znajomych.

Należy zwrócić uwagę na fakt, że rozporządzenie to dotyczy ochrony danych osobowych. W związku z tym nie podlegają mu podmioty, które nie przetwarzają takich informacji.

Czy przetwarzam dane osobowe?

Dane osobowe są to zgodnie z art. 4 ust 1 RODO: “informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Informacje, które zawsze należy uznać za dane osobowe to:

  • imię i nazwisko,
  • PESEL,
  • numer i seria dowodu tożsamości.
  • Adres e-mail (np. w formule imię.nazwisko@firma.pl)

Oznacza to, że podmiot, który w swojej działalności biznesowej przetwarza tego typu dane, zawsze musi spełniać wymagania stawiane przez RODO. Wystarczy, że firma posiada jednego pracownika/zleceniobiorcę, jednego subskrybenta newsletter-a czy też jednego klienta/kontrahenta, który jest osobą fizyczną.

Istnieje też grupa informacji, które mogą być uznane za dane osobowe w zależności od sytuacji. Należą do nich: wygląd zewnętrzny, waga, wzrost, wiek, adres IP czy status majątkowy. Podmiot, który przetwarza takie informacje, musi stosować wymogi określone przepisami RODO tylko w tych sytuacjach, gdy dane te umożliwiają identyfikację osoby fizycznej, albowiem tylko wtedy mogą zostać uznane za „osobowe” i wymagać stosowania przepisów unijnego rozporządzenia.

Natomiast do informacji, których nigdy nie uznaje się za dane osobowe, zalicza się:

  • informacje zagregowane (np.: dane statystyczne),
  • dane zanonimizowane (nie ma możliwości identyfikacji osób, których dotyczą),
  • informacje o osobach zmarłych (zmarli nie są dysponentami danych osobowych),
  • informacje dotyczące osób prawnych.

Oznacza to, że przetwarzając tylko te dane, jesteśmy zwolnieni z przestrzegania wymogów rozporządzenia. Należy jednak pamiętać, że przetwarzanie tego typu informacji może być regulowane przez inne przepisy, zarówno na poziomie ustawodawstwa krajowego, jak i unijnego. RODO stanowi tylko minimalny standard ochrony danych osobowych dla całej Unii Europejskiej.

Kto nie podlega reżimowi RODO?

Rozporządzenie wprowadza pewne wyłączenia, albowiem zgodnie z art. 2 ust. 1 RODO nie dotyczy czynności:

  • nieobjętych zakresem prawa Unii;
  • podjętych przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres wspólnej polityki zagranicznej i bezpieczeństwa UE;
  • podjętych przez osobę fizyczną w ramach działań o czysto osobistym lub domowym charakterze;
  • podjętych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar.

Warto również pamiętać, że rozporządzenie ma zastosowanie tylko do osób fizycznych. W związku z tym przepisy RODO nie chronią informacji dotyczących osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej (ale ich pracowników już tak).

Gdzie obowiązuje RODO?

Choć nie jest to wyrażone bezpośrednio, rozporządzenie w art. 3 wprowadza zasadę eksterytorialności. Stanowi on bowiem, że „rozporządzenie ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.

Oznacza to, miejsce przetwarzania danych z punktu widzenia przepisów RODO jest nieistotne – kryterium decydującym jest skutek tego przetwarzania. W związku z tym do przestrzegania rozporządzania zobowiązane są nie tylko podmioty zarejestrowane na terenie UE. Dotyczy ono także jednostek organizacyjnych działających poza Unią, jeżeli przetwarzają one dane osób fizycznych przebywających na terenie Unii. Przetwarzanie to w szczególności powinno wiązać się z:

  • „oferowaniem towarów lub usług takim osobom, których dane dotyczą” (odpłatnie lub nieodpłatnie) lub
  • „monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii”.

Podsumowanie

Reasumując, należy stwierdzić, że krąg podmiotów zobligowanych do stosowania RODO jest bardzo szeroki. Rozporządzenie muszą stosować zarówno podmioty publiczne, jak i prywatne. Można dzięki temu wskazać, że RODO dotyczy każdej organizacji, która przetwarza dane osobowe- praktycznie wszystkich firm. Ponadto dzięki zasadzie eksterytorialności do jego przestrzegania zobowiązane są podmioty, które przetwarzają dane osobowe poza UE. Warto jednak pamiętać, że RODO chroni tylko dane osób fizycznych i to tylko wtedy, gdy możliwa jest identyfikacja osób, których dotyczą (pod warunkiem, że przetwarzanie tych danych nie ma czysto osobistego charakteru).

Inspektor Ochrony Danych. Czy warto go powołać?

Od 25 maja 2018 roku w całej Unii Europejskiej zaczęto stosować ogólne rozporządzenie o ochronie danych osobowych (RODO). W istotny sposób zmienia ono obowiązki Administratorów Danych Osobowych (ADO) oraz podmiotów, którym powierzono przetwarzanie takich danych. Warto jednak pamiętać, że RODO przewiduje możliwość powołania osoby, która będzie wspierać organizację w zakresie zgodności jej działań z przepisami o ochronie danych. Taką funkcję pełni osoba na stanowisku Inspektora Ochrony Danych (IOD). Jeżeli jeszcze nie powołałeś IOD, to czas najwyższy zapoznać się z korzyściami płynącymi z obsadzenia tego stanowiska w Twoim przedsiębiorstwie.

Instytucja Inspektora Ochrony Danych jest już de facto znana w polskim obrocie prawnym. Pod rządami ustawy o ochronie danych osobowych funkcjonowała pod nazwą Administrator Bezpieczeństwa Informacji (ABI). Można pokusić się o stwierdzenie, że IOD jest niejako „następcą” ABI-ego. Należy jednak zwrócić uwagę na fakt, że w nowym systemie prawnym pozycja IOD znacznie wzrosła, co najwyraźniej przejawia się w rozszerzonych uprawnieniach i obowiązkach inspektora w porównaniu do ABI-ego. Pojawia się więc pytanie – jak funkcjonuje IOD pod reżimem RODO i czy będzie on przydatny w Twojej organizacji?

Jakie podmioty są zobowiązane do powołania IOD?

Co do zasady stworzenie stanowiska Inspektora Ochrony Danych jest uprawnieniem organizacji. Jednakże w niektórych przypadkach powołanie IOD jest obowiązkowe. Zobligowane do tego są przede wszystkim podmioty publiczne, ale także jednostki działające w sektorze prywatnym, które realizują zadania publiczne, np.: urzędy centralne, jednostki samorządu terytorialnego oraz samorządy zawodowe. Do grona podmiotów zobowiązanych do powołania IOD zaliczyć można również podmioty prywatne, które na dużą skalę przetwarzają dane osobowe. Do tej grupy należy zaliczyć organizacje, które dokonują operacji regularnego i systematycznego monitorowania osób (np.: podmioty zajmujące się tworzeniem reklam behawioralnych) oraz te podmioty, które na dużą skalę przetwarzają dane osobowe szczególnych kategorii, zwłaszcza informacje dotyczących wyroków i naruszeń prawa (np. niepubliczne zakłady opieki zdrowotnej).

Inspektor posiada szeroki zakres obowiązków

IOD ma za zadanie wspierać organizację w dostosowywaniu i przestrzeganiu RODO poprzez realizację powierzonych mu zadań. Powołanie IOD realnie wpływa na poziom bezpieczeństwa danych osobowych w organizacji. Obowiązki inspektora znajdują się głównie w art. 39 unijnego rozporządzenia. Można je podzielić na zadania o charakterze:

  1. informacyjno – doradczym;
  2. nadzorczym;
  3. komunikacyjnych

Zadania o charakterze informacyjno – doradczym

Należy tu wymienić przede wszystkim informowanie o obowiązkach wynikających z RODO oraz innych przepisów unijnych i krajowych, dotyczących ochrony danych osobowych. Związany jest z tym również obowiązek doradzania w tym zakresie ADO. Ponadto IOD jest zobowiązany do realizacji zadań o charakterze informacyjno – doradczym nie tylko wobec osób reprezentujących organizację, ale także w stosunku do osób zatrudnionych przy przetwarzaniu danych osobowych. Najczęściej może to być dokonywane za pomocą szkoleń czy to stacjonarnych czy e-learningowych.

Zadania o charakterze nadzorczym

Zgodnie z art. 39 ust. 1 lit. b RODO IOD ma za zadanie nadzorować także realizację przepisów dotyczących RODO w Twoim przedsiębiorstwie. Działalność ta odbywa się poprzez monitorowanie sytuacji wewnątrz organizacji oraz ocenę przyjętych przez nią polityk w zakresie ochrony danych osobowych. Co do zasady obowiązek ten realizowany jest w formie audytu.

Zadania o charakterze komunikacyjnym

W tym obszarze do obowiązków IOD należy:

  • współpraca z organem nadzorczym oraz
  • pełnienie przez IOD funkcji punktu kontaktowego.

Współpraca z organem nadzorczym będzie najczęściej przejawiać się poprzez współpracę w prowadzeniu postępowań administracyjnych, w szczególności związanych z:

  • naruszeniem ochrony danych,
  • rozpatrywaniem skarg podmiotów danych a także
  • uprzednimi konsultacjami związanymi z oceną skutków.

Obowiązek pełnienia funkcji punktu kontaktowego, to jest on realizowany wobec osób, których dane są przetwarzane przez Twoje przedsiębiorstwo. Podmioty te mają bowiem prawo do kontaktu z IOD we wszystkich sprawach związanych z przetwarzaniem ich danych oraz wykorzystaniem praw przysługujących im na gruncie RODO.

Inspektor zgodnie z art. 38 ust 5 RODO zobowiązany jest również do zachowania tajemnicy lub poufności co do wykonywania swoich zadań. Obowiązek ten może wynikać zarówno z przepisów unijnych, jak i krajowych. W szczególności można wskazać tu przepisy dotyczące zachowania w poufności tajemnic przedsiębiorstwa, tajemnicy bankowej, ubezpieczeniowej, telekomunikacyjnej czy skarbowej.

Na zakończenie wątku obowiązków IOD należy dodać, że zgodnie z art. 38 ust. 6 RODO może on także wykonywać inne zadania i obowiązki, o ile administrator lub procesor zapewnią, że nie będą one powodowały konfliktu interesów. Te dodatkowe zadania lub obowiązki powinny być uznane za narzędzia służące do pełniejszego wykonywania podstawowych obowiązków spoczywających na IOD. Jako przykład można tu podać upoważnienie inspektora do informowania organu nadzorczego w przypadku naruszeń ochrony danych w organizacji zgodnie z art. 33 RODO.

IOD ma być organem niezależnym

Ustawodawca unijny, konstruując instytucję Inspektora Danych Osobowych, postawił sobie za cel zapewnienie mu pełnej niezależności oraz ułatwienie  wykonywania zadań nałożonych na niego przez nowe przepisy. Zgodnie z art. 38 ust 2 RODO, administrator oraz podmiot przetwarzający (procesor) mają wspierać IOD w wypełnianiu jego obowiązków, w szczególności poprzez zapewnienie mu zasobów niezbędnych do wykonywania zadań oraz utrzymania jego fachowej wiedzy. Wsparcie to może mieć formę działania lub zaniechania pewnych działań. Ponadto jednostki organizacyjne posiadające w swoje strukturze IOD muszą pamiętać, że powinien być on właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Dodatkowo należy udzielić inspektorowi dostępu do wszelkich procesów przetwarzania zachodzących w przedsiębiorstwie oraz związanych z nimi danych.

Najważniejszą gwarancją niezależności IOD wydaje się jednak fakt, że administrator oraz procesor nie mogą wydawać mu żadnych wiążących instrukcji dotyczących wykonywania powierzonych obowiązków. Ponadto nie można ukarać ani odwołać IOD za wykonywanie przez niego zadań.

Z powyższego opisu można odnieść wrażenie, że instytucja Inspektora Ochrony Danych może stać się obciążeniem dla Twojego przedsiębiorstwa. Nic bardziej mylnego. Głównym zadaniem IOD jest bowiem zapewnienie Twojej organizacji zgodności z przepisami RODO. Tylko posiadając dużą dozę niezależności, jest on w stanie sprostać temu zadaniu. Jeżeli więc zatrudnisz na tym stanowisku odpowiedniego specjalistę oraz udzielisz mu gwarancji wymienionych w art. 38 RODO, możesz w znaczny sposób ułatwić sobie spełnienie wymagań dotyczących ochrony danych osobowych w Twojej organizacji.

Powołanie IOD niekoniecznie musi wiązać się z wysokimi kosztami

Rozporządzenie unijne nie określa w jakiej formie ma być powołany IOD. Wobec tego dozwolone jest powołanie go na podstawie wszelkich umów w tym umowy zlecenia, współpracy itp., jak również zarządzenia czy oświadczenia woli ADO.  Szkolenie pracowników czy tworzenie etatu dla specjalisty wiążą się z zwiększeniem kosztów prowadzenia działalności. Szacuje się, że zatrudnienie IOD na etacie może wiązać z wydatkiem ponad 10 tys. złotych miesięcznie. Wpływa na to wiele czynników, ale najważniejszym jest niedobór odpowiednich specjalistów na rynku. To niewątpliwe spory wydatek.

Ratunkiem dla budżetu może być skorzystanie z usługi outsourcingu IOD. Jeżeli nie mamy wystarczających funduszy, by zatrudnić u siebie inspektora lub chcemy obniżyć koszty, usługa ta może okazać się bardzo przydatna. Obecnie wiele podmiotów oferuję taką usługę w dosyć zadowalających cenach (nasza również). Umożliwia to skorzystanie z pomocy fachowców zajmujących się danymi osobowymi za niższe koszty niż w wypadku zatrudnienia ich na pełnym etacie.

Innym sposobem jest zmiana etatu jednego z naszych pracowników do 3/4 oraz zatrudnienia go na etat IOD w 1/4. Oczywiście proporcje zależne są od wielkości przedsiębiorstwa czy podmiotu publicznego. Należy w tym wypadku jednak pamiętać o możliwości powstania konfliktu interesów.

Co jeśli nie IOD?

W przypadku, gdy organizacja nie powoła IOD, ciężar nadzoru na ochroną danych osobowych spoczywa na ADO. ADO samodzielnie nie musi jednak wykonywać wszystkich tych zadań. W tym zakresie istnieje możliwość powołania pełnomocnika ds. ochrony danych osobowych (lub inaczej nazwanej osoby oddelegowanej do wykonywania zadań związanych z odo). Plusem tego rozwiązania dla organizacji jest brak wymogów dot. niezależności przewidzianych dla IOD np. braku konfliktu interesów czy też zakazu karania za merytoryczne wykonywanie swojej funkcji. Osoba taka może być również zatrudniona na innym stanowisku, które jest związane z przetwarzaniem danych (np. w kadrach lub w dziale IT).

Podsumowanie

Reasumując powyższe rozważania, należy stwierdzić, że powołanie Inspektora Danych Osobowych jest zalecanym rozwiązaniem. Posiada on odpowiednie narzędzia do monitorowania procesów przetwarzania danych osobowych w Twoim przedsiębiorstwie, a także pomoże Ci w dostosowaniu Twojej organizacji do wymogów RODO. To bardzo ważna kwestia, albowiem przetwarzanie danych osobowych prowadzone w sposób niezgodny z unijnym rozporządzeniem może spowodować nałożenie na Twoje przedsiębiorstwo wysokiej kary. Nie warto więc zwlekać! Zwłaszcza, że koszty tego rozwiązania można obniżyć, choćby stosując outsourcing IOD.