Zagadnieniem wokół którego oscyluje cała treść RODO jest przetwarzanie danych osobowych. Ustawodawca unijny dokonuje szerokiego ujęcia tego pojęcia i wyróżnia wiele składników procesu przetwarzania danych, które mogą nie być tak oczywiste. Należy jednak pamiętać, że wyliczenie zawarte w treści RODO ma charakter tylko przykładowy i nie jest ograniczone,
1. Co to przetwarzanie danych?
Przetwarzanie danych osobowych to wszelkiego typu operacje, jakie są dokonywane na informacjach o osobach fizycznych. Dotyczy to zarówno działań podjętych wobec pojedynczych rekordów danych, jak i całych zbiorów/zestawów takich danych.
2. Jakie czynności są uznane za przetwarzanie danych osobowych wg RODO?
Zgodnie z Art. 4 ust 2 RODO za przetwarzanie danych uznaje:
- zbieranie,
- utrwalanie,
- organizowanie,
- porządkowanie,
- przechowywanie,
- adaptowanie lub modyfikowanie,
- pobieranie,
- przeglądanie,
- wykorzystywanie,
- ujawnianie przez przesłanie,
- rozpowszechnianie lub innego rodzaju udostępnianie,
- dopasowywanie lub łączenie,
- ograniczanie,
- usuwanie lub niszczenie.
Niemniej należy pamiętać, że jest to wyliczenie przykładowe. Za przetwarzanie danych osobowych może zostać uznana każda operacja lub zestaw operacji dokonywanych na danych osobowych lub na zestawach tych danych. Dokonywana czynność nie musi być explicite wymieniona w treści RODO, może ona odbywać się w sposób zautomatyzowany (np. w systemach informatycznych) lub tradycyjny (np. w papierowych kartotekach).
3. Czy każde przedsiębiorstwo przetwarza dane osobowe?
Proces przetwarzania danych osobowych jest nieodłącznym elementem działalności każdego przedsiębiorstwa, choć często nie zdajemy sobie z tego sprawy. Codziennie bowiem podmioty prowadzące działalność przetwarzają dane m.in.:
- dane pracowników i kandydatów na pracowników;
- dane osób odwiedzających siedzibę spółki;
- dane kontrahentów lub ich pracowników.
Więcej o tym czy jesteś zobowiązany do przestrzegania RODO znajdziesz w tym artykule.
4. Kim jest Administrator Danych Osobowych?
Za Administratora Danych Osobowych (ADO) należy uznać podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administratorem danych może być zarówno osoba prawna, jednostka organizacyjna nieposiadająca osobowości prawnej, podmiot publiczny, jak i osoba fizyczna. Kryterium wyróżniającym ADO w biznesie jest przetwarzanie danych w związku z prowadzoną działalnością zawodową lub handlową. Oznacza to, że osoba fizyczna która przetwarza dane w celu osobistym lub domowym nie będzie uznana za administratora danych osobowych, nie podlega ona zatem rygorom RODO.
5. Czym jest przetwarzanie danych w celach osobistych?
Za przetwarzanie danych w celu osobistym możemy uznać np.: posiadanie adresów e-mail lub numerów telefonów naszych znajomych oraz kontaktowanie się z nim. Należy jednak pamiętać, że działalnością domową nie będzie korzystanie po godzinach pracy z danych osobowych, z którymi zostaliśmy zaznajomieni podczas wykonywania obowiązków służbowych. Więcej o przetwarzaniu danych w celach osobistych znajdziesz w tym artykule.
6. Jaki status w RODO mają moim kontrahenci np. obsługa IT, księgowość czy BHP?
Firmy świadczące outsourcing procesów biznesowych są podmiotami przetwarzającymi. Choć nazwa ta może być nieco myląca, kryje się za nią podmiot zewnętrzny, który na zlecenie ADO przetwarza dane osobowe. Określany jest on także mianem procesora. Podmiot ten działa na podstawie tzw. powierzenia danych osobowych, co oznacza sytuację, w której dochodzi do przetwarzania danych, które posiada Administrator, przez inny podmiot na podstawie zawartej umowy. Aby takie powierzenie było legalne, należy spełnić następujące warunki:
- należy zawrzeć umowę w formie pisemnej, która reguluje stosunki na linii administrator – procesor (tzw. umowa powierzenia) oraz
- ADO powinien sprawować kontrolę nad działalnością procesora (oznacza to sprawowanie kontroli nad tym, czy procesor przetwarza dane zgodnie z prawem i umową powierzenia).
7. Kim jest Inspektor Ochrony Danych Osobowych?
Zastąpił on dotychczas działającego Administratora Bezpieczeństwa Informacji (ABI). Jest on odpowiedzialny za nadzór nad ochroną danych w przedsiębiorstwie oraz zapewnienie zgodności procesu przetwarzania danych z prawem. Jest on osobą, do której powinni mieć możliwość zwrócić pracownicy w związku z pytaniami lub wątpliwościami dotyczącymi danych osobowych. Więcej na ten temat pisaliśmy w tym artykule.
8. I co z tego, że przetwarzam dane osobowe?
Przetwarzanie danych osobowych, zgodnie z treścią RODO, dotknięte jest wieloma obostrzeniami. Musi być ono bowiem zgodne z zasadami wymienionymi w art. 5 rozporządzenia. Do zasad tych można zaliczyć:
- zgodności z prawem (legalność);
- rzetelności i prawidłowości;
- ograniczenia celu;
- minimalizacji danych;
- integralności i poufności;
- przejrzystości;
- ograniczenia przechowania oraz
- rozliczalności.
Wyrażone wprost w rozporządzeniu podstawowe pryncypia ochrony danych osobowych wskazują kierunek rozwoju ochrony prywatności obrany przez ustawodawcę unijnego. Wyznaczają one również standardy dla pozostałych regulacji oraz aktów prawnych państw członkowskich.
Podsumowanie
Reasumując, można uznać, że RODO w sposób szczegółowy określa zakres działań wchodzących w skład przetwarzania danych osobowych. Nie jest to jednak wyliczenie pełne, więc za przetwarzanie danych mogą zostać uznane procesy, które nie zostały bezpośrednio wymienione w artykule 4 RODO. Definicja przetwarzania danych, stanowiąca katalog otwarty, została skonstruowana w ten sposób, aby nie dezaktualizowała się wraz z pojawieniem się nowych sposobów przetwarzania danych. Zasady określone w rozporządzeniu powinny być stosowane jak najpełniej do wszelkich czynności związanych z przetwarzaniem danych – chyba że przetwarzanie to następuje tylko w celach osobistych.
