Legalne przetwarzanie danych osobowych

Brak komentarzy

przetwarzanie danychZbieranie, utrwalanie, przechowywanie czy wykorzystanie danych osób fizycznych stanowi należy rozumieć jako proces przetwarzania. Czy wiesz kiedy masz prawo wykonywać takie czynności? Czy przesyłając informację handlową swojemu klientowi dysponujesz odpowiednią zgodą? Wyjaśnię Ci, jakie warunki musisz spełnić by w pełni legalnie przetwarzać dane osobowe.

Przetwarzanie danych osobowych

Zgodnie z definicją zamieszczoną w RODO, dane osobowe to informacje o zidentyfikowanej lub możliwiej do zidentyfikowania osobie fizycznej. Możliwość identyfikacji wynika z takich informacji jak: imię, nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy. Na możliwość rozpoznania wpływają również inne czynniki, określające fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową i społeczną tożsamość osoby fizycznej.

Przetwarzaniem zaś jest operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Należy przez to rozumieć zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Podstawa przetwarzania danych

Przetwarzanie danych osobowych jest zgodne z prawem tylko wtedy, gdy istnieje do tego odpowiednia podstawa. Jest to równoznaczne ze spełnieniem co najmniej 1 z następujacych warunków (art.6 RODO):

  • osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów (administrator danych powinien wykazać, że taka zgodą dysponuje),
  • przetwarzanie jest niezbędne do wykonania umowy (przy czym jej stroną jest osoba, której dane dotyczą) lub podjęcia działań związanych z zamiarem zawarcia umowy na żądanie osoby, której dane dotyczą,
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (podstawa przetwarzania musi być określona w prawie unijnym lub krajowym, np. obowiązki finansowe przedsiębiorcy),
  • przetwarzanie jest niezbędne do tzw. ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej (gdy przetwarzanie ma istotne znaczenie dla życia osoby, której dotyczą, np. monitorowanie danych dotyczących epidemii i ich rozprzestrzeniania się),
  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (podstawa przetwarzania musi być określona w prawie unijnym lub krajowym),
  • przetwarzanie jest niezbędne do wykonywania prawnie uzasadnionych interesów administratora lub osobę trzecią (np. do zapobiegania oszustwom, przesyłanie danych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych czy przetwarzanie danych dla celów marketingu bezpośredniego) z wyjątkiem sytuacji, gdy nadrzędnymi względem interesów administratora są interesy albo podstawowe prawa i wolności osoby, której dane dotyczą, a w szczególności gdy ta osoba jest dzieckiem.

Zgoda

Zgoda umożliwia legalne przetwarzanie danych osobowych, tak samo jak inne ww. przesłanki. Nie jest najważniejsza i nadrzędna.

Oznacza to, że pozyskanie zgody nie jest konieczne (a wręcz stanowi złą praktykę) w sytuacji, gdy podstawę przetwarzania stanowi inny tytuł.

Przykład: Zgody nie należy pozyskiwać w związku z przetwarzaniem danych pracownika w celach związanych z zatrudnieniem. Już sama istota stosunku pracy oraz treść przepisów z zakresu prawa pracy definiują, jakie dane pracodawca może pozyskiwać od pracownika i przetwarzać. Pozyskanie dodatkowej zgody byłoby bezcelowym dublowaniem przesłanki legalności. Podobnie będzie przy pozyskiwaniu zgody na przetwarzanie danych celem realizacji usługi. Już sama umowa stanowi podstawę przetwarzania danych w tym zakresie.

Jeśli zgoda stanowi podstawę przetwarzania danych osobowych, musi być wyrażona jednoznacznie, dobrowolnie i świadomie. Może być udzielona na piśmie (w tym elektronicznie), jak również ustnie. Przy czym administrator danych musi mieć świadomość, że w pewnych okolicznościach (np. na żądanie osoby, które dane dotyczą lub organu nadzorczego) będzie musiał udowodnić odebranie takiej zgody. I choć prawo tego nie wymaga, warto dysponować zgodą na piśmie lub w innej formie, umożliwiającej jej udokumentowanie.

Wzór zgody

Przygotowany przez administratora wzór oświadczenia o wyrażeniu zgody musi mieć zrozumiałą i łatwo dostępną formę. Powinien być sformułowany jasnym i prostym językiem. Nie powinien zawierać nieuczciwych warunków. Niezbędne jest również wskazanie tożsamości administratora oraz celu przetwarzania danych osobowych. Jeśli przetwarzanie danych ma służyć kilku celom – potrzebna jest zgoda na wszystkie cele.

Zgody nie uważa się za dobrowolną, jeśli:

  • nie można jej wyrazić osobno w odniesieniu do każdej z czynności przetwarzania danych (łączenie w jednym formularzu zgód na wszystkie cele, np: zgody na cele marketingu własnych produktów i usług wraz ze zgodą na używanie telekomunikacyjnych urządzeń końcowych w celu prowadzenia marketingu bezpośredniego oraz zgodą na otrzymywanie informacji handlowej drogą elektroniczną);
  • wynika z milczenia lub niepodjęcia określonego działania (równoznaczne jest to z brakiem zgody);
  • na stronie internetowej domyślnie zaznaczono okienka zgód.

Zgoda może polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej. Ewentualnie, na wyborze ustawień technicznych przy korzystaniu z usług społeczeństwa informacyjnego. Może również wyrażać się innym oświadczeniem lub zachowaniem, które jasno wskazuje, że osoba, której dane dotyczą zaakceptowała proponowane przez administratora przetwarzanie jej danych osobowych.

Podsumowanie

Żeby legalnie przetwarzać dane osobowe, administrator musi mieć do tego konkretną podstawę. RODO formułuje zamknięty katalog przesłanek w art. 6. Zgoda może, ale nie musi być niezbędna do procesu przetwarzania danych, aby odbywał się on z godnie z prawem.