Przetwarzanie danych osobowych to każda operacja lub zestaw operacji wykonywanych na danych osobowych. Może być zautomatyzowane lub wykonywane ręcznie i obejmuje m.in. zbieranie, przechowywanie, wykorzystywanie, modyfikowanie, udostępnianie czy usuwanie danych. RODO precyzyjnie definiuje przetwarzanie, podkreślając, że obejmuje ono wszystkie czynności od momentu pozyskania danych aż do ich zniszczenia. Dlatego również niszczenie dokumentów zawierających dane osobowe podlega regulacjom RODO.
Jakie zasady musi spełniać przetwarzanie danych osobowych?
RODO nakłada na administratorów danych zbiór 7 najważniejszych zasad, które muszą być spełnione łącznie podczas przetwarzania danych osobowych:
- Zasada legalności – dane muszą być przetwarzane zgodnie z prawem i w sposób przejrzysty,
- Zasada celowości – dane mogą być przetwarzane tylko do jasno określonych, zgodnych z prawem celów,
- Zasada minimalizacji danych – zbierane są wyłącznie niezbędne dane do realizacji celu,
- Zasada prawidłowości – dane muszą być aktualne i dokładne,
- Zasada ograniczenia przechowywania – dane nie mogą być przechowywane dłużej, niż jest to konieczne,
- Zasada integralności i poufności – dane muszą być odpowiednio chronione przed nieuprawnionym dostępem,
- Zasada rozliczalności – administrator musi móc wykazać przestrzeganie wszystkich powyższych zasad.
Kiedy przetwarzanie danych jest legalne? Jakie są podstawy prawne?
Przetwarzanie danych osobowych jest legalne wyłącznie wtedy, gdy spełniony jest co najmniej jeden z warunków określonych w art. 6 ust. 1 Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Poniżej omówione są wszystkie sześć podstaw prawnych, które stanowią fundament zgodności z prawem przetwarzania danych.
1. Zgoda osoby, której dane dotyczą
Jedną z najbardziej znanych i intuicyjnych podstaw przetwarzania danych jest dobrowolna, świadoma i konkretna zgoda osoby, której dane mają być przetwarzane. Zgoda musi być jednoznaczna i udzielona na jeden bądź więcej określonych celów. Osoba musi być świadoma, na co się zgadza, a zgoda nie może być wymuszona ani podpisana „na zapas”. Administrator nie powinien pozyskiwać zgody, jeśli istnieje inna, bardziej odpowiednia podstawa prawna do przetwarzania danych. W praktyce zgoda jest często wykorzystywana np. w marketingu, przesyłaniu newsletterów, czy profilowaniu.
2. Wykonanie umowy lub podjęcie działań na żądanie osoby
Przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na jej żądanie przed zawarciem umowy. Przykładowo, gdy klient kupuje towar lub usługę, sprzedawca musi przetwarzać dane niezbędne do realizacji zamówienia, takich jak adres do dostawy czy dane kontaktowe. Ta podstawa prawna opiera się na konieczności przetwarzania danych, by umożliwić zawarcie lub realizację umowy.
3. Wypełnienie obowiązku prawnego ciążącego na administratorze
Często stosowaną podstawą jest przetwarzanie danych w celu spełnienia obowiązków przewidzianych przepisami prawa – np. w zakresie podatków, ubezpieczeń społecznych czy prowadzenia dokumentacji pracowniczej. Przykładem jest przechowywanie danych pracowników przez pracodawcę na potrzeby rozliczeń podatkowych i kadrowych. Ta podstawa wiąże administratora z ustawowymi obowiązkami i nie wymaga zgody osoby, której dane są przetwarzane.
4. Ochrona żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej
Przetwarzanie danych jest legalne, jeśli konieczne jest dla ochrony życia lub zdrowia osoby fizycznej. Ta podstawa jest stosowana np. w sytuacjach nagłych, takich jak ratowanie życia, gdy konieczne jest udostępnienie odpowiednich danych medycznych. Ochrona żywotnych interesów ma zastosowanie głównie w przypadku braku możliwości uzyskania zgody, np. w sytuacjach kryzysowych.
5. Realizacja zadania realizowanego w interesie publicznym lub w ramach wykonywania władzy publicznej
Podstawą przetwarzania są też czynności wykonywane przez organy publiczne lub instytucje na mocy prawa, realizujące zadania ważne społecznie, takie jak egzekwowanie prawa, prowadzenie ewidencji czy działania służb publicznych. Przykładem jest przetwarzanie danych przez urzędy statystyczne, czy organy podatkowe w ramach realizacji zadań publicznych.
6. Prawnie uzasadnione interesy realizowane przez administratora lub stronę trzecią
Jest to podstawowa i szeroka podstawa prawna dopuszczająca przetwarzanie danych na rzecz uzasadnionych interesów administratora lub podmiotów trzecich, pod warunkiem że prawa i wolności osób, których dane dotyczą, nie są nadrzędne. Przed zastosowaniem tej podstawy administrator musi przeprowadzić tzw. test równowagi, oceniając, czy interesy jego i osób trzecich przeważają nad interesami osób, których dane są przetwarzane. Dotyczy to m.in. marketingu bezpośredniego, zabezpieczenia przed oszustwami czy ochrony prawnej.
Jakie prawa przysługują osobom, których dane są przetwarzane?
RODO gwarantuje osobom fizycznym szereg praw, które mają na celu zapewnienie im kontroli nad własnymi danymi osobowymi oraz ochronę przed nieuprawnionym przetwarzaniem. Poniżej opisane są główne prawa przysługujące osobom, których dane są przetwarzane.
1. Prawo dostępu do danych
Osoba, której dane są przetwarzane, ma prawo uzyskać od administratora potwierdzenie, czy jej dane są przetwarzane, a jeśli tak – dostęp do nich oraz szczegółowe informacje dotyczące celu przetwarzania, kategorii danych, odbiorców danych, okresu przechowywania, a także informacji o przysługujących prawach. Osoba ta może także uzyskać kopię swoich danych na własny wniosek. Pierwsze udostępnienie tych informacji powinno być bezpłatne.
2. Prawo do sprostowania danych
Jeśli dane, które dotyczą osoby, są nieprawidłowe, niepełne lub nieaktualne, ma ona prawo zażądać ich niezwłocznej korekty lub uzupełnienia. Administrator ma obowiązek sprostować dane w możliwie najkrótszym terminie.
3. Prawo do usunięcia danych („prawo do bycia zapomnianym”)
Osoba ma prawo żądać usunięcia swoich danych, jeśli nie ma podstaw prawnych do dalszego ich przetwarzania, np. gdy wycofa zgodę lub gdy dane nie są już potrzebne do celu, dla którego zostały zebrane. Istnieją jednak wyjątki, m.in. obowiązki prawne lub potrzebne zabezpieczenie roszczeń, które mogą ograniczać to prawo.
4. Prawo do ograniczenia przetwarzania danych
W określonych sytuacjach osoba może zażądać ograniczenia przetwarzania swoich danych – np. jeśli kwestionuje prawidłowość danych, sprzeciwia się ich przetwarzaniu lub administrator nie potrzebuje już ich do realizacji celu, ale osoba nadal ich potrzebuje (np. do celów dowodowych). W tym czasie dane mogą być przechowywane, ale nie będą poddawane dalszemu przetwarzaniu.
5. Prawo do przenoszenia danych
Osoba ma prawo otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym formacie oraz przekazać je innemu administratorowi bez przeszkód, gdy dane są przetwarzane na podstawie zgody lub umowy. Ułatwia to zmianę usługodawcy lub administratora danych.
6. Prawo do sprzeciwu wobec przetwarzania
Każda osoba może wnieść sprzeciw wobec przetwarzania danych, zwłaszcza gdy odbywa się ono na podstawie prawnie uzasadnionych interesów administratora lub w celach marketingu bezpośredniego. W przypadku sprzeciwu administrator musi zaprzestać przetwarzania danych, chyba że wykaże nadrzędne prawne podstawy.
7. Prawo do niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu
Osoba ma prawo nie podlegać decyzjom podjętym wyłącznie na bazie zautomatyzowanego przetwarzania danych, w tym profilowania, które wywołują wobec niej skutki prawne lub w podobny sposób istotnie na nią wpływają, chyba że decyzja jest niezbędna do wykonania umowy lub przewidziana prawnie, a osoba ma prawo do interwencji człowieka.
Obowiązki administratora przy realizacji praw osób
Administrator danych, realizując żądania związane ze sprostowaniem, usunięciem lub ograniczeniem przetwarzania, ma również obowiązek poinformować o tym odbiorców danych, którym dane zostały ujawnione. Ponadto, jeśli prawa osoby nie są realizowane lub dochodzi do naruszeń RODO, osoba ta może złożyć skargę do organu nadzorczego (np. Prezesa UODO) oraz starać się o odszkodowanie.
Czy każde przetwarzanie danych podlega RODO?
Nie każde przetwarzanie danych osobowych podlega przepisom RODO. Ogólne Rozporządzenie o Ochronie Danych Osobowych reguluje przede wszystkim przetwarzanie danych osobowych dokonywane przez podmioty, które działają w sposób zawodowy, komercyjny lub w ramach działalności publicznej. Oznacza to, że jeżeli przetwarzanie danych osobowych odbywa się w celach czysto prywatnych i niekomercyjnych, na przykład w ramach życia osobistego lub rodzinnego, to takie przetwarzanie nie podlega obowiązkom i regulacjom RODO. Przetwarzanie danych osobowych w sytuacjach prywatnych zwykle obejmuje sytuacje takie jak prowadzenie korespondencji z przyjaciółmi, przechowywanie kontaktów rodzinnych czy zdjęć w prywatnym albumie. Jednak gdy przetwarzanie danych osobowych odbywa się w ramach działalności gospodarczej, administracyjnej lub każdej działalności skierowanej na realizację celów organizacyjnych, RODO ma pełne zastosowanie i nakłada obowiązki dotyczące ochrony tych danych. W praktyce oznacza to, że firmy, instytucje, organizacje non-profit i urzędy muszą stosować zasady RODO przy przetwarzaniu danych osobowych swoich klientów, pracowników czy współpracowników, zapewniając odpowiednią ochronę i respektowanie praw osób, których dane są przetwarzane. Warto więc pamiętać, że nie każde przetwarzanie danych osobowych wymaga stosowania się do wymogów RODO, ale każde przetwarzanie w działalności zawodowej czy publicznej już tak, co ma na celu zapewnienie wysokiego poziomu ochrony danych i prywatności obywateli.
Co zrobić, aby przetwarzanie danych było bezpieczne?
Bezpieczeństwo danych osobowych wymaga stosowania odpowiednich środków technicznych i organizacyjnych, które zabezpieczą dane przed nieuprawnionym dostępem, utratą, zniszczeniem czy upublicznieniem. Administratorzy powinni m.in. stosować szyfrowanie, kontrolować dostęp do systemów, prowadzić audyty bezpieczeństwa oraz szkolić personel. Zasada integralności i poufności danych jest fundamentem ochrony danych osobowych w świetle RODO.
