Porada powstała w ramach działalności non-profit Fundacji Akademia Liderów.
mikroPorady.pl są projektem Fundacji, który pomaga polskim mikroprzedsiębiorcom na każdym etapie prowadzenia działalności.
Ty też możesz pomóc w rozwoju polskiej mikroprzedsiębiorczości.
Wpłać darowiznę na rzecz Fundacji
1. Wstęp
Aktualnie całość regulacji i wszelkie wyjaśnienia dotyczące zbierania danych, tworzenia zbiorów danych zostały uregulowane w Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej RODO). Zbieranie danych osobowych (zbieranie w dowolnej formie, utrwalanie, korzystanie z nich) jest traktowane, jako przetwarzanie danych. Zgodnie z art. 4 pkt 2 RODO, przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie, a także ich niszczenie.
Powyższy przepis wymienia przykładowe czynności, które są traktowane, jako przetwarzanie danych osobowych. Są to m. in. zbieranie, utrwalanie i przechowywanie, co oznacza, że zatrzymanie danych (np. cv, kwestionariusz osobowy, dane adresowe, mailowe) będzie przetwarzaniem, nawet, jeżeli jest dozwolone na mocy ustawy i wymaga zgody. Natomiast zbiorem danych zgodnie z art. 4 pkt. 6 RODO jest uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie oraz w jakiej formie i na jakich nośnikach zapisany.
W niniejszej poradzie przedstawimy pokrótce, jakie czynności mające za przedmiot dane osobowe, należy traktować, jako przetwarzanie danych, co tym samym zobowiązuje do stosowania regulacji zawartej w omawianym rozporządzeniu RODO.
2. Kiedy dochodzi do przetwarzania danych osobowych
W zasadzie każda czynność mająca za przedmiot dane osobowe, nawet niewymieniona w art. 4 pkt 2 RODO może być uznana za przetwarzanie danych osobowych. Przetwarzanie danych osobowych ma, bowiem miejsce choćby tylko wewnątrz samego przedsiębiorstwa, gdy gromadzimy dane klientów. Polegać może np. także na przekazywaniu danych innym pracownikom, nawet w okresie dysponowania dla celu, w którym udostępniono dane (np. cv do czasu rozmowy kwalifikacyjnej).
Art. 6 ust. 1 RODO określa przypadki, w których przetwarzanie danych osobowych jest dopuszczalne tj. zgodne z prawem. Są to przypadki, gdy - i w takim zakresie, w jakim - spełniony jest, co najmniej jeden z poniższych warunków:
- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.
Warto również wskazać, że dane osobowe muszą być przetwarzane zgodnie z określonymi zasadami, o których mówi art. 5 ust 1 RODO. Zgodnie z tym przepisem dane osobowe muszą być:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
- prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
3. Zbieranie danych osobowych
Przetwarzanie danych osobowych w postaci ich „zbierania” zostało uregulowane m.in. w art. 13 obowiązki administratora danych (ADO) są zależne od tego, czy dane są pobierane od osoby, której dane dotyczą. W przypadku zbierania danych od osoby, której one dotyczą, ADO podaje tej osobie następujące informacje:
- swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
- gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
- cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.
Powyższe obowiązki nie dotyczą natomiast sytuacji, gdy przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania. Istotne jest to, iż w przypadku zbierania danych np. od swoich pracowników lub kandydatów starających się o zatrudnienie, również te informacje przedsiębiorca powinien przekazać.
Ponadto oprócz wyżej wymienionych informacji ADO zgodnie z art. 13 ust. 2. podczas pozyskiwania danych osobowych podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informacje o prawie wniesienia skargi do organu nadzorczego;
- informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator zgodnie z art. 14 ust 1 i 2 RODO, jest obowiązany również przekazać wszystkie wyżej wymienione informacje osobie, której dane dotyczą. Jedynym wyjątkiem, o którym administrator danych nie musi przekazywać ww. informacji to przypadek, jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) tj. jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.
Również w tym przypadku obowiązki te nie muszą być zachowane, gdy przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania. Poza tym nie ma obowiązku przekazywania tych informacji, gdy dane są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, gdy ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie ww. wymagań wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania.
Dla stosowania tych przepisów nie ma znaczenia, w jaki sposób dane są zbierane (czy przy bezpośrednim kontakcie czy np. mailem lub przez telefon). Jednakże samo utrwalanie oraz charakter zbiorów jest istotny. Zgodnie z art. 32 ust. 1 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
- pseudonimizację i szyfrowanie danych osobowych;
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
4. Rejestr czynności przetwarzania
Tak jak wskazaliśmy na wstępie, zbiór danych osobowych to formalnie rzez biorąc, uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie. RODO wprowadza obowiązek, jakim jest prowadzenie rejestru czynności przetwarzania, który zastępuje wcześniejszy obowiązek zgłaszania zbiorów danych do GIODO. Wskazać należy, że obowiązek ten dotyczy nie tylko administratorów danych, ale również podmiotów przetwarzających dane w imieniu administratorów. Taki rejestr jest wewnętrznym, firmowym dokumentem, który można prowadzić w formie elektronicznej czy pisemnej. W rejestrze przetwarzania prowadzonym przez administratora zgodnie z art. 30 ust. 1 powinny się znaleźć m.in.:
- imię i nazwisko lub nazwa oraz dane kontaktowe administratora, a także, gdy ma to zastosowanie inspektora ochrony danych;
- cele przetwarzania;
- opis kategorii osób, których dane dotyczą (np. użytkownicy aplikacji);
- opis kategorii danych osobowych (np. imię i nazwisko);
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich;
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. RODO.
Natomiast w rejestrze przetwarzania prowadzonym przez podmiot przetwarzający (oraz – gdy ma to zastosowanie – u przedstawiciela podmiotu przetwarzającego t.zw. Partnera Zaufanego) zgodnie z art. 30 ust. 2 powinny się znaleźć m.in:
- imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu, którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
- kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
- gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
Powyższe wymogi nie mają zastosowania w przypadku, jeżeli przedsiębiorca zatrudnia mniej niż 250 osób, chyba, że przetwarzanie, którego dokonuje, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, przetwarzanie nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych (np. o stanie zdrowia), lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.
5. Zbieranie danych osobowych a zbiory danych osobowych
Podsumowując wskazać można, że każde zbieranie danych w celu ich przetwarzania, nawet, jeżeli nie będą z nich stworzone konkretne zbiory, będzie się wiązało z powstaniem, co najmniej jednego zbioru (np. pracowników czy klientów) i z obowiązkami informacyjnymi administratora oraz podmiotu przetwarzającego. Takie informacje należy przekazać, nawet, jeżeli zbiór danych, jako konkretnie zidentyfikowany i nazwany katalog (folder, segregator, teczka, spis) nie istnieje lub też nie powstają w systemie (programie) w toku i na podstawie zbieranych danych. Przemawiają za tym również interesy osób, których dotyczą dane. Trudno byłoby, bowiem wyjaśnić, dlaczego ochrona tych interesów miałaby być uzależniona od tego, czy zbierającemu dane uda się stworzyć zestaw o odpowiedniej strukturze. Dlatego z ostrożności przesłankę tworzenia nazwanego, sformalizowanego zbioru danych można traktować pomocniczo, a nie, jako decydującą.
Ponadto warto sprawdzić czy przedsiębiorca jest zobowiązany lub uprawniony do zbierania określonych danych od konkretnych osób oraz czy zbierane dane będą spełniać wymogi przewidziane prawem i czy są niezbędne. Jeżeli przedsiębiorca będzie prowadził zbiór danych osobowych to warto zadbać o to, aby był uporządkowany i posiadł jakieś określone kryteria, dzięki, którym będzie można w łatwy sposób dokonać podziału uzyskanych danych osobowych, ich usuwania czy uzupełniania.
Podstawa prawna:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej RODO), (t.j. Dz.Urz.UE.L 2016 Nr 119, str. 1);