RODO cz. IV – Czy taki diabeł straszny jak go malują?
Podstawy prawne przetwarzania danych osobowych i NOWE obowiązki informacyjne
Po drobnych modyfikacjach w planowanym harmonogramie wpisów, nadszedł w końcu czas na podstawy prawne przetwarzania danych i obowiązki informacyjne. Co ważne – dobrze się stało, że poprzesuwały się nam tematy, bo właśnie z początkiem lutego Ministerstwo Cyfryzacji zaproponowało bardzo istotną zmianę dotyczącą akurat obowiązków informacyjnych. Ale po kolei…
Kiedy możemy przetwarzać dane osobowe?
Często słyszę od swoich klientów, że temat RODO ich nie dotyczy, gdyż nie przetwarzają żadnych danych osobowych. Niestety – nic bardziej mylnego. Przetwarzanie danych oznacza (każdą!) operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych, w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. RODO, analogicznie do dotychczasowych regulacji, zezwala na owo przetwarzanie danych osobowych wyłącznie w enumeratywnie wskazanych przypadkach i po spełnieniu wskazanych warunków.
Podstawową przesłanką umożliwiającą przetwarzanie danych osobowych, jest zgoda osoby, której dane dotyczą. RODO przywiązuje z resztą bardzo dużą wagę do warunków prawidłowego odebrania zgody, dlatego też zostawimy sobie ten temat na odrębny wpis. Inne przesłanki to w dalszym ciągu, m.in. konieczność realizacji umowy, czy wypełnianie prawnie usprawiedliwionych celów realizowanych przez administratorów danych. RODO używa co prawda trochę innych sformułowań, ale co do zasady, powtarza obecne podstawy prawne przetwarzania danych osobowych, a nawet dorzuca jedną dodatkową – „żywotne interesy osoby, której dane dotyczą”, która obecnie stosowana jest jedynie w stosunku do przetwarzania danych wrażliwych:
PODSTAWY PRAWNE PRZETWARZANIA DANYCH ZWYKŁYCH
|
||
| według u.o.d.o: | według RODO: | |
| 1 | zgoda osoby, której dane dotyczą, chyba że chodzi o usunięcie dotyczących jej danych | zgoda osoby, której dane dotyczą, na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów |
| 2 | konieczność realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub konieczność podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą | konieczność wykonania umowy, której stroną jest osoba, której dane dotyczą, lub konieczność podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy |
| 3 | konieczność zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa | konieczność wypełnienia obowiązku prawnego ciążącego na administratorze |
| 4 | niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej | |
| 5 | niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego | niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi |
| 6 | niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą;
za prawnie usprawiedliwiony cel uważa się w szczególności: 1) marketing bezpośredni własnych produktów lub usług administratora danych; 2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
|
niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem;
za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego |
Po raz pierwszy RODO wyraźnie formułuje zasady udzielania zgody na przetwarzanie danych przez dzieci i wskazuje, że zgodę na przetwarzanie danych osobowych przy świadczeniu „usług społeczeństwa informacyjnego” (w uproszczeniu – usługi świadczone drogą elektroniczną) może wyrazić dziecko, które ukończyło 16 lat, w przeciwnym wypadku zgodę musi wyrazić w imieniu dziecka lub zaaprobować osoba sprawująca władzę rodzicielską lub opiekę. Jednocześnie RODO przewiduje, że państwa członkowskie UE mogą ustalić w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat. Z takiej możliwości zamierza skorzystać Polska – w projekcie z dnia 08.02.2018 r. ustawy o ochronie danych osobowych wskazano właśnie najniższą możliwą granicę wiekową dziecka, czyli 13 lat.
Powyższe dotyczy jednak jedynie danych zwykłych. Jeśli chodzi o dane wrażliwe (według RODO – szczególne kategorie danych), to RODO utrzymuje ogólny zakaz przetwarzania takich danych. Jednocześnie powtarza, ale przy tym precyzuje, obecnie obowiązujące wyjątki od wskazanej zasady i zezwala na przetwarzanie danych wrażliwych jedynie w przypadkach:
|
PODSTAWY PRAWNE PRZETWARZANIA DANYCH WRAŻLIWYCH/SZCZEGÓLNYCH KATEGORII DANYCH
|
||
| według u.o.d.o: | według RODO: | |
| 1 | osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych | osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach |
| 2 | przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony | przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą |
| 3 | przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie | |
| 4 | niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora
|
do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody |
| 5 | niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych
|
przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą |
| 6 | dane zostały podane do wiadomości publicznej przez osobę, której dotyczą | dane zostały w sposób oczywisty upublicznione przez osobę, której dotyczą |
| 7 | niezbędne do dochodzenia praw przed sądem | niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy |
| 8 | w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony | do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa, przy czym dane mogą być przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej |
| niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa, które przewiduje odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową | ||
| 9 | niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego
|
niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych |
| 10 | w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym | UWAGA!
przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa, wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem ALE: dane dotyczące „innych orzeczeń wydanych w postępowaniu sądowym i administracyjnym”, nie zostały objęte, jak ma to miejsce obecnie, żadnymi specjalnymi warunkami przetwarzania |
Jak widać z powyższego, dwie najistotniejsze – i niewątpliwie korzystne – zmiany dotyczące możliwości przetwarzania danych wrażliwych to – po pierwsze: fakt, że RODO rezygnuje z obowiązkowej dotychczas formy pisemnej dla zgody na przetwarzanie danych wrażliwych, wymagając jedynie, aby taka zgoda była wyraźna. Jest to bez wątpienia krok milowy, który umożliwi, np. pozyskiwanie danych wrażliwych przez Internet, czy choćby zastąpienie papierowych formularzy formularzami elektronicznymi. Po drugie: RODO zezwala na przetwarzanie danych wrażliwych w celu ustalenia, dochodzenia lub obrony roszczeń, nie ograniczając tego uprawnienia (jak dotychczas u.o.d.o.) jedynie do etapu postępowania sądowego.
Obowiązki informacyjne
Kiedy już ustalimy, na jakiej podstawie wolno nam przetwarzać dane osobowe, kolejnym warunkiem, jaki musimy spełnić, aby owo przetwarzanie odbywało się legalnie, jest przekazanie podmiotowi danych (tj. osobie, której dane dotyczą), szeregu wskazanych przez RODO informacji. RODO znacząco rozszerza katalog informacji, jakich należy udzielić osobie, której dane dotyczą. Katalog ten różni się w zależności od tego, czy dane zbierane są bezpośrednio od osoby, której dotyczą, czy też w inny sposób.
| KATALOG INFORMACJI
|
||
|
dane zbierane bezpośrednio od osoby, której dotyczą
|
dane zbierane są NIE od osoby,
której dotyczą |
|
| 1 | tożsamość i dane kontaktowe administratora | tożsamość i dane kontaktowe administratora |
| 2 | dane kontaktowe inspektora ochrony danych (oczywiście tylko jeśli administrator ma obowiązek wyznaczenia IOD) | dane kontaktowe inspektora ochrony danych |
| 3 | cele przetwarzania danych osobowych oraz podstawa prawna przetwarzania | cele przetwarzania danych osobowych oraz podstawa prawna przetwarzania |
| 4 | prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią, jeżeli na takiej podstawie odbywa się przetwarzanie danych | prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią, jeżeli na takiej podstawie odbywa się przetwarzanie danych |
| 5 | informacje o odbiorcach danych osobowych lub o kategoriach odbiorców
(definicja odbiorcy danych wprowadzona przez RODO została ukształtowana w taki sposób, że obejmuje także podmiot przetwarzający, do czego powrócimy przy okazji omawiania temat powierzenia danych do przetwarzania)
|
informacje o odbiorcach danych osobowych lub o kategoriach odbiorców |
| 6 | informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej | informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej |
| 7 | okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu | okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu |
| 8 | informacje o prawie do żądania od administratora:
– dostępu do danych osobowych, – ich sprostowania, usunięcia lub ograniczenia przetwarzania |
informacje o prawie do żądania od administratora:
– dostępu do danych osobowych, – ich sprostowania, usunięcia lub ograniczenia przetwarzania |
| 9 | informacje o prawie do:
– wniesienia sprzeciwu wobec przetwarzania, – przenoszenia danych, – cofnięcia udzielonej zgody w dowolnym momencie, – wniesienia skargi do organu nadzorczego
|
informacje o prawie do: – wniesienia sprzeciwu wobec przetwarzania, – przenoszenia danych, – cofnięcia udzielonej zgody w dowolnym momencie, – wniesienia skargi do organu nadzorczego |
| 10 | informacja, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych
|
|
| 11 | informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu
|
informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu |
| 12 |
źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych |
|
| 13 |
kategorie odnośnych danych osobowych (chodzi o typy i rodzaje, np. dane kontaktowe, dane pracownicze, dane genetyczne, dane o stanie zdrowia, dane dotyczące wykształcenia, a nie zakres informacji pozyskanych o osobie fizycznej, np. imię i nazwisko, adres, numer PESEL) |
|
Jeżeli dane osobowe zbierane są od osoby, której dotyczą, administrator podaje jej wskazane informacje podczas pozyskiwania danych – przyjmuje się, że informacje należy podać PRZED zebraniem danych, aby podmiot danych znał przede wszystkim cel ich podania i ewentualnie mógł świadomie zdecydować o ich podaniu bądź odmowie podania.
RODO znosi opisany powyżej obowiązek informacyjny JEDYNIE, gdy – i w zakresie, w jakim osoba, której dane dotyczą – dysponuje już tymi informacjami. ALE! – planowane jest także pewne ograniczenie obowiązków informacyjnych. Nowy projekt ustawy o ochronie danych osobowych, przygotowany przez Ministerstwo Cyfryzacji w dniu 09.02.2018 r. (poprzedni projekt był z 12.09.2017 r.) zakłada, że administratorzy, którzy:
- zatrudniają mniej niż 250 osób,
- nie udostępniają danych osobowych innym administratorom, z wyjątkiem sytuacji, gdy osoba, której dane dotyczą wyraziła zgodę na udostępnienie swoich danych osobowych lub udostępnienie jest niezbędne do wypełnienia obowiązku ciążącego na administratorze,
- nie przetwarzają danych wrażliwych –
– mogą ograniczyć się do przekazania osobie, od której zbierają dane osobowe, informacji wskazanych w pkt 1 – 6 powyżej oraz informacji o prawie cofnięcia udzielonej zgody w dowolnym momencie.
Jak tłumaczy Ministerstwo Cyfryzacji, zwrot „pracownicy” powinien być interpretowany szeroko i obejmuje wszystkie osoby wykonujące wewnątrz organizacji działania na rzecz przedsiębiorcy, niezależnie od formy prawnej ich zatrudnienia. Co do wyłączenia dotyczącego przetwarzania danych wrażliwych, to przedsiębiorcy nie będą mogli skorzystać z ograniczenia w stosowaniu obowiązków informacyjnych wyłącznie w przypadku, gdy w ramach konkretnego przetwarzania danych osobowych, gromadzą dane szczególnie chronione. Fakt, że w ramach organizacji przedsiębiorcy gromadzone są dane szczególnie chronione (np. w formie zwolnień lekarskich), nie powinien wyłączyć możliwości skorzystania z ograniczenia. Innymi słowy, fakt, że przetwarzamy informacje o stanie zdrowia pracowników, nie wyklucza możliwości skorzystania z okrojonego obowiązku informacyjnego w stosunku np. do klientów, jeżeli w ich przypadku przetwarzamy tylko dane zwykłe. Ostatnim z kryteriów wykluczających możliwość skorzystania z ograniczenia obowiązków informacyjnych, jest fakt udostępniania danych osobowych innym podmiotom na podstawie innej niż wyraźna zgoda osoby, której dane dotyczą lub obowiązek wynikający z przepisu prawa. I znowu – warunkiem jest nieudostępnianie danych osobowych w ramach konkretnego przetwarzania danych osobowych, w związku z którym przedsiębiorca chciałby skorzystać z ograniczenia. Ministerstwo Cyfryzacji podaje, że intencją projektodawcy nie było ograniczenie korzystania przez przedsiębiorców z usług swoich podwykonawców, działających na ich rzecz i we wskazanych przez nich celach. Fakt przekazania danych podmiotowi przetwarzającemu, np. firmie księgowej, która rozlicza nasze transakcje z klientami, nie wyłącza więc możliwość powołania się na ograniczenie obowiązku informacyjnego.
Na razie jednak jest to jedynie projekt ustawy, musimy więc poczekać, czy faktycznie zostanie przyjęty w takim, a nie innym kształcie.
Jeżeli dane osobowe zbierane są NIE od osoby, której dotyczą, administrator podaje jej wskazane informacje w tzw. rozsądnym terminie po pozyskaniu danych, nie później, niż przed upływem miesiąca od chwili pozyskania danych. RODO przewiduje także dwie sytuacje o charakterze szczególnym i stanowi, że realizacja obowiązku informacyjnego ma nastąpić:
- najpóźniej przy pierwszej komunikacji z osobą, której dane dotyczą,jeżeli dane osobowe mają być wykorzystywane do komunikacji z nią,
- jeżeli administrator planuje ujawnianie danych osobowych innemu odbiorcy– najpóźniej przy ich pierwszym ujawnieniu.
W przypadku zbierania danych nie od osoby, które dane dotyczą, RODO przewiduje zwolnienie z obowiązku informacyjnego, nie tylko gdy podmiot danych dysponuje już określonymi informacjami, ale także gdy:
udzielenie niezbędnych informacji jest niemożliwe lub co prawda byłoby możliwe, jednak wymagałoby niewspółmiernie dużego wysiłku, w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym; badań naukowych; badań historycznych; statystycznych (należy uwzględnić m.in. liczbę osób, których dane dotyczą);
pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem;
dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie.
RODO nie narzuca konkretnego sposobu przekazywania powyższych informacyjnych. Oczywiście jednak to po stronie administratora danych leży obowiązek wykazania, że informacje zostały przekazane. Wydaje się zatem, że najczęstszym, a właściwie – poza przypadkiem rejestrowania rozmów – możliwe, że jedynym stosowanym w praktyce sposobem, będzie przekazywanie obowiązkowych informacji na piśmie (także w formie elektronicznej). Obecnie istniejące klauzule zgody, formularze, czy tzw. check boxy, zwiększą zatem swoją obojętność niemal dwukrotnie. Dobra informacja jest jedynie taka, że każdy z nas, jako podmiot danych (np. jako klient sklepu internetowego), będzie tak szczegółowo poinformowany, o tym co, po co i dlaczego dzieje się z naszymi danymi osobowymi, że bardziej już naprawdę nie można.
Jak widać z powyższego, bardzo szeroki zakres obowiązków informacyjnych sprawia, że jest to temat rzeka. Wobec tego, będę powracać do niego przy okazji przybliżania kolejnych obowiązków administratora, czy też nowych instytucji wprowadzanych przez RODO.
Aleksandra Otok – Zagajewska
radca prawny