LexDigital

Jak legalnie przetwarzać dane osobowe? Rozwiewamy wątpliwości

Niniejszym artykułem postaramy się wyjaśnić i rozwiać wszelkie wątpliwości na temat przesłanek, w oparciu o które administrator danych ma możliwość przetwarzać dane osobowe osób fizycznych, w tym także dane dotyczące zdrowia. Wskażemy także przykłady konkretnych procesów biznesowych w kontekście każdej z przesłanek legalizujących przetwarzanie danych osobowych.

Jak legalnie przetwarzać dane osobowe? Rozwiewamy wątpliwości

Słów kilka o fundamentalnych zasadach obowiązujących w ochronie danych osobowych

Trudno byłoby zliczyć ile razy podczas codziennej pracy jako specjalista ds. ochrony danych osobowych czy w roli inspektora ochrony danych osobowych spotykamy się ze skierowanym do administratora danych osobowych pytaniem czy stwierdzeniem:

A na jakiej podstawie Państwo wykorzystują moje dane osobowe?
Ja na nic nie wyrażałem zgody!

W takiej sytuacji kluczowa jest dobra znajomość przepisów, na mocy których mamy do czynienia z przetwarzaniem danych osobowych.

Jeśli przetwarzasz dane osobowe, musisz mieć do tego podstawę prawną.
Jeśli przetwarzasz dane osobowe, musisz mieć do tego podstawę prawną.


Co to w ogóle oznacza, że administrator danych przetwarza dane osobowe?

Cofnijmy się na moment do podstaw i wyjaśnijmy w jaki sposób przepisy rozporządzenia definiują kluczowe pojęcia, które będą przewijać się w poniższym tekście.

Definicja, która ma swoje źródło w artykule 4 RODO wskazuje 19 czynności, które kryją się pod pojęciem przetwarzania. Należą do nich:

[...] zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
RODO wymaga stosowanie odpowiednich zabezpieczeń przez administratorów danych.
RODO wymaga stosowanie odpowiednich zabezpieczeń przez administratorów danych.


Niemniej jednak należy pamiętać, że pomimo tak szczegółowego wskazania czynności przetwarzania danych osobowych, katalog ten jest katalogiem otwartym. I należy rozszerzyć go o wszelkie możliwe operacje wykonywane na tych danych lub ich zestawach. Danych utrwalonych zarówno w formie papierowej jak i elektronicznej, dźwiękowej czy wizyjnej.

Podstawy ochrony danych osobowych

Dla przypomnienia warto także wyjaśnić, co w ogóle określamy danymi osobowymi.

Ogólne rozporządzenie parlamentu europejskiego (RODO) wskazuje dwa katalogi danych osobowych:

  1. Dane osobowe, potocznie nazywane "danymi zwykłymi" (artykuł 4 RODO) m.in:
    • imię, nazwisko,
    • adres zamieszkania,
    • dane kontaktowe,
    • identyfikatory internetowe,
    • pliki cookies, czyli informacje generowane przez nasze urządzenia, monitorujące nasz cyfrowy ślad w Internecie,
    • numer PESEL, który pozwala na jednoznaczną identyfikację osoby fizycznej,
    • wizerunek, zdjęcia lub inne szczegóły, które w pewnych okolicznościach mogą prowadzić do jednoznacznego zidentyfikowania osoby fizycznej.
  2. Dane wymagające szczególnej ochrony w tym:
    1. szczególne kategorie danych osobowych (artykuł 9 RODO), w tym szereg danych ujawniających pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne, przynależność do związków zawodowych, danych biometrycznych. Danych dotyczących zdrowia, także dane genetyczne, dane dotyczące seksualności, orientacji seksualnej przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej.
    2. dane dotyczące wyroków skazujących oraz naruszeń prawa (artykuł 10 RODO).

Po przypomnieniu powyższych definicji możemy przejść do kwestii jak wyeliminować nielegalne przetwarzanie danych osobowych i w jaki sposób połączyć te dwie definicje, czyli przetwarzanie oraz dane osobowe, zarówno "zwykłe" jak i te, które wymagają od administratora danych ich szczególnej ochrony.

Do szczególnej kategorii zaliczamy dane osobowe ujawniające m.in pochodzenie rasowe lub etniczne.
Do szczególnej kategorii zaliczamy dane osobowe ujawniające m.in pochodzenie rasowe lub etniczne.


RODO. Czego nie wolno? Naruszenia ochrony danych

Dopóki nie znajdziemy odpowiedniej podstawy prawnej, na której możemy oprzeć przetwarzanie danych osobowych, niestety nie będziemy mogli tego przetwarzania realizować.

RODO wymienia m.in dane szczególnych kategorii, które wymagają - nomen omen - szczególnej ochrony.
RODO wymienia m.in dane szczególnych kategorii, które wymagają - nomen omen - szczególnej ochrony.


Zasady ochrony danych określają, że do przetwarzania danych osobowych potrzebujemy jednej podstawy prawnej, a każda z dostępnych podstaw jest tak samo ważna.

Kiedy przetwarzanie danych jest dopuszczalne? W przypadku danych "zwykłych" odpowiedź znajduje się w artykule 6 RODO, który określa prawne podstawy przetwarzania danych osobowych. Do dyspozycji mamy sześć podstaw prawnych.

Ochrona danych osobowych. Co z tą zgodą?

Zgoda jest wymieniona jako pierwsza przesłanka legalizująca przetwarzanie danych, ale to nie oznacza, że jest najważniejszą podstawą prawną. Jest to sytuacja, w której osoba, której dane dotyczą, wyraziła dobrowolną zgodę na ich przetwarzanie w jednym lub kilku określonych celach.

Z punktu widzenia osób zajmujących się tematyką ochrony danych osobowych jest to podstawa dość problematyczna. To o czym w kontekście zgody musimy pamiętać jest fakt, że zgoda może być w dowolnym momencie odwołana przez każdą z osób fizycznych, których dane przetwarzane są właśnie w oparciu o zgodę. Dlatego wybierając tę podstawę, należy zawsze zadać sobie pytanie: Co stanie się jeśli osoba, której dane dotyczą wycofa swoją zgodę, a więc niejako stracimy tę podstawę? Czy wówczas nie zablokuje to procesu, dla którego zgoda została zebrana?

Każdy administrator danych ma obowiązek stosowania adekwatnych środków bezpieczeństwa.
Każdy administrator danych ma obowiązek stosowania adekwatnych środków bezpieczeństwa.


W tym miejscu należy podkreślić także, że nie ma konieczności zbierania zgód na przetwarzanie oparte o inną podstawę prawną, a więc nieprawidłowym będzie następujące brzmienie klauzuli zgody:

Wyrażam zgodę na przetwarzanie moich danych osobowych w celu realizacji umowy.
lub
Wyrażam zgodę na przetwarzanie moich danych osobowych w celu udzielenia mi świadczeń zdrowotnych.

W powyższych przykładach połączone zostały dwie podstawy przetwarzania danych osobowych - w pierwszym przypadku zgoda i wykonanie umowy, w drugim zgoda oraz obowiązek prawny ciążący na administratorze danych, czyli udzielanie świadczeń zdrowotnych i inne związane z tym czynności, które są oparte na przepisach prawa, w szczególności ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta i ustawy o działalności leczniczej.

Zatem w jakich procesach zgoda będzie właściwą podstawą?

  • przetwarzanie danych osobowych na potrzeby przyszłych rekrutacji,
  • wykorzystanie do kontaktu prywatnych danych kontaktowych pracownika,
  • wykorzystanie wizerunku na funpageu administratora danych,
  • przesyłanie newslettera do subskrybentów.
RODO. Czego nie wolno według rozporządzenia?
RODO. Czego nie wolno według rozporządzenia?


GRC – czym jest i kogo obowiązuje? Sprawdź nasz artykuł!

Realizacja umowy

Druga podstawa, czyli sytuacja gdy przetwarzanie danych jest niezbędne do realizacji umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na jej żądanie przed zawarciem umowy. Obejmuje to wszystkie działania przygotowawcze oraz pozyskiwanie informacji w celu dostosowania do umowy. Pamiętajmy, że inicjatywa zawarcia umowy powinna pochodzić od tej osoby, a nie od administratora.

Dane można przetwarzać na podstawie umowy, jeśli te dane są niezbędne do jej realizacji.
Dane można przetwarzać na podstawie umowy, jeśli te dane są niezbędne do jej realizacji.


Jakie procesy oprzemy zatem na tej podstawie prawnej? M.in.:

  • przetwarzanie danych osobowych w celu obsługi zapytań ofertowych,
  • przetwarzanie danych w celu realizacji zamówienia złożonego w sklepie internetowym,
  • kontakt z klientem w związku z realizacją zawartej umowy.
  • wszędzie tam, gdzie korzystanie z danej usługi związane jest z akceptacją regulaminu.
RODO. Co z danymi osobowymi w celu wykonania umowy?
RODO. Co z danymi osobowymi w celu wykonania umowy?


Wymagania ustawy o KSC oraz dyrektywy NIS2 a wdrożenie norm ISO 27001 oraz 22301

Obowiązek prawny ciążący na administratorze danych

Trzecia podstawa, która może pozwolić nam na legalne przetwarzanie danych osobowych to wypełnienie obowiązku prawnego ciążącego na administratorze danych. Co to oznacza w praktyce. Wszystkie procesy, gdzie obowiązek przetwarzania danych osobowych wynika z odrębnych przepisów np. kodeksu pracy, prawa księgowego, prawa bankowego możemy, a wręcz musimy oprzeć na tej właśnie podstawie. Administratorzy często podlegają szeregowi regulacji, które nakładają na nich konieczność przetwarzania danych osobowych.

Jakie procesy w organizacji opierają się na tej podstawie? Są to między innymi:

  • przetwarzanie danych pracowników zatrudnionych na umowę o pracę,
  • wystawianie i przechowywanie faktur oraz innych dokumentów księgowych,
  • rozpatrywanie skarg i reklamacji,
  • nadawanie upoważnień dla osoby, która w organizacji przetwarza dane osobowe,
  • wydawanie upoważnień ogólnych i szczegółowych do reprezentowania Spółki,
  • obsługa pracowniczych planów kapitałowych.
Regulacje w zakresie ochrony danych.
Regulacje w zakresie ochrony danych.


Ochrona żywotnych interesów

Kolejną podstawą prawną przetwarzania danych osobowych jest ochrona żywotnych interesów osoby, której dane dotyczą. Co to oznacza w praktyce? Ochrona żywotnych interesów odnosi się do każdej sytuacji, w których przetwarzanie danych jest niezbędne do zabezpieczenia fundamentalnych interesów mających znaczenie dla życia osoby. Zaliczymy tutaj: cele humanitarne, monitorowanie epidemii i ich rozprzestrzenianie się, a także radzenie sobie z nadzwyczajnymi sytuacjami, takimi jak klęski żywiołowe czy katastrofy spowodowane przez człowieka.

Należy jednak pamiętać, że ochrona żywotnego interesu jest przesłanką ostateczną i skorzystamy z niej tylko w przypadku braku jakiejkolwiek innej podstawy prawnej.

W przypadku korzystania z przesłanki ochrony żywotnych interesów trzeba mieć solidne uzasadnienie.
W przypadku korzystania z przesłanki ochrony żywotnych interesów trzeba mieć solidne uzasadnienie.


Wykonanie zadania realizowanego w interesie publicznym

Z przesłanki tej skorzystają przede wszystkim organy publiczne, gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Należy podkreślić, że wszystkie te czynności muszą być przewidziane w przepisach prawa, a przetwarzanie nie może być realizowane w sposób dowolny m.in.: dostęp do informacji publicznej.

Przetwarzanie może być związane z ważnym interesem publicznym.
Przetwarzanie może być związane z ważnym interesem publicznym.


Cele wynikające z prawnie uzasadnionych interesów administratora danych

Ostatnią, szóstą podstawą prawną przetwarzania danych osobowych jest sytuacja, w której przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią.

Wyjątkiem są sytuacje, w których nadrzędny charakter wobec tych interesów mają interesy oraz podstawowe prawa i wolności osób fizycznych!

I trzeba przyznać, że jest najbardziej otwarta przesłanka umożliwiająca bardzo szeroki zakres przypadków przetwarzania danych osobowych. Niemniej jednak aby organizacja nie została posądzona o nielegalne przetwarzanie danych osobowych, administrator musi być w stanie wykazać, że w danym procesie przetwarzanie danych jest konieczne oraz, że nie narusza praw i wolności osoby, na tle interesów administratora lub strony trzeciej. Jeżeli interesy administratora przeważają, może on oprzeć przetwarzanie na tej podstawie.

RODO. Przetwarzanie w ramach wykonywania celów wynikających z prawnie uzasadnionych interesów.
RODO. Przetwarzanie w ramach wykonywania celów wynikających z prawnie uzasadnionych interesów.


Procesy biznesowe oparte na powyższej przesłance to m.in.:

  • zarządzanie dostępem do pomieszczeń biurowych,
  • gromadzenie informacji o leadach,
  • obsługa gości na terenie organizacji,
  • praca zdalna,
  • przetwarzanie wizerunku dla celów bezpieczeństwa- monitoring,
  • działania windykacyjne,
  • budowanie relacji z partnerami biznesowymi,
  • prowadzenie działań marketingowych,
  • dodatkowe świadczenia socjalne.

Miejmy nadzieję, że świadomość administratorów do wybierania odpowiednich podstaw prawnych przełoży się na całkowite wyeliminowanie następujących zapisów w klauzulach informacyjnych:

Wyrażam zgodę na przetwarzanie moich danych osobowych w celu realizacji umowy, co stanowi prawnie uzasadniony interes administratora.
RODO. Przetwarzanie danych i obowiązek informacyjny.
RODO. Przetwarzanie danych i obowiązek informacyjny.


Co jeśli przetwarzam dane genetyczne, o stanie zdrowia, o przynależności do związków zawodowych czy inne szczególne kategorie danych osobowych, noszące także miano danych wrażliwych?

Przetwarzanie danych należących do szczególnej kategorii danych osobowych legalizują podstawy wskazane w artykule 9 RODO. Wśród przesłanek znajdziemy m.in: wyraźną zgodę osoby, której dane dotyczą, ochronę żywotnych interesów osoby, przetwarzanie niezbędne do profilaktyki zdrowotnej, czy wypełnienie obowiązków i wykonywanie szczególnych praw przez administratora lub osobę, której dane dotyczą. I to właśnie na wskazanej jako ostatnia skupimy się w odniesieniu do procesów biznesowych.

Osoby fizyczne mają szczególne prawo do ochrony swoich danych medycznych.
Osoby fizyczne mają szczególne prawo do ochrony swoich danych medycznych.


W jakich procesach wystąpi konieczność przetwarzania danych na tej właśnie podstawie? M.in:

  • organizowanie podróży służbowych (w ramach przetwarzania dane na temat chorób w przypadku podróży zagranicznych),
  • obsługa wypadków przy pracy w ramach BHP,
  • prowadzenie Zakładowego Funduszu Świadczeń Socjalnych,
  • wykorzystanie danych biometrycznych przetwarzanych w celu ograniczenia ryzyka udostępnienia haseł osobom trzecim (odcisk palca na laptopie).

Zakazane praktyki według art. 5 AI Act - analiza LexDigital

Dane osobowe dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa

W przypadku tych danych przetwarzania nie zalegalizujemy żadną z powyżej wskazanych przesłanek. Nie będzie dopuszczalne, nawet za zgodą osoby przetwarzanie danych osobowych dotyczących wyroków oraz czynów zabronionych lub powiązanych środków bezpieczeństwa. Podstawą przetwarzania tego rodzaju danych musi być wyraźny przepis prawa.

W polskim porządku prawnym sytuacje, w których przetwarzanie tego rodzaju danych jest dozwolone na mocy wyraźnych przepisów prawa odnajdziemy m.in w:

  • Ustawie o Policji - Policja, jako organ ścigania, ma prawo do przetwarzania danych osobowych, w tym dotyczących wyroków skazujących i czynów zabronionych, w ramach swoich ustawowych zadań. Ustawa ta szczegółowo określa zasady gromadzenia, przetwarzania i ochrony danych osobowych przez Policję.
Właściwe organy mają prawo do przetwarzania danych na podstawie wyraźnego przepisu prawa.
Właściwe organy mają prawo do przetwarzania danych na podstawie wyraźnego przepisu prawa.


Obowiązek legitymowania się podstawą przetwarzania danych

W legalnym przetwarzaniu danych osobowych kluczowe jest przestrzeganie zapisów zawartych w artykułach 6 i 9 RODO, które opisują przesłanki prawne umożliwiające przetwarzanie danych osobowych.

Każdy administrator danych, bez względu na branżę czy wielkość organizacji musi pamiętać o ochronie danych osobowych, zapewniając każdej osobie, której dane przetwarza, że jej dane osobowe są należycie zabezpieczone zarówno od strony prawnej, proceduralnej jak i fizycznej. Stosowanie odpowiednich środków zabezpieczających przetwarzanie danych jest fundamentem wynikającym z przepisów o ochronie danych osobowych.

Stosowanie odpowiednich zabezpieczeń to podstawa RODO.
Stosowanie odpowiednich zabezpieczeń to podstawa RODO.


Dane biometryczne to m.in fotografie, jeśli zdjęcia są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Dowiedz się więcej!

Przetwarzanie danych osobowych bez legalnej podstawy może prowadzić do poważnych konsekwencji. Może skutkować także nałożeniem kary administracyjnej.

W kontekście RODO, które stanowi o ochronie danych osobowych oraz dotyczy swobodnego przepływu danych osobowych, przetwarzanie m.in danych biometrycznych, danych genetycznych, danych ujawniających poglądy polityczne, przekonania religijne, pochodzenie rasowe, ale także danych zwykłych nie posiadając jasnej podstawy prawnej jest surowo zakazane. Administratorzy danych muszą także przestrzegać przepisów RODO planując udostępnienie danych osobowych. Należy pamiętać, że każde nielegalne przetwarzanie danych osobowych może spowodować wszczęcie postępowania administracyjnego. Ryzyko związane z nałożeniem kary administracyjnej powinno być przestrogą dla tych, którzy lekceważą regulacje mówiące o ochronie danych osobowych.

Przepisy regulujące ochronę danych osobowych w Polsce przewidują kary administracyjne.
Przepisy regulujące ochronę danych osobowych w Polsce przewidują kary administracyjne.


Dyrektywa NIS 2. Lista branż dotkniętych zmianą prawa

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk