W 2018 roku wiele zmieniło się w Polsce w zakresie przetwarzania i ochrony danych osobowych. Jak obecnie wyglądają podstawowe zasady przetwarzania i ochrony danych w naszym kraju?
Przetwarzanie danych osobowych - definicja
Ogólne pojęcie przetwarzania danych zostało dokładnie określone w art. 4 pkt 7 Rozporządzenia RODO i oznacza:
"operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie".
Aby w pełni zrozumieć, czym jest przetwarzanie danych, trzeba również przytoczyć pojęcie danych osobowych. Pojawia się ono w artykule 4 rozporządzenia: „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Daną osobową będzie zatem numer pesel bądź numer dowodu osobistego, numer telefonu bądź adres email, ale nie będzie nią np. niepełny adres – np. miasto i ulica.
Ochrona i przetwarzanie danych osobowych
Każda firma czy instytucja, a nawet większość stron internetowych, gromadzi i przetwarza dane osobowe. Przetwarzanie danych osobowych w firmie związane jest z wieloma procesami i może dotyczyć np. pracowników, klientów, kontrahentów i podwykonawców, kandydatów do pracy. W praktyce wyróżnia się kilka elementów składowych procesów gromadzenia, przetwarzania danych osobowych oraz ich ochrony.
Zgodnie z przepisami rozporządzenia, gromadzenie danych osobowych zostało ograniczone do niezbędnego minimum, tak by zapewnić osobom, których te dane dotyczą, jak najwyższy poziom bezpieczeństwa.
Legalne zbieranie danych osobowych oznacza zatem sytuację, w której osoba, której dane są gromadzone, wie, w jakim celu (zasada celowości) i w jakim zakresie będą one przetwarzane oraz może mieć absolutną pewność, że nie zostaną wykorzystane bez jej wiedzy w innych obszarach.
Bardzo ważna jest tu zasada adekwatności, czyli zbieranie przez podmiot, który gromadzi dane tylko takich informacji, które są niezbędne do celów, do których są przetwarzane. Na przykład, sklep internetowy, w celu finalizacji transakcji zakupu, musi posiadać dokładny adres klienta, imię i nazwisko, numer telefonu. Nie jest mu jednak potrzebna data urodzenia klienta. Jeśli chce takie dane mieć, powinien zapytać klienta o dodatkową zgodę, wyjaśniając, że data urodzin zbierana jest w celu np. wysyłania rabatów urodzinowych.
Zgoda na gromadzenie i przetwarzanie danych
Najczęściej wykorzystywaną podstawą przetwarzania danych jest zgoda na przetwarzanie i przechowywanie danych osobowych uzyskana od podmiotów, których te dane dotyczą. Według RODO zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli. Oznacza to, że nie można np. zbierać danych w sposób, który budzi wątpliwości co do tego, czy osoba je podająca wiedziała po co i komu je przekazuje.
Dane mogą być zbierane w różny sposób (np. zbieranie danych osobowych przez Internet, ankietami, telefonicznie), ale zawsze Administrator tych danych musi móc udowodnić, że otrzymał wyraźną zgodę od podmiotu, którego dane przetwarza. Osoba ta ma również prawo do wglądu w swoje dane, zmiany ich lub żądania ich usunięcia.
Zgodne z prawem przetwarzanie danych osobowych
Aby można było przetwarzać dane, musi zaistnieć co najmniej jeden z poniższych warunków (zgodnie z artykułem 6 RODO):
• osoba, której dane dotyczą, wyraziła na przetwarzanie danych zgodę (tzw. przetwarzanie na podstawie zgody – np. zgoda na wysyłanie e-mailingu),
• przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą (np. kupujemy coś w sklepie internetowym i musimy podać swoje dane i adres wysyłki),
• przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (głównie organy administracji publicznej),
• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (np. przetwarzanie numerów telefonów w celu poinformowania obywateli o zagrożeniu klęską żywiołową),
• przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (administracja publiczna),
• przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą (np. wysyłka przez administratora papierowych broszur informacyjnych i reklamowych dotyczących jego produktów i usług lub przetwarzanie przez bank danych spadkobiercy kredytobiorcy).
Zakaz przetwarzania danych osobowych
Dotyczy wszystkich sytuacji, w których dane przetwarza podmiot, który nie ma ku temu stosownych uprawnień. Zgodnie z art. 107 Ustawy podlega on karze grzywny, bądź ograniczenia wolności do 2 lat, a w szczególnych sytuacjach (dane dotyczące przynależności rasowej, etnicznej, religijnej, seksualnej, danych biometrycznych, genetycznych czy zdrowotnych) – do lat 3.
Każdy podmiot, który przechowuje i przetwarza dane osobowe, powinien mieć regulamin przetwarzania danych osobowych, który dotyczy konkretnych danych. Na przykład podczas rekrutacji do pracy, firmy oczekują, że kandydaci zawrą w CV oświadczenie zezwalające na przetwarzanie danych osobowych. Jeśli zgoda na przetwarzanie danych osobowych, której udzieli kandydat, będzie dotyczyła jedynie bieżącego procesu rekrutacji, CV kandydata należy usunąć bezpośrednio po zakończeniu procesu rekrutacji. Jeśli kandydat chce, by jego CV było przechowywane również na poczet innych rekrutacji, to musi wyrazić na to osobną zgodę. Tym samym, regułka o przetwarzaniu danych osobowych, jaką stosowano w rekrutacjach przed 2018 rokiem, już nie wystarczy.
Przechowywanie danych osobowych
Przechowywanie danych musi odbywać się w sposób bezpieczny, z zastosowaniem zabezpieczeń, które nie pozwolą na ich wykorzystanie przez osoby nieuprawnione. Jeśli administrator wykorzystuje do przechowywania danych osoby trzecie (np. zewnętrzne serwisy w chmurze), to musi zawrzeć z takimi serwisami umowę powierzenia danych osobowych.
Złamanie przepisów o ochronie danych osobowych – czyli na przykład ich rozpowszechnienie bez zgody podmiotów, których dotyczą, jest karane cywilnie, karnie i administracyjnie.
Podstawa prawna przetwarzania danych osobowych
Do 2018 roku, w Polsce obowiązywała Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Od 25 maja 2018 roku, została ona zastąpiona nową ustawą z dnia 10 maja (Dz.U. 2018 poz. 1000), której celem jest regulacja kwestii prawnych związanych z ochroną danych, w szczególności w kontekście stosowania przepisów ogólnego rozporządzenia o ochronie danych (RODO).
Nowa ustawa musiała zastąpić poprzednią, z uwagi na wejście w życie Ogólnego Rozporządzenia o Ochronie Danych Osobowych uchwalonego przez Parlament Europejski i radę EU. To rozporządzenie nosi skrótową nazwę RODO (lub posługując się nazwą anglojęzyczną – GDPR – General Data Protection Regulation).
Stworzenie jednolitego dla całej Unii Europejskiej rozporządzenia pozwoliło na pełną harmonizację prawa w tym zakresie. Przetwarzanie i ochrona danych osobowych w całej Unii są takie same, dzięki temu możliwy jest swobodny przepływ danych osobowych.
