Wszystko o RODO. Część 3. Ogólne warunki pozyskiwania i przetwarzania danych osobowych

Podmiot pragnący przetwarzać dane osobowe musi zadbać, aby zachodziła któraś z określonych w ustawie o ochronie danych osobowych przesłanek legalizujących przetwarzanie. W ustawie wskazano dwa zamknięte katalogi przesłanek – jeden wskazujący sytuacje, w których dopuszczalne jest przetwarzanie tzw. danych osobowych zwykłych oraz drugi, dotyczący danych osobowych wrażliwych. Co do zasady przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy zachodzi co najmniej jedna z następujących przesłanek [1]:

• osoba, której dane dotyczą wyraziła zgodę na przetwarzanie jej danych
• zgoda musi być wyraźna i wyrażona świadomie, nie może ona być do;mniemana lub dorozumiana z oświadczenia woli o innej treści (zgoda nie jest konieczna jedynie do usunięcia danych osobowych); - przetwarzanie odbywa się na podstawie przepisu prawa, ustanawiającego uprawnienia lub obowiązki;
• jest to konieczne do realizacji umowy, której osoba, której dane dotyczą, jest stroną lub też do podjęcia działań przed zawarciem umowy na żądanie tej osoby;
• jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
• jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez 6 administratorów danych albo odbiorców danych (prawnie usprawiedliwione cele to, m.in. marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej), a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Przetwarzanie danych wrażliwych

Przesłanki przetwarzania danych osobowych określanych mianem wrażliwych są bardziej rygorystyczne, niż przesłanki pozwalające na przetwarzanie innych kategorii danych osobowych. Co do zasady przetwarzanie danych osobowych wrażliwych jest zabronione, a dopuszczalne jedynie w następujących okolicznościach[2]:

• jeśli osoba, której dane dotyczą, wyraziła na to zgodę (chyba że chodzi o usunięcie dotyczących jej danych)
• należy pamiętać, że w przypadku danych wrażliwych zgodna musi być udzielona w formie pisemnej;
• przepis prawa (ustawy innej niż ustawa o ochronie danych osobowych) zezwala na przetwarzanie danych bez zgody osoby, której dane dotyczą, a ponadto stwarza dodatkowe, pełne gwarancje ochrony takich danych osobowych;
• przetwarzanie danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby (gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody - do czasu ustanowienia opiekuna prawnego lub kuratora);
• jest to niezbędne do wykonywania statutowych zadań kościołów i związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych
• oparcie przetwarzania na tej przesłance jest możliwe wyłącznie w odniesieniu do członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością; konieczne jest ponadto zapewnienie pełnych gwarancji ochrony przetwarzanych danych osobowych;
• przetwarzanie dotyczy danych osobowych, które są niezbędne do dochodzenia praw przed sądem;
• przetwarzanie jest niezbędne do wykonania zadań administratora danych osobowych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie; - przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych;
• przetwarzanie dotyczy danych osobowych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą;
• jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;
• publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone (konieczna anonimizacja wyników);
• przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

Obowiązek informacyjny związany z pozyskaniem danych

Każdy administrator danych osobowych, bez względu na sposób, w jaki wszedł w posiadanie danych osobowych (czy pozyskał je od osoby, której dane dotyczą, czy tez od innego podmiotu - np. przez zakup bazy danych), ma obowiązek poinformowania osoby, której dane dotyczą o tym, że przetwarza jej dane. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych osobowych ma obowiązek poinformowania jej o[3]:

• adresie swojej siedziby i pełnej nazwie (w przypadku gdy administratorem danych jest osoba fizyczna, informuje ona o swoim miejscu zamieszkania oraz imieniu i nazwisku);
• celu zbierania danych osobowych;
• przewidywanych odbiorcach lub kategoriach odbiorców danych;
• prawie dostępu do treści swoich danych oraz ich poprawiania;
• dobrowolności albo obowiązku podania danych (jeżeli taki obowiązek istnieje, o jego podstawie prawnej).

W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych osobowych ma obowiązek poinformowania tej osoby, bezpośrednio po utrwaleniu zebranych danych, o[4]:

• adresie swojej siedziby i pełnej nazwie (w przypadku gdy administratorem danych jest osoba fizyczna, informuje ona o swoim miejscu zamieszkania oraz imieniu i nazwisku);
• celu zbierania danych;
• zakresie zbierania danych;
• odbiorcach lub kategoriach odbiorców danych;
• źródle danych;
• prawie dostępu do treści swoich danych oraz ich poprawiania;
• prawie wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania danych osobowych ze względu na jej szczególną sytuację;
• prawie wniesienia sprzeciwu wobec przetwarzania danych osobowych, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.

Obowiązek dochowania szczególnej staranności przy przetwarzaniu danych w celu ochrony interesów osób, których dane dotyczą. Administrator danych osobowych ma obowiązek zapewnienia, że przetwarzanie przez niego danych osobowych jest zgodne z następującymi zasadami[5]:

• legalności - przetwarzanie opiera się na jednej z podstaw wskazanych w ustawie o ochronie danych osobowych, odbywa się na zasadach określonych w tej ustawie, a także jest zgodne z 5 postanowieniami innych ustaw (np. przetwarzanie danych osobowych pracowników musi być zgodne nie tylko z ustawą o ochronie danych osobowych, ale także z regulacjami zawartymi w Kodeksie pracy);
• celowości - prawidłowa realizacja tej zasady oznacza zbieranie danych osobowych dla wyraźnie oznaczonych, zgodnych z prawem celów;
• związania celem przetwarzania - zabronione jest przetwarzanie danych osobowych niezgodne z celem, dla którego zostały zebrane;
• merytorycznej poprawności - obowiązkiem administratora jest dbanie o to, by przetwarzane przez niego dane osobowe były prawdziwe i aktualne;
• adekwatności - zakres przetwarzanych danych osobowych musi być adekwatny do celu, w jakim są one przetwarzane; zabronione jest przetwarzanie danych osobowych w zakresie szerszym, niż jest to niezbędne dla realizacji celu przetwarzania;
• ograniczonego czasu przetwarzania - dane osobowe mogą być przetwarzane tylko przez czas niezbędny do realizacji celu ich przetwarzania; gdy cel ten wygasa, konieczne jest usunięcie danych.

Przetwarzanie danych osobowych niezgodne z przepisami ustawy o ochronie danych osobowych wiąże się z odpowiedzialnością karną, za[6]:

• przetwarzanie danych osobowych przez nieuprawnionego;
• udostępnianie danych osobom nieuprawnionym lub umożliwianie dostępu do nich;
• naruszenie obowiązku zabezpieczenia danych osobowych;
• niezgłoszenie zbioru danych osobowych do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych;
• niedopełnienie obowiązków informacyjnych wobec osoby, której dane dotyczą;

utrudnianie wykonania czynności kontrolnej inspektorowie Biura Generalnego Inspektora Ochrony Danych Osobowych. W każdym przypadku odpowiedzialność ponosi administrator danych osobowych, w niektórych przypadkach (np. za niezabezpieczenie danych osobowych) odpowiada także podmiot przetwarzający.

[1] T.Banyś, J.Łuczak, Ochrona danych osobowych w praktyce. Jak uniknąć błędów i ich konsekwencji prawnych, PRESSCOM, Wrocław 2017.

[2] Ibidem.

[3] Kołodziej M., Kluska M., Wanio G., Vademecum administratora bezpieczeństwa informacji, red. Kołodziej M., C. H. Beck, Warszawa 2016.

[4] Ibidem.

[5] J.Kamińska-Kasjaniuk, Metodyka pracy administratora bezpieczeństwa informacji, JDS Consulting , Warszawa 2016.

[6] T.Banyś, op.cit.