Zgodność z prawem przetwarzanych przez Administratora Danych Osobowych, to jeden z jego nadrzędnych obowiązków w zakresie spełnienia wymagań nałożonych przez Unijne Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. U. E. L 119/1 z 4 maja 2016 r.), zwane popularnie RODO oraz Ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Tj. Dz. U. z 2019 r., poz. 1781 z późn. zm.). Obszar ten mimo czytelnych uwarunkowań zawartych w powyższych normach prawnych, to bardzo często miejsce, w którym na przysłowiowe „dzień dobry” wykłada się sporo podmiotów. Jak konstruktywnie podejść do tematu zgodności z prawem przetwarzanych danych, na czym oprzeć ich podstawę oraz jakich błędów unikać ? Zagadnienia te poruszam w niniejszym artykule.
Aby właściwie podejść do zgodności z prawem przetwarzania danych osobowych, należy uwzględnić dwie zasadnicze i zarazem najważniejsze kwestie. Dane osobowe jako podmiot będący Administratorem Danych Osobowych, możemy przetworzyć tak naprawdę w dwóch przypadkach. Pierwszym z nich, zarazem najczęstszym, jest posiadanie podstawy prawnej przetwarzania danych. Aby ją odszukać należy zagłębić się we wspomnianym Rozporządzeniu RODO, a dokładniej w artykule szóstym i dziewiątym, choć niektóre instytucje zahaczą także sporadycznie o artykuł dziesiąty. Choć może to brzmieć dość zawile, chodzi o kwestię odnalezienia podstawy wynikającej z uwzględnionych w tych artykułach literek, co ważne, biorąc pod uwagę wszystkie z nich poza literką A. Dlaczego ? Literka ta to zgoda osoby, której dane dotyczą, a tą formą zgody zajmiemy się później. W przypadku przyporządkowania właściwego dla wybranej literki celu przetwarzania danych, należy odnaleźć krajową podstawę prawną regulującą ten zakres oraz wskazującą jakie konkretnie informacje – zakres danych – Administrator Danych Osobowych może na jej podstawie przetwarzać. Podstawa ta będzie z reguły dokładnie precyzować nie tylko zakres danych jakie można na jej podstawie przetwarzać, ale również czas przez jaki może być ono prowadzone.
Drugim obszarem zapewniającym zgodność z prawem przetwarzania danych osobowych, jest wspomniana wcześniej literka A, wstępująca zarówno w artykule szóstym dotyczącym danych zwykłych oraz dziewiątym regulującym dane szczególnych kategorii. W obu przypadkach po zgodę osoby na przetwarzanie jej danych osobowych, należy sięgać w ostateczności, tylko i wyłącznie jeśli dany cel przetwarzania danych nie jest uregulowany prawnie i nie wynika właściwego dla niego aktu. Właściwie skonstruowana zgoda na przetwarzanie danych osobowych, powinna zawierać wszelkie wymagane artykułami siódmym i ósmym informacje, w tym precyzyjnie wskazanie celu przetwarzania danych oraz praw osoby, której dane dotyczą. Istotnym w tej kwestii będzie także zwrócenie uwagi na tzw. minimalizację danych – czyli zbieranie wyłącznie danych niezbędnych dla określonego celu, bez zbędnych danych nadmiarowych.
Wymienione powyżej zasady, mimo ich precyzyjnej konstrukcji generują niekiedy sytuacje będące niezgodnością w zakresie przetwarzania danych osobowych, co gorsze mogące prowadzić do paradoksu prawnego, np. zbierania zgody na przetwarzanie danych mimo obecnej podstawy prawnej. Co jeśli w tym przypadku, osoba która wyraziła zgodę ją odwoła, a administrator danych osobowych ma nadal podstawę prawną na ich przetwarzanie ? Może go dokonywać czy nie ? Co gorsze zbierane niekiedy zgody stanowią realne zagrożenie życia lub zdrowia – dla przykładu „popularna” w szkołach zgoda na wezwanie pogotowia dla ratowania życia dziecka lub spotykana w placówkach medycznych zgodna na przekazanie danych osobie, której dane dotyczą. Słabe, prawda ? Inne częste przypadki błędów to:
1. Zbieranie danych bez podstawy prawnej lub zgody,
2. Zbieranie danych nadmiarowych,
3. Brak określenia celu przetwarzania danych,
4. Brak spełnienia obowiązku informacyjnego.
W obu przypadkach zarówno przetwarzania danych na właściwej dla określonego celu podstawie prawnej lub zgodzie osoby której dane dotyczą warto pamiętać o ich uwzględnianiu w prowadzonym na podstawie Art 30 RODO Rejestrze czynności przetwarzanie danych osobowych. Wprowadzone dane oraz poprawnie prowadzony rejestr czynności przetwarzania danych osobowych to także doskonała baza dla spełnienie kolejnego z obowiązków ciążących na Administratorze Danych Osobowych, a mianowicie upoważnienia do przetwarzania wskazanych osób lub nawiązania właściwych umów powierzenia przetwarzania danych osobowych. Pamiętać należy także, iż posiadając podstawę prawną lub zgodę na przetwarzanie danych w określonym celu, każdy inny cel wymaga wskazanie właściwej dla siebie podstawy lub kolejnej zgody.
Zapraszam do konsultacji prowadzonych przez nasze biuro, gdzie mogą Państwo rozwiać wszelkie nurtujące wątpliwości – szczegóły konsultacji TUTAJ. Zapraszam również do tematycznych publikacji: Jak właściwie wdrożyć RODO w Twojej firmie dowiesz się z artykułu – Tutaj, a jakich błędów unikać przeczytasz – Tutaj.
Zapraszam Cię również do naszego bezpłatnego newslettera – Poradnika Pracodawcy – w którym omawiamy zagadnienia z zakresu bezpieczeństwa i higieny pracy, ochrony przeciwpożarowej, pierwszej pomocy, ochrony danych osobowych i kadr. Zapisać się do newslettera możesz TUTAJ.
Opracowanie / Marek Mróz
Manager Bezpieczeństwa Informacji / Inspektor Ochrony Danych
Niniejszy wpis nie jest sponsorowany, zapraszamy do wsparcia rozwoju poradnika pracodawcy poprzez postawienie nam wirtualnej kawy.
Poniżej zamieszczamy ciekawe linki afiliacyjne do polecanych książek i poradników w zakresie Bezpieczeństwa i Higieny Pracy. Dokonując z nich zakupu, wesprzesz rozwój poradnika. Dziękujemy.
Ochrona Danych Medycznych i Osobowych Pacjentów – kupisz tutaj,
Ochrona Danych Osobowych – Poradnik dla Przedsiębiorców – kupisz tutaj,
Bezpieczeństwo aplikacji mobilnych – kupisz tutaj,
Informatyka Śledcza – kupisz tutaj,
Profesjonalne testy penetracyjne – kupisz tutaj.
