Przetwarzanie danych osobowych
Przetwarzanie danych osobowych jest terminem, który funkcjonuje od niedawna. Pomimo tego, czynności wykonywane w jego zakresie nie są nowe, ale obejmują działania stosowane do dziesięcioleci w związku z handlem, usługami czy zatrudnianiem pracowników. Upowszechnienie się tego pojęcia wynika z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i unijnego rozporządzenia RODO.
Czym jest przetwarzanie danych osobowych w świetle prawa?
Dokonywanie zakupów na raty w sklepach, podpisywanie umów kredytowych w bankach czy umowy o dzieło w zakładzie pracy wiążą się z koniecznością podania swoich danych. Ujawnienie ich stanowi materiał dla przestępców, którzy wykradają je i wykorzystują do popełniania oszustw czy innych wykroczeń. Dlatego przetwarzanie danych osobowych jest objęte rygorystycznymi ograniczeniami, które mają chronić ich właścicieli.
W myśl ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych za ich przetwarzanie uznaje się:
- zbieranie,
- utrwalanie,
- opracowywanie,
- udostępnianie,
- zmienianie,
- przechowywanie,
- usuwanie
oraz wszelkie inne czynności, związane z opracowywaniem danych osobowych, szczególnie w systemach informatycznych. Pomimo wprowadzenia nowej ustawy o ochronie danych osobowych z dnia 25 maja 2018 roku, definicja przetwarzania danych osobowych została zachowana w niezmiennej formie.
Przetwarzanie danych osobowych a RODO
Od 25 maja 2018 roku obowiązuje też Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 – tzw. RODO. Dokument ten rozszerza pojęcie przetwarzania danych osobowych o kolejne operacje takie jak: organizowanie, pobieranie, porządkowanie, wykorzystywanie, przeglądanie, rozpowszechnianie, ujawnianie poprzez przesyłanie, łączenie, dopasowywanie, ograniczanie lub niszczenie. Wszystkie wymienione czynności mogą się odbywać w sposób zautomatyzowany lub niezautomatyzowany.
Czy można ograniczyć przetwarzanie i innego rodzaju udostępnianie danych osobowych?
Z roku na rok coraz częściej mówi się, o tym jak wiele firm przetwarza dane osobowe, które często, sami nieopacznie udostępniamy w Internecie. Dlatego też coraz więcej ludzi szuka informacji na temat tego, jak można ograniczyć przetwarzanie danych osobowych. Zasadniczo ludzie, których dane osobowe są przetwarzane, mają prawo zażądać ograniczenia ich przetwarzania, jednak jest to możliwe tylko i wyłącznie w kilku przypadkach, jasno określonych przez RODO:
- Osoba, której dane dotyczą, kwestionuje ich prawidłowość – decyzja o ograniczeniu przetwarzania danych osobowych jest podejmowana na okres potrzebny do sprawdzenia danych osobowych;
- Administrator wprawdzie już nie potrzebuje danych osobowych do przetwarzania, jednak są one potrzebne konkretnej osobie, do ustalenia, dochodzenia bądź obrony roszczeń;
- Przetwarzanie danych osobowych jest niezgodne z prawem, a osoba której te dane dotyczą, sprzeciwia się ich usunięciu jednocześnie żądając ograniczenia ich wykorzystywania;
- Osoba, której dane dotyczą, może również wnieść sprzeciw zgodnie z art. 21 ust. 1 wobec przetwarzania – w tej sytuacji, należy stwierdzić czy prawa po stronie administratora danych osobowych są nadrzędne w stosunku do roszczeń osoby, która je złożyła;
Jak widać, jeżeli chodzi o zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie danych osobowych mamy sporo możliwości w zakresie ograniczenia tego procederu. Pamiętajmy, że jakiekolwiek operacje wykonywane na danych osobowych muszą być prowadzone zgodnie z polskim prawem oraz przepisami RODO. Jeżeli zauważymy jakiekolwiek nieprawidłowości, mamy możliwość podjęcia działań w celu ograniczenia przetwarzania naszych danych osobowych.
Zestaw operacji wykonywanych na danych osobowych – przykłady
Jak wspomnieliśmy wcześniej, przetwarzanie danych osobowych, to niezwykle rozległa definicja, która obejmuje różnego rodzaju operacje wykonywane na danych osobowych lub zestawach danych, od momentu ich pozyskania aż do czasu trwałego ich usunięcia. Taka definicja może być jednak nie do końca jednoznaczna, dlatego poniżej prezentujemy kilka przykładów obejmujących modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie, organizowanie, porządkowanie, przechowywanie, adaptowanie danych osobowych:
- Najprostszym przykładem jest rejestracja użytkowników na danej stronie internetowej, gdzie podajemy między innymi adres e-mail, hasło czy nasze imię i nazwisko;
- Przetwarzanie płatności – również bardzo popularne w erze Internetu. Tutaj również podajemy swoje imię, nazwisko, adres czy dane karty kredytowej. W tym przypadku przetwarzanie danych jest elementem niezbędnym do wykonania umowy;
- Rekrutacja pracowników – CV czy list motywacyjny, to prawdziwa kopalnia wiedzy. Podczas rekrutacji zbiera się również informacje takie jak imię, nazwisko, adres czy numer telefonu;
- Prowadzenie ksiąg podatkowych – w których również zawarte są dane osobowe klientów, takie jak imię, nazwisko, numer identyfikacyjny, adres itd. Te informacje wykorzystywane są oczywiście do celów podatkowych;
Działania na zestawach danych osobowych – jakie są obowiązki administratora danych osobowych?
Jeżeli chodzi o przetwarzanie danych osobowych, to równie istotne jest zwrócenie uwagi na obowiązki administratorów danych osobowych. Jednym z ich podstawowych zadań jest właściwa ochrona danych osobowych podmiotów danych. Innymi słowy, wszelkie operacje wykonywane na danych osobowych muszą być prowadzone w zgodzie z przepisami prawa. Warto jednocześnie zauważyć, że każda operacja wykonywana na danych osobowych jest równoznaczna z ich przetwarzaniem.
Ponadto wszelkie operacje wykonywane na danych osobowych powinny być w odpowiedni sposób opisane i rejestrowane, ponadto ich przetwarzanie w systemach informatycznych powinno zapewniać bezpieczeństwo (pod tym pojęciem należy rozumieć między innymi ograniczony dostęp do systemu, jego właściwą konfigurację oraz stałe monitorowanie bezpieczeństwa sieci).
Musimy również pamiętać o tym, że przetwarzanie danych osobowych jest legalne tylko w sytuacji, w której osoba, której dane dotyczą, wyrazi zgodę na ich wykorzystywanie. Istnieją jednak pewne wyjątki od tej reguły. Przykładowo jeżeli przetwarzanie danych osobowych pozwoli na uratowanie czyjegoś zdrowia lub życia, to ich wykorzystanie bez wiedzy danej osoby jest w pełni legalne.
Każdy człowiek podlega ochronie danych osobowych
Art. 13 i 14 RODO mówi o tym, że każdej osobie fizycznej, której dane są przetwarzane, należy udostępnić informacje między innymi o tym, kto jest administratorem jej danych osobowych oraz jaka jest podstawa prawna przetwarzania tych danych (innymi słowy czy jest to dyktowane przepisami prawa czy jest niezbędne do celów wynikających z realizacji umowy). Informacje te mają na celu ochronę naszych danych osobowych i spełniać obowiązek, jakim jest przejrzyste poinformowanie danej osoby o tym na jakich zasadach jej dane będą przetwarzane. Prawo w ten sposób dba o obywateli.
Przechowywanie, przetwarzanie, wykorzystywanie, ujawnianie poprzez przesłanie oraz rozpowszechnianie naszych danych osobowych – jakie przysługują nam prawa?
Ostatnim elementem, który chcemy omówić w tym artykule opisującym przetwarzanie danych osobowych, jest zwrócenie uwagi na szereg praw, którym w tej materii dysponujemy. Administrator danych osobowych powinien zagwarantować spełnienie wszystkich niżej wymienionych praw, to jest:
- Prawo do sprostowania danych (art. 16 RODO);
- Prawo dostępu do danych (art. 15 RODO);
- Prawo do usunięcia danych (art. 17 RODO);
- Prawo do ograniczenia przetwarzania danych osobowych (art. 18 RODO);
- Prawo do przenoszenia danych (art. 20 RODO);
- Prawo do sprzeciwu (art. 21 RODO);
- Prawo do tego by nie podejmować decyzji polegającej tylko i wyłącznie na zautomatyzowanym przetwarzaniu, w które wliczamy również profilowanie, które wywołuje u danej osoby skutki prawne bądź wpływają na nią w istotny sposób (art. 22 RODO);
Przetwarzanie danych osobowych – podsumowanie
Podsumowując, w obecnych czasach trudno jest sobie nam wyobrazić działania jakiejkolwiek organizacji bez przetwarzania danych osobowych. Jednak to zawsze my podejmujemy decyzje o tym czy wyrażamy zgodę na takie działania. Pamiętajmy więc zarówno o naszych prawach, jak i o obowiązkach w związku z przetwarzaniem danych osobowych.