Dane osobowe. Czy wiesz jaka odpowiedzialność na Tobie spoczywa?

Ściana pełna kamer które są skierowane na dwie osoby

Zagadnienie danych osobowych i kwestie dotyczące ich prawidłowej ochrony stają się coraz większym wyzwaniem dla przedsiębiorców przetwarzających dane osobowe swoich klientów.

Obok rzeczywistej troski o należyte zabezpieczenie danych osobowych klientów, trzeba pamiętać o przestrzeganiu obowiązujących przepisów prawa, w tym również przepisów prawa unijnego, w szczególności tzw. ogólnego rozporządzenia o ochronie danych osobowych (RODO), które zaczną obowiązywać od 25 maja 2018 r. Jednocześnie, nie można zapominać o zauważalnym w ostatnich latach wzroście świadomości prawnej klientów w zakresie ochrony danych osobowych.

Niniejszy artykuł stanowi I część cyklu odnoszącego się do danych osobowych i ich ochrony. Postaramy się przybliżyć w nim pojęcie danych osobowych, a także opowiemy o zasadach przetwarzania i ochrony danych osobowych na gruncie obowiązujących przepisów prawa.

W kolejnych częściach przedstawimy najczęstsze błędy dotyczące przetwarzania i ochrony danych osobowych, a także przybliżymy zmiany dotyczące zasad przetwarzania danych osobowych, które będą obowiązywały od 25 maja 2018 r., po wejściu w życie RODO.

1. DANE OSOBOWE. CZYLI CO?

Zacznijmy od początku. Zgodnie z art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej nazywana „Ustawą”), za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Tłumacząc z języka prawniczego – danymi osobowymi są wszelkie informacje dotyczące konkretnej osoby fizycznej, za pomocą których bez większego wysiłku możemy tę osobę zidentyfikować, chociażby nie była ona wyraźnie wskazana.

Za osobę możliwą do zidentyfikowania uważa się taką, której tożsamość można określić bezpośrednio (imię i nazwisko, adres zamieszkania) lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny (np. PESEL) albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Co jednak ważne – dana informacja nie będzie uważana za umożliwiającą określenie tożsamości konkretnej osoby, jeżeli wymagałoby to nieracjonalnych, nieproporcjonalnie dużych (nadmiernych) kosztów, czasu lub działań.

Zatem, danymi osobowymi będą zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, ale dopiero przy pewnym nakładzie kosztów, czasu i działań doprowadzą do jej ustalenia.

Co równie ważne, oprócz „zwykłych” danych osobowych, jak imię i nazwisko, PESEL czy adres zamieszkania, wyróżniamy także kategorię danych szczególnie chronionych (tzw. „wrażliwych”). Są to informacje o pochodzeniu rasowym lub etnicznym, poglądach politycznych, religijnych, filozoficznych, wyznaniu, przynależności do partii lub związku, stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, skazaniach, orzeczeniach o ukaraniu, mandatach i innych orzeczeniach wydanych w postępowaniu przed sądem lub urzędem. W odniesieniu do przetwarzania tej kategorii danych osobowych przepisy prawa nakładają bardziej rygorystyczne obowiązki niż w przypadku przetwarzania „zwykłych” danych

2. PRZETWARZANIE DANYCH OSOBOWYCH – NA CZYM POLEGA?

Ponownie zacznijmy od przepisów. Głównym założeniem ochrony danych osobowych jest uprawnienie każdego człowieka do ochrony danych osobowych, które go dotyczą. W związku z tym, przetwarzanie danych osobowych możliwe jest jedynie na zasadach określonych w Ustawie.

Za przetwarzanie danych osobowych uznawane jest wykonywanie na nich jakichkolwiek operacji. Przetwarzaniem będzie zatem już samo przechowywanie danych, nawet jeśli podmiot, który takie dane posiada faktycznie z nich nie korzysta. Przez przetwarzanie uważa się także: udostępnianie, zmienianie, modyfikowanie, przekazywanie, zbieranie, utrwalanie, opracowywanie oraz usuwanie danych osobowych.  W szczególności dotyczy to tych operacji, które wykonuje się w systemach informatycznych.

Zatem posiadając dane osobowe swoich klientów (uzyskiwane np. przy zawieraniu umowy) już de facto przetwarzamy te dane. Bez względu na to, czy następnie będziemy wykonywać na takich danych jakiekolwiek inne operacje.

3. ZANIM KLIENT POWIE „TAK”. O ZGODZIE I INNYCH PODSTAWACH DO PRZETWARZANIA DANYCH OSOBOWYCH.

Zgodnie z art. 23 ust. 1 Ustawy dane osobowe mogą być przetwarzane wyłącznie wtedy, gdy:

  • osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
  • jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
  • jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
  • jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
  • jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

W praktyce, w przypadku przedsiębiorców, zgodne z prawem przetwarzanie danych osobowych klientów odbywa się przede wszystkim na podstawie zgody osoby, której dane dotyczą (pkt 1 powyżej).

Należy zwrócić uwagę na to w jaki sposób zgoda może zostać wyrażona. Na gruncie obowiązujących przepisów zgoda na przetwarzanie danych osobowych nie może mieć charakteru domniemanego czy dorozumianego (zasada ta zmieni się nieco po wejściu w życie RODO, ale o tym bliżej w kolejnych częściach artykułu). Zatem, zgoda musi być wyrażona (przynajmniej do 25 maja 2018 r. 😊) w sposób wyraźny, a osoba która wyraża zgodę musi mieć w chwili jej udzielania jasność co do wszystkich aspektów przetwarzania jej danych osobowych.

Oznacza to, że jeżeli przed udzieleniem zgody na przetwarzanie danych osobowych klient nie został należycie poinformowany o przysługujących mu prawach, wyrażenie zgody będzie uznane za nieważne, a co za tym idzie – nie będzie istniała podstawa do przetwarzania danych osobowych. To zaś może powodować dalsze konsekwencje, w tym karne i finansowe.

Ustawa dopuszcza także przetwarzanie danych osobowych jeżeli jest to niezbędne do wypełniania prawnie usprawiedliwionych celów (pkt 5 powyżej). Do takich prawnie usprawiedliwionych celów, do których wyrażenie odrębnej zgody przez klienta nie będzie konieczne, zaliczamy przede wszystkim: marketing bezpośredni własnych produktów lub usług administratora danych (czyli przekazywanie klientom informacji o swojej ofercie), bądź dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (w przypadku np. gdy klient pomimo wykonanej usługi nie zapłacił za nią).

4. PRZYCHODZI KLIENT… I CO DALEJ? OBOWIĄZKI INFORMACYJNE ADMINISTRATORA DANYCH OSOBOWYCH

Zgodnie z Ustawą administrator danych osobowych (czyli w praktyce – Ty, drogi przedsiębiorco) musi spełnić wobec osób, których dane osobowe przetwarza obowiązki informacyjne. Bardzo istotne jest, że obowiązek informacyjny należy spełnić zarówno w momencie gromadzenia danych (pozyskanie nowego klienta), jak i na każdym dalszym etapie ich przetwarzania (wobec obecnych klientów).

Sytuacja pierwsza, czyli „przychodzi klient i…” – jest to sytuacja, gdy dopiero pozyskujemy dane osobowe. W takim przypadku administrator ma obowiązek poinformowania klienta o zasadach i celach wykorzystywania jego danych osobowych i to niezależnie od tego, czy dana osoba wystąpi z wnioskiem o udzielenie informacji czy też nie. W tym przypadku musimy poinformować tę osobę o:

  1. pełnej nazwie i adresie swojej siedziby,
  2. celu zbierania danych, a w szczególności o znanych nam (w chwili udzielania informacji) odbiorcach lub kategoriach odbiorców danych (tj. w jakim celu potrzebne nam są dane osobowe oraz do jakich innych podmiotów mogą takie dane osobowe zostać przekazane),
  3. prawie do dostępu do treści swoich danych oraz do ich poprawiania,
  4. dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje o podstawie prawnej – w przypadku świadczenia usług najczęściej jest to zasada dobrowolności, aczkolwiek podanie przez klienta danych osobowych jest zazwyczaj konieczne do prawidłowego świadczenia usługi.

W tym miejscu należy wspomnieć o istotnym wyjątku od spełnienia obowiązku informacyjnego – nie istnieje on, gdy osoba, której dane dotyczą posiada już informacje, o których mowa w pkt 1-5 powyżej.

Jeżeli zatem przychodzi do nas osoba, w sprawie zawarcia umowy o trening personalny, to możemy uznać, że posiada ona informacje, o których mowa w pkt 1-5 powyżej, w szczególności jeżeli wiemy, że osoba taka ma świadomość kto jest administratorem danych (zna dane trenera personalnego), orientuje się co do celu ich zbierania (ułożenie planu treningu, przygotowanie diety, przeprowadzenie treningów), oraz wie czy podanie danych jest dobrowolne, czy też obowiązkowe. Osoba ta może/mogła bowiem pozostawać w kontakcie z trenerem personalnym, np. być już wcześniej jego klientem lub obserwuje działalności trenera w mediach (w taki sposób, że posiadała informacje, o których mowa w pkt 1-5 powyżej).  Wtedy, gdy dochodzi do ponownego zbierania danych (przez tego samego administratora, do tych samych celów), można powołać się na spełniony już wcześniej obowiązek poinformowania.

Celem niniejszego artykułu było przybliżenie ogólnej tematyki z zakresu danych osobowych oraz oswojenie czytelnika z tą problematyką. W kolejnej części skupimy się na najczęstszych błędach związanych z przetwarzaniem danych osobowych i zapewnieniem ich ochrony. Wskażemy także na możliwe rozwiązania pozwalające na uniknięcie niechcianych i coraz bardziej kosztownych błędów.

—————————————————————————————

Trenerze
Wiem, że masz dość spamu na swojej skrzynce. Wiem też, że mogę dać Ci więcej niż myślisz. Gratuluję Ci, że wybrałeś zawód Trenera. Jeszcze bardziej gratuluję, że chcesz być najlepszy na rynku. Zapisz się na mój newsletter, a obiecuje Ci, że przy Twoim 100% zaangażowaniu nic Cię nie powstrzyma i uciekniesz konkurencji. To Ty będziesz wyznaczał trendy.
Do usłyszenia.
Kasia F.