Blog Kancelarii Adwokackiej Smok i Partnerzy
Czy na pewno przedsiębiorca musi stosować RODO?
Czy na pewno przedsiębiorca musi stosować RODO? – takie pytanie często słyszymy od naszych klientów.
Fakty są takie, że RODO jako rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, tzw. rozporządzenie ogólne UE, obowiązuje na terenie całej UE wprost (a to oznacza, że nie trzeba dostosowywać porządku prawnego krajowego do RODO), z jednym wyjątkiem – jest tłumaczone na języki narodowe. Ponadto, RODO dało możliwość prawodawcom krajowym do uregulowania zagadnienia ochrony danych osobowych w określonym zakresie. Polski prawodawca skorzystał z tej możliwości i uchwalił nową ustawę o ochronie danych osobowych z dnia 23 maja 2018 r., zastępującą ustawę o ochronie danych osobowych z 29 sierpnia 1997 r.
To czy musimy w pracy przedsiębiorcy stosować RODO, uzależnione jest od tego, czy posługujemy się tzw. danymi osobowymi. Czym są dane osobowe i na jakiej podstawie można się nimi posługiwać, omawiamy w poniżej.
Autorzy: dr r.pr. Paweł Biały, dr Agnieszka Stępień-Banach
Dane osobowe – czyli co konkretnie?
- Definicja danych osobowych została uregulowana w sposób niezwykle szeroki. Chodzi o wszystkie informacje, które pozwolą na zidentyfikowanie konkretnego człowieka. Bardzo często jednak dopiero połączenie kilku informacji na temat osoby pozwala na jej identyfikację. Każda informacja, która wiąże się z osobą fizyczną, zarówno w sposób bezpośredni jak i pośredni może zostać uznana za dane osobową.
Dlatego przykładami danych osobowych jest: imię, nazwisko, adres e-mail, nr telefonu, nr IP komputera, nr i seria dowodu osobistego, prawa jazdy, dane z dowodu rejestracyjnego, paszportu, ale też informacje o stanie zdrowia, ulubionych używkach, poglądach politycznych, wyznaniu, orientacji seksualnej, a ponadto fotografie, informacje o posiadanym pojeździe, otrzymanych ofertach, zamówieniach, czy też informacje zarejestrowane przez system monitoringu wizyjnego. Nie można zapominać i o tym, że w zależności od branży dane osobowe, mogą się pomiędzy sobą różnić. Np. dla osób pracujących w Starostwie Powiatowym nr rejestracyjny będzie dana osobową, ale dla klasycznego obywatela już nie. - Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić pośrednio lub bezpośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Z kolei informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
- Jak zauważa NSA, danymi osobowymi są wszelkie informacje „niosące komunikat o danej osobie” (1). Chociaż na gruncie prawa polskiego nie zostało zdefiniowane pojęcie osoby fizycznej, najczęściej definiuje się ją przez pryzmat zdolności prawnej i zdolności do czynności prawnych. Zgodnie z art. 8 §1 k.c. „każdy człowiek od chwili urodzenia ma zdolność prawną” (2). Tak więc, osobą fizyczną jest każdy człowiek.
Grupa Robocza 29 stoi na stanowisku, iż danych odnoszących się do osób zmarłych, co do zasady nie należy uważać za dane osobowe, przede wszystkim dlatego, że osoba nieżyjąca nie wypełnia znamion definicji osoby fizycznej (3).
Jak legalnie przedsiębiorca może posługiwać się (przetwarzać) dane osobowe?
Legalne przetwarzanie danych osobowych, a zatem wykonywanie jakichkolwiek działań i operacji na lub w związku z danymi osobowymi, możliwe jest (art. 6 ust.1 RODO), gdy:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Zgoda, o której mowa w punkcie a), może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.
Za prawnie usprawiedliwiony cel, o którym mowa w punkcie e) uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Należy podkreślić, że wszędzie tam, gdzie dochodzi do przetwarzania danych osobowych należy zawsze oprzeć się o jedną z przesłanek legalizujących proces przetwarzania danych osobowych. w przypadku, gdy jest to zgoda powinna być wyrażona w sposób jasny, wyraźny, jednoznaczny i bezwarunkowy. Chociaż przepisy prawa nie wymagają wyrażenia zgody w formie pisemnej (zgodnie z RODO może to być okazanie woli w formie wyraźnego działania potwierdzającego lub przyzwalającego na wykorzystywanie danych osobowych) rekomenduje się posługiwanie się tą formą, w szczególności mając na uwadze, iż to na administratorze danych spoczywa obowiązek udowodnienia, iż przetwarzał dane zgodnie z prawem – czyli, że zrealizował zasadę rozliczalności (art. 5 ust. 2 RODO).
(2) Ustawa z dnia 23.04.1964r. Kodeks cywilny, Dz. U. 1964 nr 16 poz. 93, www.isap.sejm.gov.pl
(3) Opinia Grupy Roboczej nr 29, 4/2007 w sprawie pojęcia danych osobowych, WP 136, s.19, www.ec.europa.eu