Czy RODO dotyczy tylko danych wrażliwych? Czy numer telefonu służbowego albo adres służbowej skrzynki mailowej są danymi osobowymi chronionymi przez RODO? Prezentujemy 15 mitów związanych z ochroną danych osobowych i RODO.
- „Nie przetwarzam żadnych danych osobowych. Ja je tylko przeglądam. RODO dotyczy tylko aktywnych czynności na danych”
- „Ja nie przetwarzam danych wrażliwych, więc RODO mnie nie dotyczy. Ono obejmuje tylko dane sensytywne”
- „Dane dotyczące aktywności zawodowej – np. nr telefonu służbowego albo adres służbowej skrzynki mailowej – nie są danymi osobowymi”
- „Dane osobowe to tylko dane obiektywne i sprawdzone”
- „Jako spółka spoza UE nie musimy przestrzegać RODO, mimo że kierujemy swoją ofertę do mieszkańców UE”
MIT 1
„Nie przetwarzam żadnych danych osobowych. Ja je tylko przeglądam. RODO dotyczy tylko aktywnych czynności na danych”
To audytowy czy szkoleniowy klasyk. Wciąż często (chociaż trzeba uczciwie przyznać, że w tym zakresie świadomość naprawdę wzrasta) słyszę od uczestników szkolenia czy audytu, że oni nie przetwarzają żadnych danych osobowych, więc ta regulacja ich w ogóle nie dotyczy. Gdy jednak kontynuuję rozmowę, dowiaduję się, że dany pracownik jest odpowiedzialny za zawieranie umów z kontrahentami, wykonuje przelewy, sprawdza, czy w systemie do zarządzania pracownikami uzupełniono wymagane dane, wysyła przesyłki pocztowe do klientów, odbiera telefony czy śledzi zapisy monitoringu wizyjnego. A więc przetwarza dane. W jaki sposób? Otrzymuje dane stron umowy, ich przedstawicieli (członków zarządu czy pełnomocników), zapisuje imiona, nazwiska, numer telefonu i adres mailowy osób do kontaktu. Do wykonania przelewu potrzebuje zazwyczaj imienia, nazwiska, kwoty i numeru rachunku bankowego. W przypadku wysyłania przesyłek korzysta z imienia, nazwiska, adresu. Gdy odbiera telefony, zapisuje dane osób kontaktujących się, a gdy śledzi zapisy monitoringu, widzi wizerunek oraz zachowania osób na nich nagranych.
Z czego wynika ten częsty błąd? Otóż przetwarzanie danych kojarzy się często z czynnościami aktywnymi, takimi jak zbieranie, modyfikowanie czy usuwanie danych. Tymczasem obejmuje ono również działania pasywne, takie jak ich przechowywanie czy przeglądanie. Zatem jeżeli np. student medycyny zapoznaje się z historią leczenia pacjentów, to przetwarza ich dane, nawet w sytuacji, gdy po prostu je czyta, nie robiąc żadnych notatek, zdjęć, raportów, nie łącząc tych danych ani ich nie przepisując czy modyfikując. Zakres pojęcia przetwarzania jest zatem bardzo szeroki.
mit 2
„Ja nie przetwarzam danych wrażliwych, więc RODO mnie nie dotyczy. Ono obejmuje tylko dane sensytywne”
Dane osobowe można podzielić na dwie grupy – tzw. dane zwykłe oraz szczególne kategorie danych, powszechnie określane jako dane wrażliwe albo sensytywne. Do tej drugiej kategorii zalicza się:
- dane dotyczące stanu zdrowia, biometryczne czy genetyczne,
- informacje o orientacji seksualnej, przynależności etnicznej czy wyznaniu.
Informacje te powinny być szczególnie chronione, ponieważ konsekwencje np. ich wycieku mogą być znacznie poważniejsze niż przy danych zwykłych. Nie zmienia to jednak faktu, że jeżeli konkretny pracownik przetwarza wyłącznie dane zwykłe i nie ma żadnego dostępu do wrażliwych, również jest zobowiązany do przestrzegania przepisów RODO.
mit 3
„Dane dotyczące aktywności zawodowej – np. nr telefonu służbowego albo adres służbowej skrzynki mailowej – nie są danymi osobowymi”
Dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Pojęcie to jest bardzo szerokie. Obejmuje zarówno dane dotyczące życia prywatnego sensu stricto danej osoby (jak stan cywilny, rodzinny), jak i informacje o wszelkich innych okolicznościach, jak działalność zawodowa, zachowania ekonomiczne lub społeczne konkretnej osoby. Zatem dane osób prowadzących działalność gospodarczą, wpisanych do CEIDG, a także dane członków zarządu, osób do kontaktu, prokurentów czy pełnomocników również stanowią dane osobowe.
mit 4
„Dane osobowe to tylko dane obiektywne i sprawdzone”
Dane osobowe to zarówno dane obiektywne (np. XY kieruje działem sprzedaży w spółce YZ), jak i subiektywne (np. XY jest świetnym pracownikiem, więc zasługuje na awans i podwyżkę), prawdziwe, jak i niesprawdzone. Dane te mogą być dostępne publicznie (jak np. dane zawarte w CEIDG lub KRS, dane dotyczące aktywności publicznej danej osoby), jak również stanowić informacje niepubliczne.
mit 5
„Jako spółka spoza UE nie musimy przestrzegać RODO, mimo że kierujemy swoją ofertę do mieszkańców UE”
RODO ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii Europejskiej niezależnie od tego, czy przetwarzanie odbywa się w Unii. Zatem rzeczywiście RODO obowiązuje wobec podmiotów unijnych, ale nie tylko. W przypadku np. spółki amerykańskiej czy brazylijskiej, która oferuje swoje usługi lub towary osobom przebywającym w Polsce (np. w ramach prowadzonego sklepu internetowego przyjmuje zamówienia w języku polskim, przyjmuje płatności w złotych), RODO będzie miało zastosowanie do przetwarzania danych osobowych mieszkańców Polski.
mit 6
„Nie przetwarzamy danych osobowych w formie papierowej, więc RODO nie znajdzie zastosowania do naszej spółki”
RODO ma zastosowanie do przetwarzania danych osobowych w sposób zautomatyzowany oraz przetwarzania w sposób inny niż zautomatyzowany w przypadku danych osobowych stanowiących część zbioru danych, niezależnie od tego, czy jest ono dokonywane w formie elektronicznej, czy tradycyjnej (papierowej).
mit 7
„Dane możemy przetwarzać tylko wtedy, gdy mamy zgodę”
Zgoda stanowi jedną z przesłanek przetwarzania danych osobowych, ale nie zawsze przetwarzanie będzie się odbywać na jej podstawie. Jeżeli przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, zgoda nie jest potrzebna, np. musimy znać imię, nazwisko, adres do wysyłki czy NIP w przypadku przedsiębiorcy. Zgoda nie jest również podstawą przetwarzania, gdy potrzeba wynika z przepisu prawa, np. regulującego obowiązki pracodawcy. Potrzeba może wynikać także z prawnie uzasadnionych interesów administratora (np. gdy domaga się on zapłaty należności). By podsumować, zgoda jest jedną, ale nie jedyną podstawą przetwarzania. Stosując ją, należy pamiętać, że powinna być dobrowolna i może zostać wycofana w każdym czasie. Jeżeli pracodawca prosiłby pracowników o wyrażenie zgody na udostępnienie ich danych do US lub ZUS, powinien się liczyć z jej wycofaniem lub odmową udzielenia.
mit 8
„RCP i RKCP to ten sam rejestr”
Wyjaśnijmy najpierw, że RCP to rejestr czynności przetwarzania. Administrator prowadzi ten rejestr dla wszystkich procesów, w których przetwarza dane osobowe we własnym imieniu (np. rekrutacja, zatrudnienie, zawieranie umów z klientami, dostawcami, itd.). Z kolei dla czynności przetwarzania danych wykonywanych w imieniu innych podmiotów należy prowadzić rejestr kategorii czynności przetwarzania (RKCP). Jeżeli zatem dany podmiot prowadzi rekrutację, księgowość, kadry na rzecz innego podmiotu, to powinno się ten fakt odnotować w RKCP. Są to zatem dwa odrębne rejestry.
mit 9
„Identyfikatory internetowe (np. cookies) nie mogą stanowić danych osobowych”
Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, przy czym możliwa do zidentyfikowania osoba fizyczna to taka, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie imienia i nazwiska, numeru identyfikacyjnego, danych o lokalizacji czy identyfikatora internetowego. Jeżeli zatem możemy daną osobę odróżnić od innych za pomocą choćby tego ostatniego, to będzie on stanowił dane osobowe. Nie bez powodu na stronach internetowych są zamieszczone polityki prywatności i banery cookies.
mit 10
„Naruszeniem nie jest wysyłka e-maila zawierającego dane osobowe do niewłaściwego adresata”
Wysyłka wiadomości e-mail do nieuprawnionego adresata stanowi naruszenie ochrony danych osobowych, gdyż jest to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. W takiej sytuacji należy wdrożyć procedury mające zastosowanie do incydentów.
mit 11
„Wszyscy pracownicy danego podmiotu mogą mieć dostęp do wszystkich jego danych – niezależnie od tego, czym się zajmują”
Pracownik powinien mieć dostęp do danych, które są mu niezbędne do wykonywania jego obowiązków. Osoba zatrudniona w dziale HR powinna zatem mieć wgląd w inne dane niż pracownik działu marketingu. Udostępnienie koleżance z innego działu informacji o pracowniku (np. o zajęciach komorniczych z powodu niepłacenia alimentów) jako ciekawostki będzie stanowić naruszenie.
mit 12
„Zawsze mogę się skutecznie domagać usunięcia moich danych. Jeżeli wystąpię z takim żądaniem, administrator ma obowiązek rozpoznać je pozytywnie”
Prawdą jest, że osobom, których dane dotyczą, przysługuje wiele praw. Każdy może z nich korzystać, żądając np. dostępu do danych czy wycofując zgodę. Nie wszystkie prawa mają jednak charakter absolutny. W takiej sytuacji możemy wystąpić ze stosownym wnioskiem, który powinien zostać rozpoznany, ale nie zawsze nastąpi to w sposób zgodny z naszym żądaniem. Przykładowo: jeżeli pracodawca zbiera od pracownika pewne dane, które następnie jest zobowiązany udostępnić instytucjom takim jak ZUS czy US (co wynika wprost z przepisów prawa), sprzeciw pracownika nie będzie skuteczny. Podobna sytuacja wystąpi, gdy kontrahent poprosi o usunięcie danych z faktury tuż po realizacji usługi. Wykonawca bowiem musi rozliczyć usługę oraz przechowywać pewne dokumenty z uwagi na obowiązki sprawozdawcze czy księgowe. Kontrahent ma prawo również dochodzić swoich roszczeń, np. z tytułu rękojmi czy gwarancji, a bez danych drugiej strony nie byłoby to możliwe. Oczywiście przetwarzanie powinno nastąpić z uwzględnieniem właściwych okresów retencji – dane nie mogą być przetwarzane w nieskończoność.
mit 13
„Powołanie inspektora ochrony danych osobowych pozostawiono do wyłącznej decyzji danego podmiotu. Jeżeli więc nie widzimy jako firma takiej potrzeby, nie musimy powoływać IOD”
Wyznaczenie inspektora ochrony danych osobowych (IOD) jest obowiązkowe, jeżeli zostały spełnione przesłanki wskazane w RODO. Jeżeli zatem:
- przetwarzania dokonują organ lub podmiot publiczny,
- główna działalność podmiotu polega na operacjach przetwarzania, które wymagają regularnego i systematycznego monitorowania ludzi, lub
- główna działalność podmiotu polega na przetwarzaniu na dużą skalę danych wrażliwych lub danych dotyczących wyroków skazujących,
– powołanie IOD jest konieczne.
Przykładowo: przetwarzanie danych dotyczących stanu zdrowia, takich jak dokumentacja zdrowotna pacjenta, powinno być uważane za jedno z głównych działań szpitala, w związku z czym szpitale muszą wyznaczyć IOD. Z kolei przetwarzanie danych na dużą skalę będzie obejmować działalność banków, ubezpieczycieli czy dostawców usług telefonicznych lub internetowych, ale nie będzie dotyczyć przetwarzania danych pacjentów dokonywanego przez pojedynczego lekarza czy przetwarzania danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokata lub radcę prawnego.
mit 14
„Skoro raz zebraliśmy dane osobowe, to możemy je przechowywać bez żadnych ograniczeń czasowych”
Danych osobowych nie można przechowywać w nieskończoność. Muszą one być przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Administrator powinien zatem ustalić okresy retencji, tj. okresy przechowywania poszczególnych danych. W niektórych przypadkach długość tego okresu będzie wynikać bezpośrednio z przepisów prawa (np. długość przechowywania akt osobowych pracowników), w innych należy go ustalić samodzielnie oraz należycie uzasadnić decyzję w tym zakresie.
mit 15
„Podmiot, wobec którego wykonano tzw. obowiązek informacyjny, powinien potwierdzić ten fakt w formie pisemnej pod rygorem nieważności. Inaczej nie będzie to zgodne z RODO”
Administrator powinien przekazać osobie, której dane dotyczą, informacje o swojej tożsamości, dane kontaktowe celem przetwarzania danych oraz ich podstawę przetwarzania, odbiorców tych danych, okres ich przetwarzania, przysługujące tej osobie prawa oraz sposób ich realizacji. Jest to tzw. obowiązek informacyjny. Przepisy RODO szczegółowo precyzują zakres tej informacji, natomiast nie wskazują formy, w jakiej powinno to nastąpić. Ważne jest jednak, by administrator był w stanie udowodnić, że taki obowiązek spełnił. ©℗
