Dziś, w Europejski Dzień Ochrony Danych Osobowych, rozprawiamy się z tymi, które pojawiają się najczęściej. Dotyczą one choćby tego, że nie trzeba przestrzegać RODO, jeśli jest się tylko obserwatorem danych albo jeśli ich administratorem jest spółka spoza UE, choć do jej obywateli kieruje swoją ofertę

▶ MIT 1: „Nie przetwarzam żadnych danych osobowych. Ja je tylko przeglądam”

To audytowy czy szkoleniowy klasyk. Wciąż często (chociaż trzeba uczciwie przyznać, że w tym zakresie świadomość naprawdę rośnie) słyszę od uczestników szkolenia czy audytu, że nie przetwarzają żadnych danych osobowych, więc ta regulacja ich w ogóle nie dotyczy. Gdy jednak kontynuuję rozmowę, dowiaduję się, że dany pracownik jest odpowiedzialny za zawieranie umów z kontrahentami, wykonuje przelewy, sprawdza, czy w systemie do zarządzania pracownikami uzupełniono wymagane dane, wysyła przesyłki pocztowe do klientów, odbiera telefony czy śledzi zapisy monitoringu wizyjnego. A więc przetwarza dane. W jaki sposób? Otrzymuje dane stron umowy, ich przedstawicieli (członków zarządu czy pełnomocników), zapisuje imiona, nazwiska, numery telefonów i adresy e-mail osób do kontaktu. Do wykonania przelewu potrzebuje zazwyczaj imienia, nazwiska, kwoty i numeru rachunku bankowego. W przypadku wysyłania przesyłek korzysta z imienia, nazwiska, adresu. Gdy odbiera telefony, zapisuje dane osób kontaktujących się, a gdy śledzi zapisy monitoringu, widzi wizerunek oraz zachowania osób nagranych.

Z czego wynika ten częsty błąd? Otóż przetwarzanie danych kojarzy się często z czynnościami aktywnymi, takimi jak: zbieranie, modyfikowanie czy usuwanie danych. Tymczasem obejmuje również działania pasywne, takie jak np. ich przechowywanie czy przeglądanie. Zatem jeśli np. student medycyny zapoznaje się z historią leczenia pacjentów, to przetwarza ich dane, nawet w sytuacji, gdy po prostu je czyta i nie robi żadnych notatek, zdjęć, raportów, nie łączy tych danych ani ich nie przepisuje czy nie modyfikuje. Zakres terminu „przetwarzanie” jest zatem bardzo szeroki.

▶ MIT 2: „RODO mnie nie dotyczy, bo obejmuje tylko dane sensytywne, a ja takich nie przetwarzam”

Dane osobowe można podzielić na dwie grupy – zwykłe oraz wrażliwe (sensytywne). Do tej drugiej kategorii zalicza się:

  • dane: dotyczące stanu zdrowia, biometryczne czy genetyczne,
  • informacje o: orientacji seksualnej, przynależności etnicznej czy wyznaniu.

Powinny być one szczególnie chronione, ponieważ konsekwencje np. ich wycieku mogą być znacznie poważniejsze niż przy danych zwykłych. Nie zmienia to jednak tego, że jeśli konkretny pracownik przetwarza wyłącznie dane zwykłe i nie ma żadnego dostępu do danych wrażliwych, również jest zobowiązany do przestrzegania przepisów RODO.

▶ MIT 3: „Numer telefonu służbowego albo adres służbowej skrzynki e-mail nie są danymi osobowymi”

Dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Pojęcie to jest bardzo szerokie. Obejmuje zarówno dane dotyczące życia prywatnego sensu stricto danej osoby (stan cywilny, rodzinny), jak i informacje o wszelkich innych okolicznościach, jak działalność zawodowa, zachowania ekonomiczne lub społeczne konkretnej osoby. Zatem dane osób prowadzących działalność gospodarczą, wpisanych do CEIDG, a także dane członków zarządu, osób do kontaktu, prokurentów czy pełnomocników, również stanowią dane osobowe.

▶ MIT 4: „Jako spółka spoza UE nie musimy przestrzegać RODO, mimo że kierujemy swoją ofertę do mieszkańców UE”

RODO stosujemy do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii Europejskiej niezależnie od tego, czy przetwarzanie odbywa się w Unii. Zatem rzeczywiście RODO obowiązuje wobec podmiotów unijnych, ale nie tylko. W przypadku np. spółki amerykańskiej czy brazylijskiej, która oferuje swoje usługi lub towary osobom przebywającym w Polsce (np. w ramach prowadzonego sklepu internetowego przyjmuje zamówienia w języku polskim, przyjmuje płatności w złotych), RODO będzie miało zastosowanie do przetwarzania danych osobowych mieszkańców Polski.

▶ MIT 5: „Dane możemy przetwarzać tylko wtedy, gdy posiadamy zgodę”

Zgoda stanowi jedną z przesłanek przetwarzania danych osobowych, ale nie zawsze przetwarzanie będzie się odbywać na jej podstawie. Jeśli przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, zgoda nie jest potrzebna, np. musimy mieć imię, nazwisko, adres do wysyłki, a w przypadku przedsiębiorcy – NIP. Zgoda nie jest również podstawą przetwarzania, gdy potrzeba wynika z przepisów prawa, np. regulujących obowiązki pracodawcy. Potrzeba może wynikać także z prawnie uzasadnionych interesów administratora (np. gdy domaga się on zapłaty należności).

Podsumowując, należy pamiętać, że zgoda, jako podstawa przetwarzania danych, musi być dobrowolna i można ją wycofać w każdym czasie. W sytuacji, gdy pracodawca prosi pracowników o wyrażenie zgody na udostępnienie ich danych do US lub ZUS, powinien liczyć się z jej wycofaniem lub odmową udzielenia.

▶ MIT 6: „Identyfikatory internetowe (np. cookies) nie stanowią danych osobowych”

Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Można bezpośrednio lub pośrednio zidentyfikować osobę fizyczną, w szczególności na podstawie imienia i nazwiska, numeru identyfikacyjnego, danych o lokalizacji czy identyfikatora internetowego. Jeśli zatem możemy daną osobę odróżnić od innych za pomocą choćby tego ostatniego, to będzie on stanowił dane osobowe. Nie bez powodu na stronach internetowych są zamieszczone polityki prywatności i bannery dotyczące cookies.

▶ MIT 7: „Naruszeniem nie jest wysyłka e-maila zawierającego dane osobowe do niewłaściwego adresata”

Wysyłka wiadomości e-mail do nieuprawnionego adresata stanowi naruszenie ochrony danych osobowych. Jest to bowiem naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. W takiej sytuacji należy zastosować procedury dotyczące incydentów.

▶ MIT 8: „Każdy pracownik danego podmiotu może mieć dostęp do wszystkich jego danych – niezależnie od tego, czym się zajmuje”

Pracownik powinien mieć dostęp do danych, które są niezbędne do wykonywania jego obowiązków. Osoba zatrudniona w dziale HR powinna zatem mieć wgląd w inne dane niż pracownik działu marketingu. Udostępnienie koleżance z innego działu informacji o pracowniku – np. o zajęciach komorniczych na jego koncie z powodu niepłacenia alimentów – jako ciekawostki będzie stanowiło naruszenie.

▶ MIT 9: „Zawsze mogę się skutecznie domagać usunięcia moich danych. Jeśli wystąpię z takim żądaniem, administrator musi rozpatrzyć je pozytywnie”

Prawdą jest, że osobom, których dane dotyczą, przysługuje wiele praw. Każdy może z nich korzystać, żądając np. dostępu do danych czy wycofując zgodę. Nie wszystkie prawa mają jednak charakter absolutny. Można więc wystąpić ze stosownym wnioskiem, który powinien być rozpoznany, ale nie zawsze nastąpi to w sposób zgodny z naszym żądaniem. Przykładowo: jeśli pracodawca zbiera od pracownika określone dane, które następnie musi udostępnić do takich instytucji, jak ZUS czy US (co wynika wprost z przepisów prawa), sprzeciw pracownika nie będzie w tym przypadku skuteczny. Podobna sytuacja wystąpi, gdy kontrahent poprosi o usunięcie danych z faktury tuż po realizacji usługi. Wykonawca bowiem musi rozliczyć usługę oraz przechowywać pewne dokumenty z uwagi na obowiązki sprawozdawcze czy księgowe. Kontrahent ma prawo również dochodzić swoich roszczeń, np. z tytułu rękojmi czy gwarancji, a bez danych drugiej strony nie byłoby to możliwe. Oczywiście przetwarzanie powinno nastąpić z uwzględnieniem właściwych okresów retencji – dane nie mogą być przetwarzane w nieskończoność.

▶ MIT 10: „Jeśli dany podmiot nie widzi takiej potrzeby, nie musi powoływać inspektora ochrony danych osobowych, bo przepisy pozostawiły mu dowolność w tej kwestii”

Wyznaczenie inspektora ochrony danych osobowych (IOD) jest obowiązkowe wówczas, gdy zostały spełnione przesłanki wskazane w RODO. Jeśli zatem:

  • przetwarzania dokonują organ lub podmiot publiczny;
  • główna działalność podmiotu polega na operacjach przetwarzania, które wymagają regularnego i systematycznego monitorowania ludzi lub
  • główna działalność podmiotu polega na przetwarzaniu na dużą skalę danych wrażliwych lub danych dotyczących wyroków skazujących,

– powołanie IOD jest konieczne.

Przykładowo: przetwarzanie danych dotyczących stanu zdrowia, takich jak dokumentacja zdrowotna pacjenta, powinno być uważane za jedno z głównych działań szpitala, w związku z czym szpitale muszą wyznaczyć IOD. Z kolei przetwarzanie danych na dużą skalę będzie obejmować działalność banków, ubezpieczycieli czy dostawców usług telefonicznych lub internetowych, ale nie będzie dotyczyć przetwarzania danych pacjentów przez pojedynczego lekarza czy przetwarzania przez adwokata lub radcę prawnego danych dotyczących wyroków skazujących lub naruszeń prawa.

▶ MIT 11: „Skoro raz zebraliśmy dane osobowe, to możemy je przechowywać bez żadnych ograniczeń czasowych”

Danych osobowych nie można przechowywać w nieskończoność. Trzeba to robić w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Administrator powinien zatem ustalić okresy retencji, tj. okresy przechowywania poszczególnych danych. W niektórych przypadkach okres retencji będzie wynikał bezpośrednio z przepisów prawa (np. okres przechowywania akt osobowych pracowników), w innych należy go ustalić samodzielnie oraz należycie uzasadnić decyzję w tym zakresie. ©℗