Wybór prawidłowej podstawy prawnej przetwarzania danych osobowych to jeden z najważniejszych obowiązków administratora danych. Błąd w tym aspekcie może powodować poważne konsekwencje, z karami finansowymi włącznie. Nieprawidłowości wynikają nie tylko z niewiedzy ale też z niejednoznacznych interpretacji. Przedstawiamy najczęściej występujące błędy w zakresie podstaw przetwarzania danych i wyjaśniamy, jak ich unikać.
W temacie tygodnia:
Najpopularniejszą podstawą przetwarzania danych osobowych jest zgoda osoby, której dotyczą przetwarzane dane. Najpopularniejsza nie oznacza jednak najważniejszej. W wielu przypadkach na zgodę na przetwarzanie danych powołujemy się zupełnie niepotrzebnie. Tymczasem ze zgody należy korzystać dopiero wtedy, gdy nie istnieją inne przesłanki przetwarzania.
Sprzedawca pobiera zgodę na przetwarzanie danych klienta celem ewentualnego dochodzenia roszczeń w przeszłości. Co to powoduje?
Daje to klientowi błędne przeświadczenie, że może on łatwo wycofać zgodę na przetwarzanie danych i w ten sposób uniknie dochodzenia przeciwko niemu roszczeń np. z tytułu zapłaty. Tymczasem podstawą przetwarzania danych osobowych w opisanej sytuacji winien być art. 6 ust. 1 lit. f RODO (realizacja uzasadnionego interesu administratora).
Częstym błędem jest także nadużywanie zgody w przypadku danych wrażliwych (szczególnej kategorii).
Danymi wrażliwymi są dane osobowe, które ujawniają np.
A także dane:
Zgoda na przetwarzanie danych osobowych wrażliwych, podobnie jak przy danych zwykłych, jest tylko jedną z przesłanek. W pewnych przypadkach korzystanie z niej nie będzie prawidłowym rozwiązaniem
Sąd zwraca się do szpitala, gdzie leży poszkodowany w wypadku samochodowym, o przekazanie dokumentacji medycznej pokrzywdzonego. Ani sąd, ani szpital nie powinien w takiej sytuacji uzyskiwać czy pobierać dodatkowej gody od pacjenta – poszkodowanego, Wszak zgodnie bez zgody osoby zainteresowanej można przetwarzać jej dane osobowe w celu sprawowania wymiaru sprawiedliwości (z art. 9 ust. 1 lit. f RODO).
Zwłaszcza w przypadku podmiotów publicznych popularne jest powoływanie się – w przypadku danych zwykłych – na:
Wbrew pozorom nie są to takie same podstawy przetwarzania. Jeżeli bowiem istnieje konkretny przepis prawny, który reguluje, jakie dane, kto i w jakim zakresie może przetwarzać, wówczas właściwą podstawę stanowi art. 6 ust. 1 lit. c RODO.
Gminna komisja rozwiązywania problemów alkoholowych podaje w klauzuli informacyjnej informację, że członkowie komisji przetwarzają dane osobowe na mocy art. 6 ust. 1 pkt e RODO – tj. w celu wykonania zadania publicznego. Tymczasem przepis art. 25a ust. 1 ustawy o wychowaniu w trzeźwości wskazuje dane osobowe, które członkowie gminnej komisji rozwiązywania problemów alkoholowych przetwarzają w zakresie niezbędnym do realizacji zadań związanych z procedurą zobowiązania do poddania się leczeniu odwykowemu. Dlatego w zakresie tych danych właściwą podstawę stanowi art. 6 ust. 1 lit. c RODO.
Gdyby uznać, że dane przetwarzane są to dane wrażliwe (dane o stanie zdrowia), podstawą prawną może być art. 9 ust. 2 lit. g RODO, zgodnie z którym można przetwarzać dane wrażliwe (bez zgody osoby zainteresowanej) jeśli przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
Jedną z przesłanek przetwarzania danych osobowych jest niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO). Na przesłankę tę administratorzy powołują się bardzo rzadko, choćby z uwagi na konieczność porównania interesów administratora z prawami i wolnościami podmiotów danych.
Oprócz tego przesłanki tej powszechnie unikają podmioty publiczne. W istocie art. 6 ust. 1 lit. f RODO nie ma zastosowania do przetwarzania, którego dokonują organy publiczne, ale jedynie w ramach realizacji swoich zadań. Podmiot publiczny może więc powołać się na uzasadniony interes w sferze innych stosunków niż publicznoprawne.
Podmiot publiczny zamierza wprowadzić ewidencjonowanie wejść i wyjść w swym budynku w celu weryfikacji obecności pracowników w pracy. Nie kwalifikując tego zadania jako publicznego władze podmiotu publicznego uznały, że konieczne będzie pozyskanie zgody pracowników na wprowadzenie takiego ewidencjonowania. To błąd. W takiej sytuacji ich dane osobowe mogą być przetwarzane właśnie na podstawie art. 6 ust. 1 lit. f RODO.
Zgoda na przetwarzanie danych to nie tylko wyraźne oświadczenie (pisemne, ustne czy złożone drogą elektroniczną), ale także wyraźne działanie potwierdzające:
W szczególności w przypadku zgody złożonej w formie innej niż pisemna należy położyć nacisk na zarejestrowanie zgody. Zgoda niezarejestrowana – to tak, jak by zgody nie było. Wszak zgodnie z zasadą rozliczalności administrator musi być w stanie wykazać, że przetwarza dane na podstawie zgody i że zgoda odpowiada wymaganiom RODO (art. 5 ust. 2 RODO).
Należy zarejestrować, czy:
Tymczasem niejeden administrator danych zapomina o rejestrowaniu zgód udzielonych na przetwarzanie danych, a tym bardziej ich treści. W ten sposób naraża się na poważne konsekwencje, przede wszystkim względem organu nadzorczego, który zarzuci brak zgody na przetwarzanie danych w postępowaniu kontrolnym. Konsekwencje mogą wyniknąć też z zachowania podmiotu danych, który może za łatwością powiedzieć, że nigdy nie udzielał zgody na przetwarzanie danych.
Klient sklepu internetowego udziela zgody na przetwarzanie danych poprzez zaznaczenie checkboksa w formularzu internetowym. Zgoda nie jest w żaden sposób zapisywana, ponieważ w ocenie sprzedawcy, skoro zaznaczenie okienka jest wymagane do założenia konta. Niemniej jednak w przypadku zmian na stronie (modyfikacja kodu strony) i wyłączenia obowiązku rejestracji administrator może mieć trudności z wykazaniem, że w danym dniu, gdy podmiot się rejestrował, strona miała taki, a nie inny kod źródłowy. Aby uniknąć takich trudności należałoby dokonywać zapisów w logach na stronie internetowej (w zakresie wyborów klienta w formularzu internetowym)
dr Monika Brzozowska-Pasieka
radca prawny Marcin Sarna
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
