• +48 573 177 822
  • biuro@ratio-go.pl
  • Pon - Pt: 10:00 - 18:00
Facebook-f Instagram Linkedin
Facebook-f Instagram Linkedin

Czym jest przetwarzanie danych osobowych?

Czym jest przetwarzanie danych osobowych? To pytanie bardzo często pojawia się na początku rozmów o RODO i niemal zawsze widzę to samo zaskoczenie, gdy okazuje się, jak szeroko ustawodawca zdefiniował to pojęcie. W praktyce wielu administratorów utożsamia przetwarzanie wyłącznie z „aktywnym używaniem” danych, podczas gdy RODO obejmuje znacznie więcej, także działania pozornie neutralne albo czysto techniczne.

 

Z mojego doświadczenia wynika, że przetwarzaniem danych osobowych jest w zasadzie każde działanie na danych, o ile dotyczą one osoby fizycznej możliwej do zidentyfikowania. RODO mówi wprost, że przetwarzanie to m.in. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, przeglądanie, wykorzystywanie, ujawnianie, przesyłanie, a także ograniczanie, usuwanie czy niszczenie danych. I co istotne, znaczenia nie ma forma. Przetwarzaniem jest zarówno praca na systemie informatycznym, jak i trzymanie dokumentów w segregatorze czy kartonie w magazynie.

 

W praktyce oznacza to, że przetwarzaniem jest nie tylko świadome działanie, ale również samo posiadanie danych. Jeżeli dokument leży w szafie, plik znajduje się na serwerze albo kopia zapasowa istnieje w chmurze, to dane są przetwarzane. Nawet brak działania, czyli „nic z tym nie robię”, nadal mieści się w definicji przetwarzania, bo dane są przechowywane.

 

To szerokie ujęcie ma bardzo konkretne konsekwencje. Skoro niemal każda czynność jest przetwarzaniem, to niemal każda musi mieć podstawę prawną, być zgodna z zasadami z art. 5 RODO i podlegać zasadzie rozliczalności. W praktyce nie wystarczy powiedzieć, że dane „tylko są w systemie” albo „leżą na wszelki wypadek”. Jeżeli są, to muszą mieć cel, podstawę i określony okres przechowywania.

 

Dlatego przetwarzanie danych osobowych nie zaczyna się dopiero wtedy, gdy ktoś coś analizuje czy wykorzystuje marketingowo. Zaczyna się dużo wcześniej, często w momencie, którego administrator w ogóle nie zauważa. I właśnie to sprawia, że RODO nie jest regulacją o IT czy dokumentach, ale o świadomym zarządzaniu informacją o ludziach.

Spis treści

Przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Podstawa prawna: art. 4 pkt. 2 RODO. 

Czym są dane osobowe?

Zgodnie z przepisami, dane osobowe to informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Definicję danych osobowych zawiera Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO) oraz polska ustawa o ochronie danych osobowych.

Zgodnie z tymi przepisami, dane osobowe obejmują wszelkie informacje, które pozwalają zidentyfikować osobę bezpośrednio lub pośrednio. Oznacza to, że dane osobowe mogą dotyczyć zarówno danych, które bezpośrednio identyfikują osobę (np. imię i nazwisko), jak i danych, które mogą posłużyć do identyfikacji danej osoby w połączeniu z innymi informacjami (np. numer PESEL w połączeniu z adresem zamieszkania).

Przykłady danych osobowych zgodnie z przepisami to:

  1. Dane identyfikacyjne: Imię, nazwisko, numer identyfikacyjny, numer PESEL, numer dowodu osobistego itp.

  2. Dane kontaktowe: Adres zamieszkania, numer telefonu, adres e-mail itp.

  3. Dane finansowe: Numer konta bankowego, dane płatności, informacje o zarobkach itp.

  4. Dane medyczne: Informacje dotyczące zdrowia, historii chorób, wyniki badań medycznych itp.

  5. Dane zawodowe: Informacje o zatrudnieniu, stanowisko pracy, nazwa firmy itp.

Przetwarzanie danych osobowych- definicja

Zgodnie z przepisami ustawy „przetwarzaniem” danych osobowych są jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. 

zasady przetwarzania danych osobowych

Zasady przetwarzania danych osobowych

  1. Legalności
  2. Ograniczenia celu
  3. Minimalizacji danych
  4. Ograniczenia Przechowania
  5. Rozliczalności
  6. Rzetelności i przejrzystości
  7. Prawidłowości
  8. Bezpieczeństwa danych

1. Zasady przetwarzania danych osobowych: legalność.

Zasada legalności – przetwarzając dane osobowe zawsze musimy posiadać rzeczywistą i ważną podstawę prawną. Przesłanki legalizujące, czyli takie, których posiadanie jest potrzebne by przetwarzanie danych było zgodne z RODO, dla danych zwykłych znajdziemy w art. 6 ust. 1 RODO, a dla danych wrażliwych w art. 9 ust. 2 RODO.

Przetwarzanie danych zwykłych:

Przetwarzając dane zwykłe musimy wykazać ważną i rzeczywistą min. 1 podstawę z wypisanych w art. 6 ust. 1 RODO, zgodnie z którym: „Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

  1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

 

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

Przetwarzanie danych wrażliwych:

Przetwarzając dane wrażliwe musimy wykazać ważną i rzeczywistą min. 1 podstawę z wypisanych w art. 9 RODO, zgodnie z którym:

    1. „Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
    2. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:
    3. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
    4. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
    5. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
    6. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
    7. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
    8. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
    9. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
    10. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;
    11. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
    12. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
Przetwarzanie danych osobowych

2. Zasady przetwarzania danych osobowych: ograniczenie celu.

Obowiązek informacyjny, nakazuje on poinformowanie osób o wyznaczonym celu, w którym będą przetwarzane ich dane. Informacja ta musi zostać podana przed rozpoczęciem lub najpóźniej w chwili rozpoczęcia gromadzenia informacji.

Wyjątki:

  1. dalsze przetwarzanie do celów archiwalnych w interesie publicznym
  2. do celów badań naukowych lub historycznych
  3. do celów statystycznych

Nie wolno wykorzystywać danych pozyskanych w jednym celu do realizacji innego.

CEL = Konkretny + wyraźny

3. Zasady przetwarzania danych osobowych: minimalizacja danych i ograniczenie przechowywania

Adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane
  • Wymóg zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. (Okres minimalny zależy od naszej argumentacji).
  • Czas retencji = czas przechowywania danych osobowych

Należy zadać pytania:
  1. W jakim celu przetwarzamy dane ?
  2. jakie dane osobowe są nam potrzebne aby ten cel osiągnąć ?
  3. Jaki okres musimy przechowywać dane by osiągnąć cel przetwarzania ?
 
Czym jest przetwarzanie danych osobowych

4. Zasady przetwarzania danych osobowych: rozliczalność.

Zasada rozliczalności wynika wprost z art. 5 ust. 2 RODO. Zgodnie z zasadą rozliczalności administrator jest zobowiązany nie tylko do przestrzegania przepisów i wdrożenia odpowiednich środków ochrony danych, ale także do odpowiedniego udokumentowania podjętych działań i decyzji w sprawie wyboru określonych rozwiązań oraz do wykazania przestrzegania przepisów w razie kontroli.

Administrator jest odpowiedzialny:

  1. za przestrzeganie przepisów przetwarzania danych osobowych oraz
  2. musi być w stanie wykazać ich przestrzeganie

 

Przykłady: Audyty, szkolenia, dokumentacja, powołanie IOD

5. Zasady przetwarzania danych osobowych: rzetelność i przejrzystość.

Rzetelność i przejrzystość oznacza, że wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych mają być łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem, w stosownych przypadkach, dodatkowo wizualizowane.

6. Zasady przetwarzania danych osobowych: prawidłowość.

Zasada prawidłowości wyznacza, że dane powinny być prawidłowe i w razie potrzeby uaktualniane. Należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.

7. Zasady przetwarzania danych osobowych: bezpieczeństwo danych.

Zgodnie z RODO i zasada podejścia opartego na ryzyku administrator danych lub podmiot przetwarzający powinien przetwarzać danych w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Sprawdź:

Michał Myśliwy

Michał Myśliwy

Prawnik

Prawnik i praktyk w obszarze ochrony danych osobowych oraz compliance. Od momentu wejścia w życie RODO aktywnie pełni funkcję Inspektora Ochrony Danych w spółkach akcyjnych i spółkach z ograniczoną odpowiedzialnością. Specjalizuje się w projektowaniu i wdrażaniu rozwiązań z zakresu ochrony danych i compliance, opartych na realnych procesach biznesowych, ryzykach oraz odpowiedzialności zarządczej.

Sprawdź naszą ofertę!

Wdrożenie RODO
Dokumentacja
Audyt RODO
Szkolenia RODO
Szkolenia RODO
Outsourcing IOD
Doradztwo RODO
Ostatnie wpisy

Masz pytanie?

O nas

Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.

Facebook-f Instagram Linkedin
Udostępnij ten post
Facebook
LinkedIn
Czytaj dalej
Facebook Instagram Linkedin
Facebook-f Instagram Linkedin