Przesłanki do przetwarzania danych osobowych zgodnie z prawem
Przetwarzanie danych osobowych musi być zgodne z prawem. Taki warunek jest spełniony gdy przynajmniej jedna z poniższych sześciu przesłanek jest spełniona:
- Osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
- Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
- Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;
- Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych administratora lub stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą jest dzieckiem.
Przykład sytuacji, w których zgoda osoby, której dane dotyczą nie jest wymagana
- Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Jest to sytuacja, w której osoba, której dane dotyczą przekazuje swoje dane osobowe w celu zawarcia umowy (np. cywilnoprawnej). Fakt przekazania danych osobowych dobrowolnie w celu zawarcia umowy (np. poprzez wypełnienie formularza) jest przesłanką, która upoważnia pracowników do przetwarzania takich danych w celu przygotowania umowy wykorzystując pozyskane dane oraz później, po zawarciu umowy w celu jej realizacji. Dodatkowa zgoda w umowie nie jest wymagana.
- Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Jest to prosta sytuacja, gdy administrator danych jest zobligowany odgórnymi przepisami prawa do wypełniania swoich obowiązków, a niewykonanie ich podlega odpowiedzialności administracyjnej lub karnej. Taka sytuacja zachodzi np. w przypadku pobierania podatków, realizacji wniosków o przyjęcie do szkół czy przedszkoli.
- Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej. Tego typu sytuacje mogą zachodzić w przypadku niektórych świadczeń socjalnych czy udzieleniu pomocy w przypadku katastrof (zawalenie budynku mieszkalnego, potrzeba udzielenia innej pomocy humanitarnej). Ponieważ czasem nie jest łatwo udowodnić, że ta przesłanka była optymalna do zastosowania w celu przetwarzania danych osobowych, należy przed jej zastosowaniem wykorzystać inne możliwości np. podejść do przetwarzania danych z powodu obowiązku prawnego ciążącego na administratorze lub z powodu interesu publicznego. Pojęcie ochrony „żywotnych interesów” osoby, której dane dotyczą, powinno być interpretowane analogicznie do pojęcia użytego przez ustawodawcę w art. 23 ust. 3 Ustawy. Chodzi zatem o interesy o dużym znaczeniu, jak zdrowie, życie, ale nie należy wykluczać również interesów majątkowych. Dla danych sensytywnych wyłączenie zakazu przetwarzania może następować również w sytuacji ochrony żywotnych interesów innej osoby – nie tylko osoby, której dane dotyczą. Jest to istotne np. w przypadku ochrony zdrowia osoby trzeciej ze względu na stan zdrowia (np. chorobę zakaźną) osoby, której dane dotyczą
- Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Instytucje publiczne powinny dbać o bezpieczeństwo publiczne oraz o mienie publiczne w taki sposób, aby zapewnić odpowiedni poziom bezpieczeństwa w przestrzeni publicznej. Przetwarzanie danych osobowych w interesie publicznym może zachodzić gdy mówimy np. o monitorowaniu wizyjnym przestrzeni publicznej (teren miasta, gminy, powiatu), monitorowaniu wizyjnym pomieszczeń jednostek publicznych czy o niektórych działaniach realizowanych przez służby porządkowe w celu zapewnienia porządku publicznego (np. niektóre działania straży miejskiej czy gminnej, czy zapewnienie bezpieczeństwa w trakcie wydarzeń sportowych, koncertów, inscenizacji historycznych).
- Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych administratora lub stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą jest dzieckiem. Ta przesłanka powinna być najrzadziej wykorzystywana przez instytucje publiczne ponieważ prawo pozwala im stosować inne przesłanki, z których nie mogą korzystać przedsiębiorcy prywatni gdyż nie realizują zadań publicznych. Ponieważ dla organów publicznych podstawę prawną przetwarzania danych osobowych powinien określić ustawodawca, prawnie uzasadniony interes administratora nie powinien mieć zastosowania jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. Prawnie uzasadnionym interesem administratora, którego sprawa dotyczy, jest również przetwarzanie danych osobowych bezwzględnie niezbędne do zapobiegania oszustwom. Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.
Mimo zaistnienia przesłanek innych niż ta o wyrażeniu zgody na przetwarzanie danych od osoby, której dane dotyczą stosuje się czasem dodatkową klauzulę na wyrażenie takiej zgody od osoby, której dane dotyczą. Jest to podyktowane sprzecznością w interpretacjach przepisów i stanowi swoiste zabezpieczenie gdyż przetwarzanie danych osobowych na podstawie bezpośredniej zgody jest gwarancją, że dane te zostały pozyskane dobrowolnie.
Obowiązek informacyjny przy pozyskiwaniu danych od osoby, której dane dotyczą (Art. 13 rozporządzenia RODO)
Każda osoba fizyczna, od której pozyskiwane są dane bezpośrednio powinna zostać poinformowana o swoich prawach oraz o obowiązkach administratora danych (art. 13 RODO). W szczególności powinny to być:
- Dane Administratora danych t. j. tożsamość, dane kontaktowe oraz dane osoby odpowiedzialnej za proces zbierania danych.
- Dane kontaktowe inspektora ochrony danych (imię i nazwisko, adres e-mail).
- Cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania.
- Informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją. Jeżeli dane osobowe są pozyskane od osób, których dane dotyczą i nie jest planowane udostępnianie tych danych innym jednostkom, osobom fizycznym czy organizacjom to należy podać, że Administrator nie planuje udostępniać danych.
- Informacja, że Administrator nie zamierza przekazywać danych do państw trzecich ani do organizacji międzynarodowych.
- Okres przez który dane osobowe będą przechowywane, a jeżeli nie jest to możliwe, należy podać kryteria ustalania tego okresu.
- Dodać klauzulę w ogłoszeniu „Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego inspektora ochrony danych spod adresu, którego zgoda dotyczy lub osobiście w siedzibie Administratora. Wyjątkiem jest sytuacja gdy Administrator danych jest uprawniony na podstawie odrębnych przepisów prawa do przetwarzania danych bez wymogu posiadania zgody osoby, której dane dotyczą”.
- Informacje o prawie do żądania od Administratora danych dostępu do danych osobowych osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.
- Informacje o prawie wniesienia skargi do organu nadzorczego np. „Mają Państwo prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych, jeżeli uważają Państwo, że przetwarzanie Państwa danych osobowych narusza przepisy prawa”.
- Informacja, że Administrator nie planuje przetwarzać zebranych danych do innych celów niż te, dla których zostały zebrane.
W ogłoszeniach, szablonach formularzy, wnioskach – można zamieścić odnośnik (lub w inny sposób wskazać miejsce zlokalizowania komunikatu) do strony internetowej na której znajduje się komunikat informujący o obowiązkach Administratora i prawach osób, których dane dotyczą.
Obowiązek informacyjny nie zachodzi jeżeli dane osobowe zostały udostępnione publicznie przez osobę, której dotyczą.
Obowiązek informacyjny przy pozyskiwaniu danych w inny sposób niż od osoby, której dane dotyczą (Art. 14 rozporządzenia RODO)
Administrator danych powinien poinformować osobę, której dane dotyczą o pozyskaniu jej danych osobowych, o jej prawach oraz o obowiązkach administratora danych (art. 14 RODO). W szczególności powinny to być:
- Dane Administratora danych t. j. tożsamość, dane kontaktowe oraz dane osoby odpowiedzialnej za proces zbierania danych.
- Dane kontaktowe inspektora ochrony danych (imię i nazwisko, adres e-mail).
- Cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania.
- Kategorie odnośnych danych osobowych.
- Źródło pochodzenia danych osobowych lub informacja, że dane osobowe zostały pozyskane ze źródeł dostępnych publicznie.
- Informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją. Jeżeli dane osobowe są pozyskane od osób, których dane dotyczą i nie jest planowane udostępnianie tych danych innym jednostkom, osobom fizycznym czy organizacjom to należy podać, że Administrator nie planuje udostępniać danych.
- Informacja, że Administrator nie zamierza przekazywać danych do państw trzecich ani do organizacji międzynarodowych.
- Okres przez który dane osobowe będą przechowywane, a jeżeli nie jest to możliwe, należy podać kryteria ustalania tego okresu.
- Dodać klauzulę w ogłoszeniu „Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego inspektora ochrony danych spod adresu, którego zgoda dotyczy lub osobiście w siedzibie Administratora. Wyjątkiem jest sytuacja gdy Administrator danych jest uprawniony na podstawie odrębnych przepisów prawa do przetwarzania danych bez wymogu posiadania zgody osoby, której dane dotyczą”.
- Informacje o prawie do żądania od Administratora danych dostępu do danych osobowych osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.
- Informacje o prawie wniesienia skargi do organu nadzorczego np. „Mają Państwo prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych, jeżeli uważają Państwo, że przetwarzanie Państwa danych osobowych narusza przepisy prawa”.
- Informacja, że Administrator nie planuje przetwarzać zebranych danych do innych celów niż te, dla których zostały zebrane.
Informacja powyższa powinna zostać przekazana:
- Najpóźniej w przeciągu miesiąca;
- Jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji (np. przy komunikacji listownej);
- Jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
Wykluczenia od powyższych reguł związanych z art. 14 RODO
Nie trzeba stosować obowiązku jeżeli (Art. 14 ust. 5 RODO):
- osoba, której dane dotyczą dysponuje już takimi informacjami, udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, w przypadku przetwarzania w celach archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych, do celów statystycznych;
- pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem unii lub krajowym.
Dane osobowe muszą zawsze pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej.
Art. 4 ust. 1 Ustawy reguluje, że administrator realizujący zadanie publiczne nie przekazuje informacji, o których mowa w tym dziale jeżeli służy to realizacji zadania publicznego i niewykonanie obowiązku jest niezbędne do realizacji celów, o których mowa w art. 23 ust. 1 rozporządzenia RODO.
Przykładowa treść zgody na przetwarzanie danych osobowych od osoby fizycznej
Pozyskiwanie danych od osoby, której te dane dotyczą, wynikające z przesłanki nr. 1 musi wiązać się z jawną deklaracją zgody na przetwarzanie tych danych. Dotyczy to zarówno danych pozyskiwanych bezpośrednio lub w inny sposób niż od osoby, której te dane dotyczą.
„Na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych – zwanym RODO, oświadczam, iż zostałem poinformowany o obowiązkach Administratora danych, którym jest <Nazwa administratora> z siedzibą w <dokładny adres> oraz o moich prawach wynikających z rozporządzenia RODO. Zgadzam się na przetwarzanie moich danych osobowych do celów <np. rekrutacji / naboru postępowania przetargowego / rekrutacji / realizacji wniosku ……> oraz na usunięcie tych danych po okresie, który został wskazany przez Administratora danych.”
Komentarze do wybranych zagadnień
Realizacja obowiązków pracodawcy
Cytat UODO:
„Zgodnie z art. 221 § 1 Kodeksu pracy, pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: imię (imiona) i nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia.
Zakres danych osobowych, których pracodawca może żądać od pracownika jest nieco szerszy. § 2 powołanego przepisu upoważnia pracodawcę do żądania innych danych osobowych pracownika poza wymienionymi w § 1, a także imion i nazwisk oraz dat urodzenia dzieci, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, jak również numeru PESEL pracownika, nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL). Ponadto, pracodawca jest uprawniony do uzyskania od pracownika innych danych osobowych niż wyżej określone, jeżeli obowiązek ich podania wynika z odrębnych przepisów (§ 4 cytowanego przepisu).
Stosownie do art. 221 § 3 Kodeksu pracy udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca ma prawo żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 2.”
Komentarz IOD:
Należy podkreślić, iż złożenie takiego oświadczenia przez osobę ubiegającą się o zatrudnienie lub pracownika nie może być utożsamiane z oświadczeniem o wyrażeniu zgody na przetwarzanie danych osobowych tych osób, o którym mowa w art. 6 ust. 1 lit. a) rozporządzenia RODO. Zgoda ta jest zbędna, bowiem przetwarzanie danych przez pracodawcę w opisanym powyżej zakresie, odbywa się na podstawie szczególnego przepisu prawa, a więc przy spełnieniu przesłanki określonej w art. 6 ust. 1 lit. b) oraz lit. c) i d) rozporządzenia RODO.
Z powyższego wynika, że pracodawca powinien jednoznacznie móc wykazać, że pozyskane od pracowników dodatkowe dane osobowe wynikają z ich nieprzymusowej woli. W pozostałych przypadkach pracodawca musi wykazać na podstawie jakiego obowiązku prawnego przetwarza dane osobowe na potrzeby realizacji np. umowy o pracę.
Organizacja imprez dla pracowników
Organizacja imprez dla pracowników może wiązać się z zawieraniem umów z innymi dostawcami. W ramach zawartej umowy na usługę np. turystyczną może zaistnieć potrzeba zawarcia umowy na powierzenie (i podpowierzenie) danych pracowników. Taki obowiązek występuje gdy do usługodawcy przekazywane są dane osobowe pracowników.
W takim przypadku należy zadbać o to, aby przekazywane dane pracowników dla usługodawców zewnętrznych były odpowiednio zabezpieczone. Jeżeli usługodawca otrzymuje dane to należy zawrzeć umowę powierzenia danych. Zgodnie z art. 28 ust. 1 RODO administrator powinien korzystać wyłącznie z usług podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
Proces zbierania danych osobowych dotyczy m. in takich sytuacji:
- Organizacji imprez dla pracowników
Dane, które powinny być zawarte przez Administratora w dokumentacji
W dokumentacji Administratora (np. w umowie zawieranej z pracownikiem), z którą zapoznaje się osoba, której dane dotyczą, należy zamieścić informacje, które są obowiązkowo podawane w przypadku zbierania danych od osób, których dane dotyczą na podstawie art. 13 RODO (część z nich została udostępniona pracownikom). W szczególności powinny to być:
- Dane Administratora danych t. j. tożsamość, dane kontaktowe oraz dane osoby odpowiedzialnej za proces zbierania danych (np. pracownik działu kadr).
- Dane kontaktowe inspektora ochrony danych (imię i nazwisko, adres e-mail).
- Cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania; Celem głównym może być np. organizacja imprezy turystycznej w ramach zakładowego planu świadczeń socjalnych, w szczególności:
- Potrzeba zawarcia umowy z usługodawcą, który potrzebuje danych wszystkich osób fizycznych, biorących udział w wydarzeniu pracowniczym do zorganizowania umownego wydarzenia;
- Potrzeba zawarcia dodatkowych umów z usługodawcami powiązanymi (np. przewoźnikami czy hotelami) w celu zapewnienia pracownikom pobytu.
- Potrzeba zawarcia innych powiązanych umów (należy podać jakich).
- Informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją. Jeżeli dane osobowe są pozyskane od osób, których dane dotyczą i nie jest planowane udostępnianie tych danych innym jednostkom, osobom fizycznym czy organizacjom to należy podać, że Administrator nie planuje udostępniać danych. Jeżeli udostępnianie danych jest niezbędne – np. usługodawcom zewnętrznym to należy wskazać komu i na jakich zasadach.
- Informacja, czy Administrator zamierza przekazywać danych do państw trzecich lub do organizacji międzynarodowych.
- Okres przez który dane osobowe będą przechowywane, a jeżeli nie jest to możliwe, należy podać kryteria ustalania tego okresu.
- Informacje o prawie do żądania od Administratora danych dostępu do danych osobowych osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.
- Informacja o prawie wniesienia skargi do organu nadzorczego.
- Informacja, że Administrator wykorzysta dane pracowników objętych danym wydarzeniem, którymi dysponuje i nie planuje przetwarzać zebranych danych do innych celów.
We wniosku pracownika czy ofercie zakładu pracy można zamieścić odnośnik (lub w inny sposób wskazać miejsce zlokalizowania komunikatu) do strony internetowej na której znajduje się komunikat informujący o obowiązkach Administratora i prawach osób, których dane dotyczą.