You are currently viewing Kiedy można przetwarzać dane osobowe?

Kiedy można przetwarzać dane osobowe?

Jeśli zapoznałeś się już z moim poprzednim artykułem na temat tego, co to jest RODO, to czas zająć się odpowiedzią na pytanie, kiedy w ogóle można przetwarzać dane osobowe.

Danych tych nie można sobie, ot tak, po prostu zbierać, żeby… mieć.

Kiedy można przetwarzać dane osobowe?

Trzeba mieć do tego dobry powód. Powody te wymienia art. 6 RODO.

Z punktu widzenia małego przedsiębiorcy znaczenie mają trzy pierwsze z wymienionych tam podstaw. Omówię je, ale nie zacznę od pierwszej.

Dane niezbędne do wykonania zawartej umowy

Jako profesjonalista wiesz, że niektóre dane są niezbędne do wykonania zlecenia. Wykonanie wielu umów będzie wymagało znajomości imienia i nazwiska kontrahenta/klienta, czasem jego adresu (aby dostarczyć paczkę), czasem e-maila  (aby sprawnie przeprowadzić proces zamówienia), czasem numeru telefonu (żeby osobiście ustalić szczegóły dzieła, które ma być wykonane), czasem wymiarów (jeśli produkt ma leżeć jak ulał), czasem PESELu (jak w moim przypadku, gdyż – jeśli mam złożyć w imieniu klienta pozew – muszę podać jego PESEL), czasem NIPu (jeśli trzeba wystawić fakturę).

Jeśli przetwarzanie jakichś danych jest konieczne do wykonania zawartej przez strony umowy, wolno Ci wówczas przetwarzać dane osobowe w tym – niezbędnym zakresie – zakresie.

Zasada minimalizmu

Jako przedsiębiorcy jesteśmy uprawnieni do przetwarzania tylko tych danych, które są niezbędne do wykonania umowy!!!

I tylko tak długo jak jest to konieczne!

Nic ponadto.

Jeśli zatem ktoś kupił od Ciebie towar i zapłacił z góry, a Ty wysyłasz mu przesyłkę do paczkomatu, to nie musisz znać wszystkich jego namiarów i danych. W istocie nie musisz znać nawet jego imienia i nazwiska – wystarczy tylko numer telefonu lub e-mail.

Oczywiście nie można przesadzać w żadną stronę, jeśli bowiem ktoś płaci z dołu, to masz prawo założyć, że Ci jednak nie zapłaci, i wówczas możesz od niego wziąć dane, które pozwolą Ci skutecznie dochodzić zapłaty na drodze sądowej – co najmniej imię, nazwisko i adres zamieszkania.

Dane niezbędne do wypełnienia obowiązku prawnego

Chodzi tu o obowiązek, który ciąży na administratorze danych – w celu jego wykonania może on przetwarzać dane osobowe.

Dla przykładu podam może konieczność zarejestrowania numeru telefonu na kartę. Choć pani w kiosku sprzedając Ci starter, za który od razu płacisz, nie bardzo potrzebuje Twoich danych, to jednak przepisy obligują ją do ich zebrania.

Zorientuj się, jak to jest w Twojej branży. Czy przypadkiem nie obciążają Cię jakieś uciążliwe obowiązki? Oczywiście mam na myśli obowiązki prawne, a nie domowe (bo domowe wykonujesz dla siebie, więc jeśli są zbyt uciążliwe, to po prostu przestań).

Zgoda na przetwarzanie danych osobowych

Na temat tego, jaka ma być ta zgoda, jakie musi spełniać wymogi, jaką ma mieć formę, itd. napisano setki stron.

Tu tylko w skrócie.

Zgoda musi obejmować konkretny cel, np. może być to zgoda na przetwarzanie danych w procesie rekrutacji, a zebranych w takim celu danych nie możesz wykorzystać w innym celu, np. osoby chętne do pracy u Ciebie zaczynasz zasypywać ofertami swoich produktów.

Musisz – jako administrator – być w stanie wykazać, że taką zgodę uzyskałeś. Jeśli zatem odebrałeś zgodę w formie pisemnej, to nie wrzucaj jej do niszczarki.

Zgoda nie musi być wyrażona na piśmie, ale musisz zapewnić możliwość cofnięcia zgody w takiej samej formie, w jakiej Ci jej udzielono.

Opcja „wyrażam zgodę” nie może być zakamuflowana wśród innych oświadczeń. Ma być sformułowana prostym i jasnym językiem.

Zgoda nie może być warunkiem wykonania usługi, jeśli konkretne dane nie są do jej wykonania potrzebne. Opcja „zapisz się do newslettera, bo Ci nie sprzedam tych modnych bucików” jest zatem niedopuszczalna. Co innego „zapisz się do newslettera, to dostaniesz 5% rabatu na te modne buciki” – tak już można i jest to często stosowane (zgodnie z prawem).

Obowiązek informacyjny – ważna sprawa

Last but not least.

Osoba, której dane dotyczą, ma szerokie prawa związane ze swoimi prawami!

Przede wszystkim ma prawo zgodę na ich przetwarzanie cofnąć.

Ma prawo uzyskać – a zatem Ty masz obowiązek przedstawić –  szczegółowe informacje na temat tego, kto przetwarza jej dane, w jakim celu, jak długo, komu są przekazywane, gdzie można złożyć skargę na ewentualne naruszenia.

Oto szczegółowy zakres tego obowiązku:

Artykuł 13

Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą

1.Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

a)swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;

d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

2.Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

d) informacje o prawie wniesienia skargi do organu nadzorczego;

e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Następnym razem

W następnym wpisie będzie o praktycznych sposobach chronienia danych osobowych przed naruszeniami! To bardzo ważne, bo stworzenie masy dokumentów o ochronie danych osobowych bez ich rzeczywistej ochrony nie uchroni Cie przed gniewem GIODO.

A na razie pozdrawiam i życzę…wiosny,

AKN

Dodaj komentarz