Przetwarzanie Danych Osobowych: Zgoda i Upoważnienia

W dzisiejszym cyfrowym świecie, ochrona danych osobowych stała się zagadnieniem o fundamentalnym znaczeniu. Rozporządzenie o Ochronie Danych Osobowych, znane jako RODO, wprowadziło rewolucję w podejściu do przetwarzania danych osobowych, nakładając na administratorów danych szereg obowiązków i regulacji. Zrozumienie tych zasad jest kluczowe dla każdej organizacji, niezależnie od jej wielkości czy branży. W tym artykule przyjrzymy się bliżej dwóm istotnym aspektom RODO: zgodzie na przetwarzanie danych oraz upoważnieniom dla osób przetwarzających dane w imieniu administratora.

Kiedy zgoda na przetwarzanie danych osobowych jest konieczna?

Często pojawia się pytanie, czy administrator danych zawsze musi uzyskać zgodę na przetwarzanie danych osobowych. Odpowiedź brzmi: nie zawsze. Artykuł 6 RODO jasno określa sytuacje, w których przetwarzanie danych osobowych jest zgodne z prawem. Zgoda jest tylko jedną z przesłanek legalizujących przetwarzanie danych. Istnieje kilka innych podstaw prawnych, które pozwalają na legalne przetwarzanie danych bez konieczności uzyskania zgody.

Zgoda osoby, której dane dotyczą, jest wymagana, gdy nie istnieje inna podstawa prawna przetwarzania danych. Jednak w wielu sytuacjach RODO dopuszcza przetwarzanie danych bez zgody, jeśli jest to niezbędne do:

• Wykonania umowy, której stroną jest osoba, której dane dotyczą. Przykładem jest realizacja zamówienia w sklepie internetowym. Administrator nie musi prosić o zgodę na przetwarzanie danych klienta, gdyż jest to niezbędne do realizacji umowy sprzedaży.
• Podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Na przykład, przygotowanie oferty na usługi na prośbę potencjalnego klienta.
• Wypełnienia obowiązku prawnego ciążącego na administratorze. Przetwarzanie danych pracowników przez pracodawcę jest przykładem przetwarzania wynikającego z obowiązku prawnego.
• Ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej. Przetwarzanie danych w sytuacjach kryzysowych, takich jak klęski żywiołowe, jest uzasadnione ochroną życia i zdrowia.
• Wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Dotyczy to organów publicznych i instytucji realizujących zadania publiczne.
• Celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią, o ile interesy te nie są nadrzędne wobec interesów lub podstawowych praw i wolności osoby, której dane dotyczą, w szczególności dziecka. Marketing bezpośredni własnych produktów lub usług może być przykładem prawnie uzasadnionego interesu.

Podsumowując, zgoda nie jest uniwersalną podstawą prawną przetwarzania danych. Administrator powinien zawsze analizować, czy w danej sytuacji istnieje inna podstawa legalizująca przetwarzanie danych, zanim zdecyduje się na zbieranie zgody.

Warunki wyrażenia zgody

Jeśli administrator decyduje się na pozyskanie zgody jako podstawy przetwarzania danych, musi pamiętać o spełnieniu określonych warunków. RODO precyzyjnie definiuje zgodę jako „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.

Każdy z tych przymiotników ma istotne znaczenie:

• Dobrowolność: Zgoda musi być udzielona swobodnie, bez jakiegokolwiek przymusu. Osoba, której dane dotyczą, musi mieć realną możliwość wyboru i nie może ponosić negatywnych konsekwencji za odmowę udzielenia zgody lub jej wycofanie.
• Konkretność: Zgoda musi być udzielona w konkretnym celu. Ogólna zgoda na „wszystkie cele” jest nieważna. Administrator musi jasno określić cel lub cele przetwarzania danych, na które zgoda jest zbierana.
• Świadomość: Osoba udzielająca zgody musi być świadoma, na co się zgadza. Administrator ma obowiązek informacyjny, polegający na przekazaniu jasnych i zrozumiałych informacji o tożsamości administratora, celach przetwarzania, kategoriach danych, odbiorcach danych, prawach osoby, której dane dotyczą, i innych istotnych aspektach przetwarzania. Informacje te powinny być sformułowane prostym i zrozumiałym językiem.
• Jednoznaczność: Okazanie woli musi być jednoznaczne i nie budzić wątpliwości. Zgoda może być wyrażona w formie oświadczenia (np. pisemnego formularza) lub wyraźnego działania potwierdzającego (np. zaznaczenie checkboxa online). Brak działania, domyślna zgoda lub niejasne sformułowania nie spełniają wymogu jednoznaczności.

Wymuszona zgoda jest nieważna

Praktyka wymuszania zgody na przetwarzanie danych jest niestety nadal spotykana. Przykładem może być uzależnianie dostępu do usługi od wyrażenia zgody na przetwarzanie danych w celach marketingowych, które nie są niezbędne do świadczenia usługi. Innym przykładem jest umieszczanie klauzul zgody w formularzach w taki sposób, że klient nie ma realnej możliwości odmowy jej wyrażenia. Takie praktyki są niezgodne z RODO, a zgoda uzyskana w wyniku wymuszenia jest nieważna.

RODO chroni osoby, których dane dotyczą, przed nieuczciwymi praktykami. Osoba, której dane są przetwarzane niezgodnie z prawem, ma prawo dochodzić swoich praw przed sądem powszechnym i domagać się odszkodowania za poniesioną szkodę.

Przetwarzanie szczególnej kategorii danych osobowych

RODO wprowadza szczególną ochronę dla tzw. szczególnych kategorii danych osobowych, zwanych również danymi wrażliwymi. Do tych danych zalicza się dane ujawniające:

• Pochodzenie rasowe lub etniczne
• Poglądy polityczne
• Przekonania religijne lub światopoglądowe
• Przynależność do związków zawodowych
• Dane genetyczne
• Dane biometryczne (przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej)
• Dane dotyczące zdrowia
• Dane dotyczące seksualności lub orientacji seksualnej

Zasadniczo, przetwarzanie szczególnych kategorii danych osobowych jest zabronione. Jednak RODO przewiduje wyjątki od tego zakazu, w tym sytuację, gdy osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach. Zgoda na przetwarzanie danych wrażliwych musi być jeszcze bardziej świadoma i dobrowolna niż zgoda na przetwarzanie danych zwykłych. Musi być również możliwa do wycofania w każdym momencie.

Inne przesłanki legalizujące przetwarzanie szczególnych kategorii danych to m.in. niezbędność przetwarzania do celów profilaktyki zdrowotnej, medycyny pracy, oceny zdolności do pracy, leczenia, zarządzania systemami i usługami opieki zdrowotnej lub społecznej.

Niezbędna zgoda w przypadku profilowania

Profilowanie, czyli zautomatyzowane przetwarzanie danych osobowych w celu oceny czynników osobowych, takich jak preferencje, zainteresowania, zachowanie czy lokalizacja, również podlega regulacjom RODO. W przypadku profilowania, które prowadzi do podejmowania decyzji wywołujących skutki prawne wobec osoby, której dane dotyczą, lub w podobny sposób istotnie na nią wpływa, administrator musi uzyskać wyraźną zgodę na takie przetwarzanie.

RODO wyróżnia dwie formy profilowania: zwykłe (z udziałem czynnika ludzkiego) oraz zautomatyzowane (decyzje podejmowane wyłącznie przez programy komputerowe). Niezależnie od formy profilowania, administrator ma obowiązek informacyjny wobec osób, których dane dotyczą. Musi poinformować o profilowaniu, jego celach, konsekwencjach oraz zapewnić możliwość wniesienia sprzeciwu wobec profilowania. W przypadku profilowania zautomatyzowanego, zgoda jest często niezbędna, aby legalizować takie przetwarzanie.

Czy administrator musi mieć upoważnienie do przetwarzania danych osobowych?

Kolejnym ważnym aspektem RODO jest kwestia upoważnień do przetwarzania danych osobowych. Artykuł 29 RODO oraz artykuł 32 ust. 4 RODO jasno wskazują, że każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych, przetwarza je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

Oznacza to, że administrator ma obowiązek upoważnić każdą osobę, która w jego imieniu przetwarza dane osobowe. Upoważnienie jest formalnym potwierdzeniem, że dana osoba ma prawo przetwarzać dane osobowe w określonym zakresie i w określonym celu. Jest to jeden z kluczowych organizacyjnych środków bezpieczeństwa danych osobowych.

Kto może nadawać upoważnienia?

Za nadawanie upoważnień do przetwarzania danych osobowych odpowiedzialny jest administrator danych osobowych. W praktyce, administrator może upoważnić inne osoby w organizacji, np. pracowników działu HR lub kadr, do wydawania upoważnień w jego imieniu. Jednak administrator musi formalnie umocować te osoby odpowiednim pełnomocnictwem.

Kogo upoważniamy do przetwarzania danych osobowych?

Upoważnienie do przetwarzania danych osobowych powinno otrzymać każda osoba w organizacji, która ma dostęp do danych osobowych i przetwarza je na polecenie administratora. Dotyczy to nie tylko pracowników biurowych pracujących na systemach IT, ale również pracowników produkcyjnych, magazynowych, a także współpracowników i kontraktorów, którzy w ramach swojej działalności mają dostęp do danych osobowych.

Jaka powinna być forma upoważnienia do przetwarzania danych osobowych?

RODO nie określa konkretnej formy upoważnienia do przetwarzania danych osobowych. Najważniejsze jest, aby forma upoważnienia była łatwa do zarządzania i skuteczna w przekazaniu osobom upoważnionym ich obowiązków i odpowiedzialności. Zaleca się, aby upoważnienie miało formę pisemną lub elektroniczną, co ułatwi ewentualne udokumentowanie upoważnienia przed organem nadzorczym.

Upoważnienie powinno zawierać co najmniej:

• Dane administratora danych
• Dane osoby upoważnianej
• Zakres upoważnienia (rodzaj danych osobowych, operacje przetwarzania)
• Cel przetwarzania danych
• Zobowiązanie do zachowania poufności danych osobowych i sposobów ich zabezpieczenia
• Oświadczenie o zapoznaniu się z dokumentacją RODO obowiązującą u administratora
• Datę i podpis administratora (lub osoby upoważnionej do nadawania upoważnień) oraz osoby upoważnianej

Przechowywanie nadanych upoważnień do przetwarzania danych osobowych

Ważne jest, aby upoważnienia do przetwarzania danych osobowych były przechowywane w sposób umożliwiający ich łatwe odnalezienie i weryfikację. Administrator powinien prowadzić rejestr upoważnień i przechowywać je w formie przeszukiwalnej. Można przechowywać upoważnienia w aktach osobowych pracowników, w systemach kadrowych lub w dedykowanym rejestrze upoważnień.

Co zrobić, aby nadawanie upoważnień do przetwarzania danych stało się skutecznym środkiem bezpieczeństwa?

Upoważnienie do przetwarzania danych osobowych jest nie tylko formalnym dokumentem, ale przede wszystkim środkiem bezpieczeństwa organizacyjnego. Aby upoważnienia skutecznie pełniły swoją rolę, ważne jest, aby w organizacji budować kulturę bezpieczeństwa i świadomość w zakresie ochrony danych osobowych.

Zaleca się:

• Podział upoważnień na kategorie, np. upoważnienie do przetwarzania danych zwykłych i upoważnienie do przetwarzania danych szczególnych kategorii.
• Szkolenia dla osób upoważnionych, w tym szkolenia onboardingowe dla nowych pracowników, obejmujące tematykę ochrony danych osobowych i rolę upoważnień.
• Regularne przypominanie pracownikom o obowiązkach wynikających z upoważnień i przepisów RODO.
• Weryfikację i aktualizację upoważnień, np. w przypadku zmiany stanowiska pracy lub zakresu obowiązków pracownika.

Prawo dostępu a prawo do kopii danych

RODO przyznaje osobom, których dane dotyczą, szereg praw, w tym prawo dostępu do danych oraz prawo do kopii danych. Często pojawiają się nieporozumienia co do różnic między tymi prawami.

Uprawnienie informacyjne

Prawo dostępu do danych, zgodnie z artykułem 15 RODO, obejmuje uprawnienie do uzyskania od administratora potwierdzenia, czy dane osobowe danej osoby są przetwarzane, a jeżeli tak, to prawo do uzyskania informacji o:

• Celach przetwarzania
• Kategoriach danych osobowych
• Odbiorcach lub kategoriach odbiorców danych osobowych
• Planowanym okresie przechowywania danych osobowych
• Prawie do żądania sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych oraz do wniesienia sprzeciwu wobec takiego przetwarzania
• Prawie wniesienia skargi do organu nadzorczego
• Źródle danych osobowych, jeżeli nie zostały zebrane od osoby, której dane dotyczą
• Zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu

Prawo dostępu do danych to przede wszystkim uprawnienie informacyjne. Osoba, której dane dotyczą, ma prawo dowiedzieć się, co dzieje się z jej danymi.

Prawo do kopii danych

Artykuł 15 RODO, oprócz prawa dostępu do informacji, przyznaje również prawo do otrzymania kopii przetwarzanych danych osobowych. Jednak należy podkreślić, że prawo do kopii danych jest częścią prawa dostępu i jest realizowane na wniosek osoby, której dane dotyczą. Administrator nie jest zobowiązany do samodzielnego, proaktywnego dostarczania kopii danych każdej osobie, której dane przetwarza, ale jedynie na jej żądanie.

Prawo dostępu jest szerszym pojęciem, obejmującym zarówno prawo do informacji, jak i prawo do kopii danych. Osoba, której dane dotyczą, może żądać realizacji tylko jednego z tych uprawnień lub obu jednocześnie. W przypadku niejasnego żądania, administrator powinien dążyć do jego doprecyzowania, a w razie braku odpowiedzi, spełnić oba uprawnienia - przekazać kopię danych oraz informacje o przetwarzaniu.

Podsumowanie

Zarówno zgoda, jak i upoważnienia do przetwarzania danych osobowych są kluczowymi elementami systemu ochrony danych osobowych w ramach RODO. Zrozumienie zasad ich stosowania jest niezbędne dla prawidłowego i zgodnego z prawem przetwarzania danych osobowych. Administratorzy danych powinni pamiętać, że ochrona danych osobowych to nie tylko obowiązek prawny, ale również wyraz szacunku dla praw i wolności osób, których dane dotyczą, oraz budowanie zaufania w relacjach z klientami i partnerami biznesowymi.

Najczęściej zadawane pytania (FAQ)

Czy mogę przetwarzać dane osobowe bez zgody?

Tak, RODO przewiduje kilka podstaw prawnych przetwarzania danych osobowych bez konieczności uzyskania zgody, np. wykonanie umowy, obowiązek prawny, prawnie uzasadniony interes administratora.

Co to jest wymuszona zgoda i dlaczego jest nieważna?

Wymuszona zgoda to zgoda, która nie jest dobrowolna, np. gdy dostęp do usługi jest uzależniony od wyrażenia zgody na przetwarzanie danych w celach marketingowych, które nie są niezbędne do świadczenia usługi. Wymuszona zgoda jest niezgodna z RODO i jest nieważna.

Kto powinien otrzymać upoważnienie do przetwarzania danych osobowych?

Upoważnienie powinno otrzymać każda osoba w organizacji, która ma dostęp do danych osobowych i przetwarza je na polecenie administratora, w tym pracownicy, współpracownicy i kontraktorzy.

Czy muszę dostarczyć kopię danych osobowych każdej osobie, której dane przetwarzam?

Nie, administrator nie jest zobowiązany do proaktywnego dostarczania kopii danych. Kopię danych dostarcza się jedynie na wniosek osoby, której dane dotyczą, w ramach realizacji prawa dostępu do danych.

Jak często należy aktualizować upoważnienia do przetwarzania danych osobowych?

Upoważnienia powinny być weryfikowane i aktualizowane regularnie, np. w przypadku zmiany stanowiska pracy, zakresu obowiązków pracownika lub zmiany przepisów RODO. Warto przeprowadzać przegląd upoważnień przynajmniej raz w roku.

Jeśli chcesz poznać inne artykuły podobne do Przetwarzanie Danych Osobowych: Zgoda i Upoważnienia, możesz odwiedzić kategorię Rachunkowość.