Dookreślanie przepisów wymaga zwrócenia uwagi na główne pojęcie w rozporządzeniu. Co to jest przetwarzanie danych osobowych? Definicja przetwarzania danych osobowych uregulowana została w art. 4 pkt 2 Rozporządzania RODO1.
„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak:
- zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub
- modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub
- innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Na gruncie dyrektywy 95/46/WE2 zdefiniowane zostało wyrażenie „przetwarzanie danych osobowych”
„przetwarzanie danych osobowych” („przetwarzanie”) oznacza każdą operację lub zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np.
- gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub
- modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub
- udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie.
Jak wynika z definicji, przetwarzanie danych osobowych to proces składający się z wielu czynności.
Przykładowe czynności przetwarzania danych osobowych:
- zbieranie CV od kandydatów do pracy;
- wprowadzanie danych osobowych pracowników do programu kadrowego;
- przechowywanie teczek pracowników zgodnie z obowiązującymi przepisami;
- wprowadzanie danych osobowych do systemu finansowano-księgowego w celu wystawienia faktury;
- modyfikowanie danych osobowych klientów w systemie CRM;
- niszczenie danych osobowych np. przy wykorzystaniu niszczarki;
- zapis z monitoringu wizyjnego;
- publikowanie wizerunku pracowników na stronie internetowej firmy.
Przetwarzanie danych osobowych musi odbywać się zgodnie z obowiązującymi zasadami wynikającymi m.in. z Rozporządzanie RODO
Zasady ogólne przetwarzania danych osobowych:
- zgodność z prawem, rzetelność i przejrzystość,
- ograniczenie celu
- minimalizacja danych
- prawidłowość
- ograniczenie przechowywania
- integralność i poufność
- rozliczalność
Zaprzestanie przetwarzania danych osobowych
Jedną z form zaprzestania przetwarzania danych osobowych jest skuteczne wniesienie sprzeciwu, czyli realizacja prawa uregulowanego w art. 21 Rozporządzenie RODO. Sprzeciw może zostać wniesiony, przez osobę, której dane dotyczą w dwóch sytuacjach:
- z przyczyn związanych z jej szczególną sytuacją – dotyczy danych osobowych przetwarzanych na podstawie art. 6 ust. 1 lit. e) lub f), w tym profilowanie
- dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego
W takiej sytuacji Administrator danych osobowych musi zaprzestać przetwarzania danych osobowych. Natomiast, obowiązek ten nie będzie miał miejsca w sytuacji wykazania przez Administratora danych osobowych istnienia ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. Zaprzestanie przetwarzania danych osobowych w praktyce jest trudne do wyegzekwowania, ponieważ wiele instytucji korzystając z ogólnych zapisów dotyczących tego odstępstwa, nadal je wykorzystuje. Jest to skomplikowane do ustalenia, ponieważ dotyczy nagminnych działań na pograniczu prawa, a sami konsumenci rzadko kiedy zgłaszają podobne przypadki jako naruszenie przepisów.
Na przykład odstępstwo to nie dotyczy marketingu bezpośredniego. W praktyce wiele firm telemarketingowych / call center nadal przetwarza nasze dane osobowe w celu realizacji marketingu bezpośredniego mimo wniosków dotyczących sprzeciwu na przetwarzanie danych osobowych. Wykonując kolejne połączenia telefonicznie, nie zaprzestają przetwarzania danych osobowych.
1 Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
2 Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych