Archives 2020

Dobrze, ale o co właściwie chodzi w tym powierzeniu? W powierzeniu przetwarzania danych osobowych chodzi o to, że podmiot przetwarzający przetwarza dane w czyimś imieniu, np. firmy po to, aby zrealizować dla niej jakiś cel.

Podmiot przetwarzający może przetwarzać dane jedynie w takim zakresie w jakim zostało mu to powierzone. Tworząc umowę powinniśmy określić w niej co będzie przedmiotem przetwarzania, czyli jakie dane będą przetwarzane na podstawie umowie głównej pomiędzy stronami, jaki będzie cel, czas i charakter przetwarzania, jaki rodzaj danych osobowych i kategorie osób, których dotyczą przetwarzane dane oraz bardzo ważny element – jakie są prawa i obowiązki administratora.

Umowa powinna stanowić w szczególności:

1).  podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora. Dotyczy to także przekazywania danych osobowych do państw trzecich, organizacji międzynarodowych jeśli taki obowiązek został przez niego nałożony przez prawo Unii lub prawo państwa członkowskiego któremu podmiot przetwarzający podlega;    

2). osoby, które zostały upoważnione do przetwarzania danych, zobowiązały się do zachowania tajemnicy tych danych;

3). biorąc pod uwagę charakter przetwarzana danych, procesor w miarę możliwości pomaga administratorowi wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą w zakresie wykonywania ich praw, w zakresie wykonywania jej praw określonych w rozdziale III RODO;

4). procesor podejmie wszelkie środki zabezpieczające dane wymagane na mocy art. 32 RODO;

5). mając na celu charakter przetwarzania procesor pomaga administratorowi wywiązać się z obowiązków, które zostały określone w art. 32-36 RODO, chodzi tu o przepisy nakładające na administratora obowiązek zapewnienia bezpieczeństwa danych poprzez zastosowanie odpowiednich środków organizacyjnych i technicznych oraz obowiązek zgłaszania naruszeń dotyczących ochrony danych osobowych do organu nadzorczego;

6). w zależności od decyzji administratora po zakończeniu współpracy podmiot przetwarzający zobowiązany jest do zwrotu danych osobowych lub trwałego usunięcia wszystkich istniejących kopii danych;

7). umożliwia administratorowi, audytorowi upoważnionemu przez administratora przeprowadzania inspekcji, audytów i uczestniczy w nich.

Wymienione obowiązki nie stanowią katalogu zamkniętego. W zależności od wzajemnych potrzeb strony mogą dowolnie uzupełniać zapisy umowy o dodatkowe postanowienia. Mogą dodać zapis o odpowiedzialności za uchybienia lub rozszerzyć dokument o punkt dotyczący kar i wysokości tych kar. Każda nieprawidłowość dotycząca powierzenia przetwarzania danych osobowych może skutkować nie tylko nałożeniem kary przez Prezesa Urzędu Ochrony Danych Osobowych, ale również odpowiedzialnością cywilnoprawną względem osoby, której dane zostały nieprawidłowo wykorzystane przez podmiot przetwarzający.

Możliwa do zidentyfikowania osoba to taka osoba, którą będzie można zidentyfikować bezpośrednio lub pośrednio za pomocą imienia i nazwiska, adresu zamieszkania, numeru pesel, adresu IP komputera, lub kilku szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Danymi osobowymi będą więc wszystkie informacje na podstawie których będziemy w stanie określić tożsamość osoby. Jeśli na podstawie posiadanych informacji jesteśmy w stanie zidentyfikować daną osobę, wówczas należy przyjąć, że mamy do czynienia z danymi chronionymi w świetle RODO.

Jako przykłady danych osobowych należy wskazać między innymi:

– imię i nazwisko,

– adres zamieszkania,

– adres IP komputera danej osoby,

– seria i numer dowodu tożsamości,

– dane o lokalizacji,

– numer pesel / NIP,

– kolor oczu, wzrost, płeć, waga,

– dane o stanie zdrowia,

– dane dotyczące przekonań religijnych i poglądów.

Dyrektywa 95/46/WE oraz RODO wyróżnia kategorie danych, których przetwarzanie co do zasady jest zakazane, są to tak zwane szczególne kategorie danych:

– pochodzenie etniczne lub rasowe,

– poglądy polityczne,

– przekonania religijne.

Ponadto zabronione jest przetwarzanie takich danych jak:

– dane dotyczące zdrowia, seksualności lub orientacji seksualnej,

– dane biometryczne,

– dane genetyczne.

Powyższa kategoria jest szczególną kategorią danych, dane te wymagają specjalnej ochrony ze względu na swoją wartość i nie można ich przetwarzać (chyba że wystąpi ku temu przesłanka).

Do kategorii danych osobowych można również zaliczyć adresy IP, identyfikatory internetowe oraz pliki cookie zbierane przez strony internetowe, aplikacje.

Danymi osobowymi nie będą pojedyncze informacje typu numer domu, nazwa ulicy, ponieważ takie dane są informacjami ogólnymi. Aby dana informacja mogła stanowić daną osobową musi być zestawiona z dodatkowymi informacjami, które w rezultacie mogą stanowić powiązanie z konkretną osobą. Takim przykładem może być np. numer pesel,11-cyfrowy symbol numeryczny, który jednoznacznie identyfikuje osobę fizyczną (art. 15 ust. 2 ustawy z dn. 24.09.2010 r. o ewidencji ludności (Dz.U. z 2015 r. poz. 388). Pierwszych 6 cyfr oznacza datę urodzenia osoby, kolejne 4 cyfry to liczba porządkowa i płeć, a ostatnia cyfra to cyfra kontrolna, która służy do sprawdzenia poprawności całego numeru.

Daną osobową nie będzie wyłącznie numer domu czy nazwa ulicy. Samo imię również nie będzie zaliczało się do danych osobowych, ponieważ pojedyncza informacja nie wskaże jednoznacznie na konkretną osobę.