RODO – podstawowe informacje

Poniżej znajdziecie najważniejsze informacje dotyczące ochrony danych osobowych oraz zasad ich przetwarzania po 25 maja 2018 roku.

Rozporządzenie Parlamentu Europejskiego i Rady Nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE obowiązuje od 25 maja 2018 roku.

Rozporządzenie jest stosowane wprost i bezpośrednio oraz musi być stosowane przez  instytucje sektora publicznego, prywatnego oraz sektor trzeci.

Nowe przepisy mają zastosowanie w stosunku do danych osób fizycznych, w tym konsumentów oraz przedsiębiorców wpisanych do CEIDG (nie dotyczy spółek prawa handlowego). 

Podstawowe pojęcia

Dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

[Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczna, kulturową lub społeczną tożsamość osoby fizycznej]

Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Zgoda na przetwarzanie danych: to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. 

Warto zaznaczyć, że w dowolnym momencie mamy prawo wycofania zgody, a jego forma powinna być tak samo łatwa, jak udzielenie zgody.

Wyróżnia się dane zwykłe oraz dane szczególnej kategorii

Dane szczególnej kategorii (wcześniej dane wrażliwe) to:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne,
  • dane biometryczne,
  • dane dotyczące zdrowia, seksualności lub orientacji seksualnej;

Podstawy przetwarzania danych osobowych

Podstawy przetwarzania danych osobowych, czyli to, co legitymizuje przetwarzanie poszczególnych danych:

  1. Zgoda osoby, której dane dotyczą – osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.
  2. Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą.
  3. Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
  4. Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą.
  5. Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
  6. Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.
Podstawy przetwarzania szczególnych kategorii danych osobowych:
  1.  Osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach.
  2. Przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej.
  3. Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody.
  4. Przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglą­dowych, religijnych lub związkowych.
  5. Przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą.
  6. Przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy.
  7. Przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym.
  8. Przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego.
  9. Przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego.
  10. Przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.
Przykład: przetwarzając dane osobowe pracowników będą to następujące podstawy:

(dane zwykłe)

  • zgoda osoby, której dane dotyczą,
  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą,
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,

(dane szczególnej kategorii)

  • przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej,
  • przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego;

Zbieranie danych osobowych – klauzula informacyjna

Zbieranie danych musi być jawne – osoba, której dane mamy zamiar gromadzić i przetwarzać, powinna zostać o tym poinformowana (klauzula informacyjna).

Klauzula informacyjna powinna zawierać: 

  • dane administratora, dane inspektora ochrony danych osobowych (jeżeli jest),
  • cel przetwarzania danych,
  • informacje o odbiorcach danych lub kategoriach odbiorców danych,
  • informacje o prawach osoby, której dane zbieramy: prawo do dostępu, poprawienia, usunięcia, ograniczenia przetwarzania, sprzeciwu wobec przetwarzania i wobec profilowania, prawie do przenoszenia danych,
  • wskazanie podstawy prawnej przetwarzania danych,
  • informację o zamiarze przekazania danych do państw trzecich,
  • okres przechowywania danych (jeżeli brak możliwości określenia czasu – kryteria do jego ustalenia),
  • informację o prawie wniesienia skargi do organu nadzorczego,
  • informację o dobrowolności podania danych,
  • informację o możliwości cofnięcia zgody w każdym czasie (oraz brak wpływu cofnięcia zgody na przetwarzanie danych dokonane przed cofnięciem),
  • informację czy podanie danych jest wymogiem umownym, ustawowym lub warunkiem zawarcia umowy (także wskazanie konsekwencji ich niepodania),
  • informację o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu;

Jak informować osoby, których dane zbieramy?

  • kontrahentów, zleceniobiorców: w umowie cywilnoprawnej (załącznik do umowy), w załączniku do faktury/rachunku, w e-mailu,
  • pracowników: w umowie o pracę, w odrębnym oświadczeniu dla pracownika,
  • kandydatów do pracy: w ogłoszeniu o pracę, w zwrotnym e-mailu do kandydata, w odrębnym oświadczeniu dla kandydata;

Zbieranie danych osobowych kandydatów do pracy – zgoda na przetwarzanie danych osobowych

Dla przypomnienia zgoda na przetwarzanie danych to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Zgoda dotyczy wszelkich danych osobowych, których przetwarzanie nie wynika z ustawy. 

Przeprowadzając procesy rekrutacyjne warto poinformować kandydatów, np. w ogłoszeniach o pracę, o konieczności zamieszczania w swoich dokumentach aplikacyjnych zgody na przetwarzanie danych osobowych dla potrzeb rekrutacji wskazując nazwę i siedzibę administratora.

Przykładowa klauzula: 

“Wyrażam zgodę na przetwarzanie moich danych osobowych w procesie rekrutacji na stanowisko ……., prowadzonego przez ……….. z siedzibą ………… .
Oświadczam, że podanie tych danych było dobrowolne.”

  • w przypadku takiej zgody po zakończeniu procesu rekrutacji należy niezwłocznie usunąć dane;

“Wyrażam zgodę na przetwarzanie moich danych osobowych dla potrzeb obecnego i przyszłych procesów rekrutacji na stanowisko ……., prowadzonych przez ……….. z siedzibą ……….. .
Oświadczam, że podanie tych danych było dobrowolne.”

  • w tym przypadku zgoda obejmuje także przyszłe procesy rekrutacji,
  • w klauzuli informacyjnej dla tych kandydatów należy wskazać okres przechowywania danych;

Uwaga: zwierając umowy cywilnoprawne należy uzyskać zgodę od zleceniobiorców oraz wykonawców do przetwarzania danych osobowych.

Uwaga: Administrator Danych Osobowych musi być w stanie wykazać, że uzyskał zgodę osoby, której dane są przetwarzane. To oznacza, że w razie jakichkolwiek  wątpliwości ADO (czyli np. pracodawca) będzie musiał udowodnić, że osoba, której dane dotyczą (np. pracownik, kandydat) wyraziła zgodę na przetwarzanie swoich danych osobowych w określonym celu.


Podstawa prawna: Rozporządzenie Parlamentu Europejskiego i Rady Nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

Dodaj komentarz

Twój adres email nie zostanie opublikowany.