Co to jest przetwarzanie danych osobowych i kiedy jest to dopuszczalne?
Często spotykam się w swojej praktyce zawodowej ze stwierdzeniem: „ja nie przetwarzam danych, wysyłam tylko maile do klientów i wystawiam im faktury” albo „czy ja przetwarzam dane skoro nie prowadzę (czytaj: nie zarejestrowałem/am) działalności gospodarczej?”. Odpowiedzi na te pytania dla wielu osób pozostają tajemnicą pomimo, iż jest bardzo dużo informacji dotyczących ochrony danych osobowych.
Ustawa o ochronie danych osobowych szczegółowo wprowadza definicję ich przetwarzania. Aby móc udzielić odpowiedzi na powyższe pytania, konieczna jest znajomość tej definicji. Termin przetwarzania danych osobowych kryje wszelkie operacje wykonywane na danych osobowych dotyczące ich zbierania, utrwalania, przechowywania, opracowywania, zmieniania, udostępniania i usuwania, a zwłaszcza te, które wykonuje się w systemach informatycznych. Podając przykład na potrzeby tego artykułu można stwierdzić, iż przetwarzaniem danych osobowych jest np. przechowywanie danych osobowych pracowników lub ewidencja danych kontrahentów.
Mając na względzie ogromne zamieszanie wobec zmian, które mają zostać wprowadzone w związku z RODO, istota samej definicji przetwarzania danych osobowych pozostaje bez zmian. Może jedynie zostać bardziej uszczegółowiona. Jednakże główne jej założenia pozostaną niezmienne i nie będzie tu miejsca na sytuację, iż wobec tych przedsiębiorstw, które dane osobowe przetwarzają – nagle zostanie zastosowana zupełnie inna terminologia.
Aby było możliwe przetwarzanie (innymi słowy wykorzystywanie danych) zgodnie
z prawem, absolutnie konieczna jest podstawa ich przetwarzania. Artykuł 23 ust 1 ustawy o ochronie danych osobowych zawiera wykaz niezbędnych warunków do przetwarzania. Można przetwarzać dane wówczas, gdy:
- osoba, której dane dotyczą, wyraziła na to zgodę;
- przetwarzanie jest niezbędne do zrealizowania uprawnień lub spełnienia obowiązku wynikającego z przepisu prawa (np. osoba dokonuje darowizny na rzecz organizacji pozarządowej, zgodnie z przepisami prawa, darowizna ta powinna być dokonana
w formie przelewu, wobec czego organizacja znajduje się w posiadaniu danych osoby, a dane te zostaną przez organizację wykorzystane dla celów sprawozdawczych);
- realizacja umowy wymaga przetwarzania danych osobowych, którejś ze stron
- (np. umowa zlecenia);
- przetwarzanie jest niezbędne dla wykonania określonych prawem zadań realizowanych dla dobra publicznego;
- przetwarzanie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych osobowych albo odbiorców danych,
a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Wyżej wymienione punkty jednoznacznie odpowiadają na pytania, czy jeśli otrzymujemy e-mail z informacją handlową od jednostki, której zgody nie dawaliśmy, to czy jest to zgodne z prawem? Bądź, gdy dzwoni do nas kolejna osoba, która przedstawia najwspanialszą na świecie ofertę, promującą niezastąpione garnki, a my nie mamy pojęcia skąd i w jaki sposób posiada nasz nr telefonu. Co możemy z tym zrobić? Odpowiedź niebawem…
adw. Małgorzata LEWANDOWSKA
Małgorzata Lewandowska jest adwokatem wpisanym na listę adwokatów Izby Adwokackiej w Warszawie. Ukończyła Wydział Prawa w Wyższej Szkole Prawa i Administracji w Warszawie oraz Studia Doktoranckie w Instytucie Nauk Prawnych Polskiej Akademii Nauk w Warszawie.