Ochrona danych osobowych w firmie
RODO reguluje w sposób szczegółowy proces przetwarzania danych osobowych. W konsekwencji ma to determinować zwiększenie ochrony procesu obrotu tymi danymi, a ostatecznie zapewnić skuteczną ochronę podmiotów, których one dotyczą. Nie jest to jednak jedyna forma ochrony naszych danych osobowych zastosowana w RODO. Ustawodawca unijny poza ścisłym unormowaniem tego jak należy przetwarzać dane osobowe określił ogólną możliwość rozpoczęcia bądź kontynuowania procesu ich przetwarzania. Sam fakt prowadzenia firmy w UE nie wystarcza do tego by móc w sposób zgodny z przepisami RODO przetwarzać dane osobowe. Kiedy zatem wolno zbierać dane osobowe?
Dane osobowe można przetwarzać wyłącznie wtedy, gdy istnieje podstawa prawna przetwarzania tychże danych. W przypadku przedsiębiorców, typowymi podstawami przetwarzania tzw. danych osobowych zwykłych są:
- zgoda osoby, której te dane osobowe dotyczą,
- przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dane osobowe dotyczą lub do podjęcia działań (np. konieczność dowiezienia towarów pod wskazany przez klienta adres),
- poprzedzających zawarcie umowy, na żądanie tej osoby,
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (np. konieczność odprowadzania składek do Zakładu Ubezpieczeń Społecznych w imieniu pracowników przez pracodawcę)
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.
Natomiast w przypadku tzw. danych osobowych wrażliwych (bądź wedle terminologii RODO – tzw. szczególnych kategorii danych osobowych) typowe podstawy przetwarzania danych osobowych to:
- wyraźna zgoda osoby, której te dane osobowe dotyczą,
- przetwarzanie danych jest niezbędne do wykonania zadań związanych z zatrudnieniem, ubezpieczeniem społecznym pracowników,
- przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy,
do oceny zdolności pracownika do pracy, - przetwarzanie danych jest niezbędne w celu dochodzenia praw przed sądem.
Możliwość (konieczność) przetwarzania przez przedsiębiorcę tzw. danych osobowych wrażliwych musi więc być zawsze uzasadniona w sposób szczególny. Nie wystarczy samo ogólne wskazanie podstawy prawnej.
Co istotne, RODO zgodnie z przyjęta przez siebie tzw. zasadą rozliczalności nałożyło na administratora konieczność wykazania, że dysponuje odpowiednią podstawą prawną przetwarzania danych. Podmiot przetwarzający dane jest więc co do zasady z tego obowiązku zwolniony.
W kontekście zbierania i przetwarzania danych osobowych należy pamiętać jeszcze o jednej, niezwykle ważnej zasadzie wprowadzonej przez przepisy RODO – o tzw. zasadzie minimalizacji danych osobowych. Wedle tej zasady można przetwarzać wyłącznie takie dane osobowe, które są niezbędne do osiągnięcia celu przetwarzania danych. Przetwarzanie danych powinno więc zostać ograniczone do takich danych, bez których nie można osiągnąć celu przetwarzania danych. Niedopuszczalnym zatem jest sytuacja, w której dostawa towarów poza danymi osobowymi umożliwiającymi mu dostarczenie zamówionego towaru pod wskazany przez klienta adres przetwarza także dane o jego sytuacji rodzinnej czy majątkowej.