Przetwarzanie danych osobowych to pojęcie regulowane w Ustawie o ochronie danych osobowych oraz Rozporządzeniu Parlamentu Europejskiego i Rady. Należy przy tym pamiętać, że prawo unijne ma pierwszeństwo przed prawem krajowym. Wynika z tego szereg konsekwencji w związku z przetwarzaniem danych osobowych.
● Przetwarzanie danych osobowych to operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. ● Rozporządzenie RODO określa szczegółowe warunki legalności przetwarzania danych osobowych. Jednym z nim jest zgoda na przetwarzanie danych. ● Administrator danych osobowych to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania takich danych. ● Dane wrażliwe to wymienione enumeratywnie dane osobowe, które podlegają szczególnej ochronie.
Przetwarzanie danych osobowych – ustawa o ochronie danych osobowych
Przetwarzanie danych osobowych uregulowane zostało w polskim porządku prawnym Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych. Pojęcie przetwarzania nie zostało jednak określone w niej wprost, jak to miało miejsce w poprzednio obowiązującej ustawie z 1997 roku i która przez przetwarzanie danych rozumiała jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie.
Obowiązująca definicja pojęcia przetwarzania danych osobowych wynika z Rozporządzenia Parlamentu Europejskiego i Rady z dnia 27 kwietnia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchyleniu dyrektywy 95/46/WE, które do polskiego porządku prawnego weszło w życie 25 maja 2018 roku. W myśl przepisów przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak:
● zbieranie, ● utrwalanie, ● organizowanie, ● porządkowanie, ● przechowywanie, ● adaptowanie lub modyfikowanie, ● pobieranie, ● przeglądanie, ● wykorzystywanie, ● ujawnianie poprzez przesłanie, ● rozpowszechnianie lub innego rodzaju udostępnianie, ● dopasowywanie lub łączenie, ● ograniczanie, ● usuwanie lub niszczenie.
Katalog operacji mieszczący się w pojęciu przetwarzania jest zatem bardzo szeroki.
Zgodność z prawem – zgoda na przetwarzanie danych osobowych
W myśl Rozporządzenia RODO przetwarzanie danych osobowych jest zgodne z prawem, jeżeli spełniony zostanie jeden z poniższych warunków:
● osoba, której dotyczą dane wyraziła zgodę na przetwarzanie danych osobowych w jednym lub w większej liczbie określonych celów, ● przetwarzanie jest niezbędne do wykonywania umowy, której stroną jest osoba, której dotyczą dane lub do podjęcia działań na żądanie tej osoby przez zawarciem umowy, ● przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego, który ciąży na administratorze, ● przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dotyczą lub innej osoby fizycznej, ● przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, która powierzona została administratorowi, ● przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów, które są realizowane przez administratora lub stronę trzecią; przy czym wyjątkiem są sytuacje, gdy interesy i podstawowe prawa i wolności osoby, której dotyczą dane mają wobec nich charakter nadrzędny, wówczas nie można mówić o zgodności przetwarzania z prawem.
Co istotne, przetwarzanie danych osobowych zgodne jest z prawem w takim zakresie, w jakim dany warunek zostanie spełniony.
Zgoda na przetwarzanie danych osobowych – wzór
Warto podkreślić, że jeżeli przetwarzanie danych osobowych odbywa się na podstawie zgody, wówczas administrator musi być w stanie wykazać, że osoba taką zgodę wyraziła. Za zgodę na przetwarzanie danych osobowych uznaje się okazanie woli w formie oświadczenia lub w postaci działania, które w sposób nie budzący wątpliwości ją potwierdza. Zgoda taka nie może jednak ograniczać się do stwierdzenia „wyrażam zgodę na przetwarzanie moich danych osobowych”, ale powinna ona zawierać:
● wskazanie zakresu przetwarzanych danych osobowych, ● dane administratora danych osobowych, ● zastrzeżenie możliwości cofnięcia zgody.
Rozporządzenie RODO wyraźnie wskazuje, że osoba, której dotyczą dane może w każdym momencie cofnąć wyrażoną zgodę. Warto jednak pamiętać, że nie wpływa to na zgodność z prawem przetwarzania, które miało miejsce przed cofnięciem zgody.
Administrator danych osobowych
Administratorem danych osobowych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania takich danych. Zadania administratora określone są w Rozporządzeniu RODO.
Administrator może przekazać dane osobowe innemu podmiotowi na podstawie pisemnej umowy powierzenia danych osobowych lub innego instrumentu prawnego. Zgodnie z Rozporządzeniem RODO możliwa jest też wersja elektroniczna umowy powierzenia przetwarzania danych osobowych. Co więcej, możliwe jest również korzystanie przez podmiot wykonujący operacje na danych administratora z usług innego podmiotu przetwarzającego. Na podmiot ten nałożone zostają takie same obowiązki ochrony danych osobowych, jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym. Wyraźnie należy zaznaczyć, że korzystanie z usług innego podmiotu możliwe jest za zgodą administratora:
● szczegółową – wówczas administrator wskazuje konkretny podmiot, który będzie przetwarzał, ● ogólną – wówczas podmiot przetwarzający informuje administratora o planach dalszego powierzenia przetwarzania danych osobowych, administrator zaś może nie zgodzić się na wskazany podmiot.
Rozporządzenie RODO określa jakie elementy powinny znaleźć się w umowie powierzenia danych osobowych.
Dane wrażliwe - co to?
Rozporządzenie RODO wprowadza również pojęcie danych wrażliwych, które wymagają szczególnej ochrony. Są to:
● dane ujawniające pochodzenie rasowe lub etniczne, ● dane ujawniające poglądy polityczne, ● dane ujawniające przekonania religijne lub światopoglądowe, ● dane ujawniające przynależność do związków zawodowych, ● dane genetyczne, ● dane biometryczne, ● dane dotyczące zdrowia, ● dane dotyczące seksualności lub orientacji seksualnej.
Co do zasady zabrania się przetwarzania danych wrażliwych, chyba że zaistnieje jedna z przesłanek enumeratywnie wymieniona w art. 9 ust. 2 Rozporządzenia RODO.
Klauzula RODO do CV
Jednym z dokumentów, w których w praktyce spotkać można się z klauzulą RODO jest CV. Przedstawiane w procesie rekrutacji CV, czyli dokument informujący o życiorysie zawodowym, zawiera bowiem nie tylko informacje, które zgodnie z Kodeksem pracy może przetwarzać potencjalny pracodawca. W związku z tym konieczne jest umieszczenie w CV klauzuli RODO.
Jak brzmi klauzula RODO do CV w 2021 roku? Jej treść to: „Wyrażam zgodę na przetwarzanie moich danych osobowych dla potrzeb niezbędnych do realizacji procesu rekrutacji (zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO))”. Dodatkowo można także zawrzeć nazwę firmy, której udzielane jest zezwolenie na przetwarzanie danych osobowych.
Źródła:
1. Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. 2. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych Dz. U. 2018 poz. 1000, 3. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Dz. U. 1997 nr 133 poz. 883.
Źródło: TVN24 Biznes
Źródło zdjęcia głównego: Shutterstock