Poniższy artykuł odpowiada na pytania:
- Czym jest „przetwarzanie” danych osobowych?
- Kto może przetwarzać „dane osobowe”?
Od 25 maja 2018 r. obowiązuje Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). Zgodnie z dyspozycją art. 4 pkt 1 RODO „dane osobowe” są to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Pisaliśmy o tym w artykule:
RODO 2018: Dane osobowe oraz ich przetwarzanie (1) – https://lexagit.pl/rodo-2018-dane-osobowe-oraz-przetwarzanie-1/
Czym jest zbiór danych osobowych
W art. 4 pkt 6 rozporządzenia RODO ustawodawca unijny podaje, że „zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
Przykładowe zbiory danych:
- baza pracowników stałych w firmie,
- baza pracowników zatrudnianych tymczasowo w firmie,
- baza pacjentów placówki medycznej „X”,
- baza pacjentów oczekujących na operację zaćmy w klinice „Y”,
- baza klientów sklepu internetowego,
- baza subskrybentów newslettera,
- baza klientów firmy handlowej,
- baza czytelników biblioteki.
„Przetwarzanie” danych osobowych, czym jest
„Przetwarzanie” danych osobowych oznacza czynności wykonywane na danych osobowych. Należy do nich m.in.:
- zbieranie danych osobowych pisemnie lub elektronicznie np. poprzez formularz zawieranej umowy w sklepie internetowym,
- przechowywanie w utworzonej w tym celu bazie,
- usuwanie np. niszczenie danych lub ich modyfikowanie,
- porządkowanie np. tworzenie nowych baz,
- opracowywanie poprzez prowadzenie badań statystycznych,
- udostępnianie podwykonawcom (art. 4 pkt 2 RODO).
Przetwarzanie może się odbywać w systemie informatycznym lub tradycyjnie np. w segregatorach. „Posługiwanie się kategorią czynności przetwarzania wymaga szerokiego spojrzenia na przetwarzane dane osobowe w organizacji, na przykład poprzez kategorie podmiotów danych, których dane przetwarzamy albo celów, dla których je przetwarzamy. Kształtując rejestr na podstawie kategorii podmiotów danych, można wyróżnić np. pracowników i klientów. Następnym krokiem jest określenie czynności przetwarzania danych w danej kategorii. W kategorii pracowników mogą to być czynności przetwarzania dotyczące np.: zatrudniania, wypłaty wynagrodzenia, organizacji wyjazdów służbowych, ubezpieczenia społecznego, ubezpieczenia chorobowego” – wyjaśnia Ministerstwo Cyfryzacji w wydanym Informatorze. [2]
Kim są „administrator danych osobowych” i „podmiot przetwarzający”
Za prawidłowe przetwarzanie danych osobowych odpowiedzialny jest „administrator” i „podmiot przetwarzający”.
Art. 4 pkt 7 RODO definiuje „administratora” danych osobowych jako „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych”.
W rozumieniu niniejszego zapisu „administratorem” danych osobowych jest:
- przedsiębiorca zarejestrowany w CEIDG,
- spółka prawa handlowego,
- żłobek, przedszkole, i szkoła,
- wyższa uczelnia,
- placówka oświatowa (np.biblioteka),
- podmiot leczniczy (np. przychodnia, szpital),
- fundacja i stowarzyszenie,
- organ publiczny (np. urząd).
Co istotne, administratorem danych osobowych w spółce prawa handlowego „ (-) jest sama spółka prawa handlowego, nie zaś jej organy, osoby zasiadające w organach tej spółki lub pełniące w niej funkcje kierownicze” . [1]
„Administrator” może samodzielnie zbierać i przetwarzać dane osobowe albo powierzyć je „podmiotowi przetwarzającemu”. „Podmiotem przetwarzającym” w RODO będzie osoba fizyczna lub prawną, organ publiczny, jednostka lub inny podmiot, która przetwarza dane osobowe w imieniu administratora (art. 4 pkt 8 RODO). Działa on na podstawie umowy powierzenia zawartej z administratorem danych „w której określone zostaną zasady przetwarzania danych. W danej organizacji, dane osobowe faktycznie przetwarzają konkretne osoby fizyczne – pracownicy lub współpracownicy administratora lub podmiotu przetwarzającego dane. Takie osoby powinny posiadać upoważnienie do przetwarzania danych osobowych”. [3] Przykładowym podmiotem przetwarzającym będzie outsourcing kadrowo – płacowy, księgowości, usług prawnych, usług informatycznych, usług szkoleniowych.
W trzeciej części artykułu zostanie omówione zagadnienie kiedy i na jakich zasadach dane osobowe mogą być przetwarzane .
Źródło:
- Przewodnik po RODO dla małych i średnich przedsiębiorców, Ministerstwo Przedsiębiorczości i Technologii, Warszawa 2018
- RODO Informator, Ministerstwo Cyfryzacji, Warszawa 2018
Objaśnienie:
[1] GIODO: Odpowiedzi na pytania: Czy administratorem danych w spółce prawa handlowego jest ta spółka, czy też są to jej organy, osoby zasiadające w organach tej spółki czy też osoby pełniące funkcje kierownicze w spółce? – https://giodo.gov.pl/317/id_art/1580/j/pl (dostęp w dniu 13 czerwca 2018 r.)
[2] RODO Informator, Ministerstwo Cyfryzacji, Warszawa 2018, str. 4 https://www.gov.pl/documents/31305/436699/RODO.pdf/9b7e519b-0d5c-1ef8-4caf-02f8d247aa1d (dostęp w dniu 13 czerwca 2018 r.)
[3] Litwiński P. , Przewodnik po RODO dla małych i średnich przedsiębiorców, Ministerstwo Przedsiębiorczości i Technologii, Warszawa 2018, str. 9 http://www.mpit.gov.pl/strony/aktualnosci/przewodnik-po-rodo-dla-msp/, (dostęp w dniu 13 czerwca 2018 r.)
Stan prawny na 13 czerwca 2018 roku
Wanda Książek – współpracownik Portalu
Zapraszamy do kontaktu z Kancelarią, jeśli artykuł ten Państwa zainteresował lub potrzebują Państwo więcej informacji.
https://digiartia.com/product/legal-power-law-firm-html-template/
https://digiartia.com/product/justitia-multiskin-lawyer-legal-wordpress-theme/