Rodzaje danych osobowych oraz podstawy prawne ich przetwarzania

W poprzednich artykułach dowiedziałeś się o:

  1. obowiązujących przepisach w zakresie ochrony danych osobowych,

  2. podstawowych pojęciach związanych z ochroną danych osobowych,

  3. statusie prawnym Inspektora Ochrony Danych.

W niniejszym artykule wracamy do kwestii teoretycznych, które jednak w praktyce mają ogromne znacznie dla zgodnego z prawem przetwarzania danych osobowych – przedmiotem materiału będą podstawy prawne, które uprawniają do przetwarzania danych. Trzeba mieć na względzie, że przetwarzanie danych osobowych przy braku posiadania podstawy prawnej stanowi istotne naruszenie przepisów RODO.

  1. Rodzaje danych osobowych

Na wstępie musisz wiedzieć, że RODO rozróżnia zasadniczo dwie kategorie podstaw prawnych uprawniających do przetwarzania danych – podstawy odnoszące się to tzw. „zwyczajnych danych osobowych” oraz „szczególnych kategorii danych”, które pod rządami poprzednio obowiązującej ustawy o ochronie danych osobowych określane były jako „dane wrażliwe”. Pojęcie danych wrażliwych mimo, że aktualnie nie jest całkowicie poprawne, pozostało w użyciu.

  • Dane osobowe zwyczajne to wszelkie dane, które możemy uznać za dane osobowe, a jednocześnie nie są danymi szczególnych kategorii.

    O tym kiedy mamy do czynienia z danymi osobowymi, możesz przeczytać w artykule nr 2.

  • Dane osobowe szczególnych kategorii to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne (wykorzystywane w celu jednoznacznego zidentyfikowania osoby fizycznej) lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby.

    Są to zatem dane, które rzeczywiście mogą być „wrażliwe” w tym sensie, że mogą one stanowić sferę intymną lub prywatną osób, którą osoby te szczególnie nie chcą się dzielić z innymi osobami lub podmiotami. Takimi danymi są też dane „dotyczące zdrowia”.

    Przez dane dotyczące zdrowia należy rozumieć dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie zdrowia osoby (definicja zawarta w art. 4 pkt 15 RODO). Zatem takimi danymi osobowymi z pewnością będzie część danych zgromadzonych w dokumentacji medycznej pacjenta.

  1. Podstawy prawne przetwarzania zwyczajnych danych osobowych

Przepis art. 6 RODO wskazuje, że przetwarzanie danych jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

  1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.

    Ważne jest aby zgoda była wyraźna i określała cel jakiemu służy, a w przypadku gdyby dane miały być przetwarzane w wielu celach, należałoby odebrać oddzielne zgody dla każdego z odrębnych celów, tak aby osoba mogła wyrazić bądź odmówić zgody oddzielnie dla każdego z celów. Zgoda może być wyrażona w dowolnej formie, zatem również można wnioskować o niej z zachowania danej osoby. Natomiast w praktyce, dla celów dowodowych, zgoda najczęściej przybiera formę pisemną lub elektroniczną.

    Odbieranie zgody bywa nadużywane w sytuacjach gdy takiej potrzeby nie ma, gdyż istnieją inne podstawy prawne umożliwiające przetwarzanie danych. Uważam, że zgoda powinna być rozpatrywana jako ostateczna podstawa do przetwarzania danych osobowych.

    Przykładem z życia placówki fizjoterapeutycznej, w której wymagane jest odebranie zgody na przetwarzanie danych, jest sytuacji gdy placówka chce przesyłać na adres e-mail, numer telefonu lub nawet adres fizyczny osoby informacje o charakterze marketingowym np. informacje o promocjach czy też placówkach powiązanych.

    Zwracam uwagę, że nie jest poprawna sytuacja, gdy zbierane są zgody „na wszelki wypadek”, gdyż może to wywołać u osoby nieprawdziwe przekonanie, że jeżeli cofnie zgodę to jej dane nie będą dalej przetwarzane. Tymczasem w takich sytuacjach, w przypadku cofnięcia zgody, administrator często spostrzega, że nie może przestać przetwarzać tych danych (bo np. przepisy prawa wymagają aby je gromadził). Sytuacja jest problematyczna, bo z jednej strony należy spełnić żądanie osoby, a z drugiej wyjaśnić jej, że dotychczas wskazywana podstawa (zgoda) nie była prawidłowa i dane nadal będą przetwarzane tylko, że w oparciu o inną podstawę prawną.

    Zgoda stanowi także jedną z podstaw do przetwarzania danych szczególnych.

  1. Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

    Jest to podstawa, która często znajduje zastosowanie. Jeżeli potrzebujesz jakiś danych aby wykonać umowę, to nie powinieneś w tym zakresie odbierać zgody na przetwarzanie tych danych. Przykładem mogą być dane identyfikujące kontrahenta, adres do doręczeń, numer telefonu do kontaktu.

    Zwracam uwagę, że na podstawie tej przesłanki można przetwarzać także dane jeszcze przed zawarciem umowy, gdy są one niezbędne do podjęcia działań zmierzających do zawarcia umowy. Pamiętaj jednak, że gdyby ostatecznie do zawarcia umowy nie doszło to dane powinny być usunięte, o ile nie będzie istniała inna podstawa uprawniająca do ich przetwarzania (np. uzasadniony interes wynikający z zabezpieczenia danych do obrony przed roszczeniami).

  1. Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

    Jeżeli przepisy prawne nakazują zbieranie i przetwarzania pewnych danych, to na tej podstawie można (i w praktyce trzeba) przetwarzać dane. Podobna przesłanka występuje w kontekście danych szczególnych kategorii i będzie mieć kluczowe znaczenie dla przetwarzania danych medycznych.

  1. Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

    Z perspektywy działalności fizjoterapeutycznej mało znacząca podstawa prawna przetwarzania danych.

  1. Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

    Z perspektywy działalności fizjoterapeutycznej mało znacząca podstawa prawna przetwarzania danych.

  1. Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, za wyjątkiem sytuacji opisanych w art. 6 ust. 1 lit f) RODO).

    Podstawa ta jest często stosowana, gdy nie istnieje umowna podstawa prawna do przetwarzania danych (pkt 2 powyżej), a interes prawny administratora wymaga przetwarzania danych. Przy czym interes musi być na tyle uzasadniony, że pozwala przyjąć, że w tym zakresie nie jest zasadne odbieranie zgody na przetwarzanie danych osobowych (która może nie być udzielona, a w przypadku jej udzielenia może być cofnięta).

    Aby ustalić czy można oprzeć się o tę podstawę konieczne jest przeprowadzenie tzw. testu proporcjonalności, który polega na wyważeniu z jednej strony interesu administratora, a z drugiej interesów i praw osób, których dane są przetwarzane.

    Zatem z prawnego punktu widzenia, cała sztuka polega na tym, żeby skorzystać z tej podstawy gdy tylko jest to możliwe, a z drugiej strony nie nadużyć jej w sytuacji nieuprawnionej.

    Przykładem sytuacji gdy w oparciu o tę podstawę przetwarza się dane osobowe jest sytuacja gdy placówka fizjoterapeutyczna wyposażona jest w monitoring. Wizerunek osób pojawiających się w placówce stanowi dane osobowe. Interes placówki przejawia się jednak w ochronie swojego mienia oraz bezpieczeństwa w placówce. Placówka nie zbiera w tym zakresie zgód na przetwarzanie danych osobowych od osób pojawiających się w placówce. Wystarczające w tym zakresie jest umieszczenie informacji o tym, iż obiekt jest monitorowany oraz spełnienie obowiązku informacyjnego.

Powyższa lista zawiera katalog zamknięty podstaw przetwarzania co oznacza, że w przypadku braku zaistnienia którejkolwiek, nie istnieje prawna możliwość przetwarzania danych osobowych. Nie dotyczy to jednak danych osobowych szczególnych kategorii, które mają swoje osobne podstawy prawne przetwarzania.

W kolejnym artykule poznasz podstawy prawne uprawniające do przetwarzania danych szczególnych kategorii. Przedstawię także konkretne przykłady z działalności fizjoterapeutycznej ze wskazaniem, jaka podstawa prawna może znaleźć do nich zastosowanie.

autor: radca prawny Mateusz Nowak
strona firmowa: www.radcaprawnyit.pl
adres e-mail: mateusznowak@radcaprawnyit.pl

Archiwum