Według ogólnego rozporządzenia o ochronie danych osobowych, dalej rozporządzenia RODO – „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Ta definicja bez wątpienia jest bardzo szeroka, gdyż według niej danymi osobowymi są nie tylko imiona, nazwiska, adresy czy numery telefonów ale również wszystkie inne informacje, na podstawie których można zidentyfikować osobę fizyczną.
Aby zbieranie danych było zgodne z rozporządzeniem RODO, procedura musi spełniać kilka warunków. Po pierwsze, zgodnie z artykułem 5 rozporządzenia RODO, dane osobowe muszą być przetwarzane zgodnie z prawem, zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, adekwatne oraz ograniczone do tego, co jest niezbędne dla celu, w jakim są przetwarzane. Powinny być także prawidłowe i w razie potrzeby uaktualniane.
Czy zawsze jest potrzebna zgoda?
Zgodnie z artykułem 6 rozporządzenia RODO przetwarzanie jest zgodne z prawem gdy spełniony jest co najmniej jeden z poniższych warunków:
– osoba, której dane dotyczą wyraziła zgodę na przetwarzanie danych;
– przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą;
– przetwarzanie jest niezbędne do wykonania obowiązku prawnego ciążącego na administratorze, ochrony żywotnych interesów osoby, której dane dotyczą, do wykonania zadania realizowanego w interesie publicznym a także gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią.
Widać więc wyraźnie, że istnieje dość szeroki katalog przypadków, w których zbieranie i przetwarzanie danych osobowych nie wymaga zgody.
Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że została ona udzielona.
Należy również pamiętać o tym, że rozporządzenie RODO wprowadza pojęcie szczególnej kategorii danych osobowych. Jeżeli dane dotyczą pochodzenia rasowego, etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych, danych genetycznych lub biometrycznych, ich przetwarzanie z zasady jest zabronione. Jednak również tutaj istnieje dość dużo wyjątków, spośród których najważniejszym z nich jest wyrażenie zgody przez osobę, której dane dotyczą.
RODO określa prawa osób, których dane dotyczą
Najważniejsze prawa, które przysługują osobom, których dotyczą zbierane i przetwarzane dane osobowe są określone w artykule 13 rozporządzenia RODO. Zgodnie z przepisami administrator podczas pozyskiwania danych musi podać swoją tożsamość i dane kontaktowe, dane kontaktowe Inspektora ochrony danych, cele przetwarzania danych osobowych oraz podstawę prawną ich przetwarzania. W celu zapewnienia rzetelności i przejrzystości przetwarzania, administrator powinien poinformować również o okresie, przez który dane osobowe będą przechowywane, o prawie do żądania od administratora dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania lub wniesienia sprzeciwu wobec przetwarzania a także informacje o prawie do cofnięcia zgody i prawie wniesienia skargi do organu nadzorczego.
Należy pamiętać, że osobom których dane dotyczą, ich prawa przysługują również wówczas, gdy zbieranie i przetwarzanie danych nie wymaga ich zgody.