RODO i dane osobowe
Prowadząc biuro rachunkowe na co dzień masz do czynienia z przetwarzaniem informacji o różnych osobach i podmiotach. Mogą one dotyczyć Twoich pracowników, współpracowników, klientów czy kontrahentów. Nie wszystkie informację jednak są danymi osobowymi chronionymi przez RODO. Rozporządzenie unijne zabezpiecza bowiem jedynie te dane, które służą do zidentyfikowania osoby fizycznej. Postaram się zatem wyjaśnić kiedy będziesz miał do czynienia z danymi osobowymi.
RODO zagościło w Polskim porządku prawnym już w 2018 roku, mimo to w dalszym ciągu wielu przedsiębiorców, w tym również biura rachunkowe, przetwarzają dane osobowe swoich klientów i pracowników bez zrozumienia istoty tego, co tak naprawdę europejski ustawodawca nakazał chronić. Wrzucanie klauzul dotyczących ochrony danych do każdej możliwej umowy czy oświadczenia nie jest dobrym sposobem na spełnienie swojego obowiązku. Aby jednak móc wdrożyć właściwe rozwiązania w swoim biurze, lub też je odpowiednio zmodyfikować, powinieneś wiedzieć jak właściwie rozpoznawać dane osobowe.
Jak RODO definiuje dane osobowe?
Pomimo tego, że całe rozporządzenie dokładnie i wyczerpująco zajmuje się ochroną i przetwarzaniem danych osobowych, to sama definicja danych osobowych nie jest już taka obszerna i drobiazgowa. Przepis 4 ust. 1 RODO wskazuje jedynie, że ,,dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Osoba fizyczna możliwa do zidentyfikowania to taka, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Pojęcie „danych osobowych” jest tak rozległe i nie zawsze oczywiste, że trudno byłoby skonstruować szczegółową definicję o charakterze generalnym. Ustawodawca nie zdecydował się również na określenie zamkniętego katalogu, wskazując jedynie przykłady informacji, które w odniesieniu do osób fizycznych są ich danymi osobowymi. Oznacza to, że za daną osobową można uznać każdą informację o danej osobie fizycznej, jeśli na jej podstawie istnieje możliwość jej jednoznacznego zidentyfikowania.
W związku z niejednoznacznym rozumieniem danych osobowych w doktrynie pojawiło się stanowisko, zgodnie z którym podmioty przetwarzające powinny traktować wszystkie przetwarzane informacje jako dane osobowe, jeżeli nie mogą z całkowitą pewnością wykluczyć ich osobowego charakteru. Oznacza to, że dla prawidłowego stosowania przepisów RODO, w sytuacji niepewności powinieneś przyjąć domniemanie istnienia danych osobowych.
W jaki sposób powinieneś chronić dane osobowe w Twoim biurze? Możesz przeczytać o tym w naszym artykule RODO dla księgowych i biur rachunkowych.
Jakie elementy świadczą o danej osobowej?
Rozporządzenie unijne nie zawiera zamkniętego katalogu informacji, które należy uznawać za dane osobowe. Jak zatem masz wiedzieć kiedy stosować przepisy RODO? Ustawodawca wskazał na przesłanki, które spełnione łącznie wskazują, iż mamy do czynienia z informacją podlegającą ochronie.
Po pierwsze, dana musi być informacją. Informację rozumiemy jako niematerialne dobro określające właściwość pewnych obiektów oraz relację między elementami zbiorów pewnych obiektów, której istotą jest zmniejszanie niepewności. Informacja może zostać wyrażona w dowolny sposób, poprzez tekst pisany, komunikat ustny czy też zwrot przekazany w formie elektronicznej. Dane osobowe najczęściej utrwalane są w formie słownej, np. imię i nazwisko, numerycznej, np. PESEL, NIP, nr dowodu osobistego lub biometrycznej, np. odcisk palca, skan twarzy.
Po drugie, taka informacja musi dotyczyć osoby fizycznej. Błędem jest stosowanie klauzul RODO w umowach zawieranych między osobami prawnymi czy jednostkami organizacyjnymi nieposiadającymi osobowości prawnej.
Po trzecie natomiast informacja musi pozwalać na jednoznaczne zidentyfikowanie osoby, której dotyczy. Informacja, aby mogła identyfikować osobę nie musi być zrozumiała dla każdego. W orzecznictwie nie budzi wątpliwości, że danymi osobowymi są również informacje, które zostały w trakcie przetwarzania zaszyfrowane, poddane tokenizacji albo zapisane w nietypowym formacie pliku.
W jaki sposób powinieneś sprawdzać dane osobowe?
Rozporządzenie nakłada na Ciebie, jako administratora danych, obowiązek, abyś wszelkie zapisane w nim zasady stosował do każdej informacji, która pozwala Ci na zidentyfikowanie określonej osoby fizycznej. Skąd jednak masz wiedzieć, czy konkretna dana pozwoli Ci na jednoznaczną identyfikację?
Z pomocą przychodzi preambuła RODO. Zgodnie z motywem 26, aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, powinieneś brać pod uwagę wszelkie rozsądnie prawdopodobne sposoby, w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Z kolei aby stwierdzić czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, musisz wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebny do jej zidentyfikowania oraz uwzględnić technologię dostępną w momencie przetwarzania danych oraz przypuszczalny postęp technologiczny.
Nie musisz zatem stosować zasad RODO do informacji anonimowych, tj. danych, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie da się – przy normalnych środkach i przy wykorzystaniu ogólnodostępnych narzędzi – zidentyfikować lub już nie można zidentyfikować. Jeśli masz do czynienia z danymi, które teoretycznie mogłyby prowadzić do identyfikacji osoby, jednak wymagałoby to posiadania ponadprzeciętnej wiedzy lub profesjonalnych umiejętności „szpiegowskich”, nie musisz się martwić. Zapisy rozporządzenia Cię nie dotyczą.
Dane osobowe wyłączone spod RODO
Wiesz już jakie informacje stanowią dane osobowe oraz w jaki sposób je rozpoznawać. Niekiedy jednak określone dane, mimo iż spełniają przesłanki wymagane przez RODO, tracą walor danych osobowych. Ustawodawca unijny uznał, że przepisy rozporządzenia nie będą miały zastosowania do danych osobowych przetwarzanych:
- w ramach działalności nieobjętej zakresem prawa Unii Europejskiej;
- przez państwa członkowskie w ramach wykonywania wspólnej polityki zagranicznej i bezpieczeństwa;
- przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom;
- przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze – chodzi tu o działalności o charakterze czysto osobistym lub domowym, czyli bez związku z działalnością zawodową lub gospodarczą. Przepisy rozporządzenia nie są stosowane do czynności związanych m.in. z dokonywaniem operacji na książkach adresowych znajdujących się w notatnikach czy komputerowych programach pocztowych oraz w telefonach komórkowych. Działalność osobista lub domowa polega w szczególności na korespondencji i przechowywaniu adresów, podtrzymywaniu więzi społecznych oraz działalności internetowej podejmowanej w ramach takiej działalności.
Co z przedsiębiorcami?
Kwestię przedsiębiorców będących osobami prawnymi, np. spółek prawa handlowego, załatwia motyw 14 RODO. Wskazuje on, że ochrona powinna mieć zastosowanie do osób fizycznych w związku z przetwarzaniem ich danych osobowych, niezależnie od ich obywatelstwa czy miejsca zamieszkania. Przepisy rozporządzenia nie obejmują natomiast przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.
Musisz przy tym pamiętać, że informacje o osobie prawnej są czym innym, niż dane osób fizycznych funkcjonujących w obrębie osoby prawnej. Tak jak nazwa spółki czy adres jej siedziby nie znajduje się pod ochroną przepisów RODO, tak już imię, nazwisko czy PESEL prezesa zarządu tej spółki są danymi osobowymi chronionymi rozporządzeniem.
Obsługując zatem spółkę z o.o. czy spółkę akcyjną nie musisz się martwić danymi ściśle dotyczącymi tego podmiotu, jak jej nazwą, siedzibą, numerem telefonu czy adresem email. Powinieneś jednak zadbać, aby dane osób fizycznych, które są w spółce zatrudnione zostały właściwie zabezpieczone. Dla przykładu zagubienie listy płac pracowników obsługiwanego przez Twoje biuro rachunkowe przedsiębiorstwa będzie oznaczało wyciek danych w rozumieniu RODO. W takim wypadku Twoim obowiązkiem jest zgłosić to do odpowiednich organów oraz poinformować osoby „pokrzywdzone”.
Większy problem powstaje przy danych osób fizycznych prowadzących działalność gospodarczą. Co bowiem zrobić z osobami fizycznymi prowadzącymi jednoosobowe firmy, których dane są udostępniane za pośrednictwem CEIDG? Stanowisko mniejszościowe wskazuje, iż za wyłączeniem zastosowania RODO do danych osobowych osób fizycznych prowadzących działalność gospodarczą przemawia ratio legis motywu 14 rozporządzenia, którym jest wyłączenie zastosowania jego przepisów wobec danych osobowych wykorzystywanych szeroko do oznaczenia przedsiębiorców.
Powyższy pogląd nie jest jednak potwierdzony przez orzecznictwo. To bowiem stoi po drugiej stronie, zgodnie stwierdzając, iż RODO znajduje w całości zastosowanie do przetwarzania danych osobowych dotyczących osób fizycznych prowadzących działalność gospodarczą. Na gruncie rozporządzenia nie istnieją bowiem żadne podstawy do wyodrębniania danych osobowych osób fizycznych prowadzących działalność gospodarczą od osób fizycznych, które takiej działalności nie prowadzą. Za takim rozumieniem omawianych przepisów przemawia również brak użycia przez ustawodawcę unijnego zwrotu „przedsiębiorca”, a posługiwanie się wyłącznie określeniami „osoba prawna”, „podmiot gospodarczy” oraz „przedsiębiorstwo”. Opierając się zatem na wyrokach sądów możemy śmiało stwierdzić, że osoby fizyczne prowadzące jednoosobowe działalności gospodarcze są chronione omawianym rozporządzeniem. Dla Ciebie oznacza to, że ujawnienie nieuprawnionym podmiotom imienia i nazwiska, adresu siedziby czy telefonu do klienta, który prowadzi JDG będzie oznaczało naruszenie danych osobowych.