Kiedy przetwarzanie danych osobowych jest czynnością o czysto osobistym lub domowym charakterze?

Działalność czysto osobista lub domowa, to taka działalność, która pozostaje bez związku z działalnością zawodową lub handlową. Działalność osobista lub domowa może między innymi polegać na korespondencji i przechowywaniu adresów, podtrzymywaniu więzi społecznych oraz związanej z tymi czynnościami działalności internetowej.
Przetwarzanie danych w ramach portali społecznościowych przez ich użytkowników mieści się w pojęciu czynności o czysto osobistym lub domowym charakterze z wyjątkiem takich sytuacji, kiedy w wyniku przetwarzania dostęp do tych danych uzyskują inne osoby, niż kontakty samodzielnie wybrane przez użytkownika.
Wyłączenie stosowania rozporządzenia nie dotyczy bowiem takich przypadków przetwarzania danych osobowych przez osoby fizyczne, które polegają na opublikowaniu tych danych w taki sposób, że staną się one dostępne dla nieograniczonej liczby osób (wyrok Trybunału Sprawiedliwości z dnia 6 listopada 2003 r., C-101/01). Jeśli przetwarzanie danych rozciąga się choćby częściowo na przestrzeń publiczną i tym samym jest skierowane poza sferę prywatną osoby dokonującej przetwarzania danych, to takie przetwarzanie nie powinno być rozumiane jako czynność o czysto osobistym lub domowym charakterze (wyrok Trybunału Sprawiedliwości z dnia 11 grudnia 2012 r., C-212/13).

Czy administratorzy portali społecznościowych podlegają RODO?

RODO ma zastosowanie do administratorów lub podmiotów przetwarzających, którzy udostępniają środki przetwarzania danych osobowych na potrzeby takiej działalności osobistej lub domowej.

W jakich przypadkach przetwarzanie danych osobowych według RODO jest zgodne z prawem bez udzielenia zgody przez podmiot danych?

Wtedy, gdy przetwarzanie danych osobowych jest niezbędne do:

• wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy
• wypełnienia obowiązku prawnego ciążącego na Administratorze
• ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej
• wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi
• celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią – finansowych, gospodarczych lub faktycznych (z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem)

Definicja „zgody” na przetwarzaniem danych osobowych według RODO

Zgoda podmiotu danych osobowych na przetwarzanie tych danych musi być:

• dobrowolna (osoba ma rzeczywisty wybór, może zgody odmówić, może zgodę wycofać w każdym czasie)
• konkretna (musi określać w sposób zrozumiały, wyraźny i precyzyjny cel albo cele, zakres danych oraz zakres przetwarzania)
• świadoma (do uzyskania świadomej zgody Administrator musi wykonać obowiązek wynikający z zasady rzetelności i przejrzystości przetwarzania danych osobowych)
• jednoznaczna (aktywna, wyrażona poprzez ustne, elektroniczne, pisemne oświadczenie lub wyraźne działanie potwierdzające, nie może być domniemana lub dorozumiana z oświadczenia innej treści)

Jeżeli przetwarzanie odbywa się na podstawie zgody, Administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

Wybór formy uzyskiwania zgody należy do Administratora, który powinien kierować się tym, że ma obowiązek wykazać fakt uzyskania zgody.

Zapytanie o zgodę lub oświadczenie o zgodzie powinno być sformułowane samodzielnie i odseparowane od innych czynności.

Zgoda osoby, której dane dotyczą, musi mieć charakter uprzedni w stosunku do przetwarzania jej danych.

Jeżeli przetwarzanie danych osobowych odbywa się na podstawie zgody uzyskanej przed dniem 25 maja 2018 r., to osoba, której dane dotyczą nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom RODO. Administrator będzie miał obowiązek wykazać, że zgoda wcześniej uzyskana jest zgodna z RODO.

Kiedy przetwarzanie danych osobowych jest rzetelne i przejrzyste według RODO?

Administrator danych osobowych musi zadbać o prawidłową komunikację z podmiotem danych (w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem) na każdym etapie ich przetwarzania poprzez wypełnianie obowiązków informacyjnych w zakresie:

• tożsamości Administratora, jego danych kontaktowych
• kategorii danych
• podstawy prawnej przetwarzania danych
• celu przetwarzania danych
• okresu przetwarzania danych
• odbiorców lub kategorii odbiorców
• praw podmiotu danych, w tym prawa do wycofania zgody
• profilowania
• transferów danych

Na czym polega rozliczalność przetwarzania danych osobowych według RODO?

Administrator danych osobowych ma obowiązek wdrożyć taki system ochrony danych, który będzie:

• gwarantował przetwarzane danych zgodnie z zadami przetwarzania danych według RODO
• zapewniał wykazanie przez Administratora, że w procesie przetwarzania danych osobowych przestrzega on zasad przetwarzania wynikających z RODO.

Ciężar oceny zagrożeń oraz doboru odpowiednich zabezpieczeń i wykazania przetwarzania danych w zgodzie z RODO spoczywa na Administratorze danych osobowych!!!

Sprostanie tym obowiązkom wymaga:

• wdrożenia środków (w tym wewnętrznych procedur, odpowiednich systemów) gwarantujących przestrzeganie przepisów o ochronie danych osobowych
• sporządzenia odpowiedniej dokumentacji związanej z procesami przetwarzania danych, która wskaże, jakie środki podjęto, aby zapewnić przestrzeganie przepisów o ochronie danych osobowych
• okresowego weryfikowania skuteczności wdrożonych środków i uaktualniania przyjętych założeń i zastosowanych rozwiązań

Do obowiązków dokumentacyjnych według RODO należą:

• prowadzenie przez Administratora rejestru czynności przetwarzania (przez procesora – rejestru kategorii czynności przetwarzania)
• prowadzenie polityk ochrony danych, gdy Administrator uzna to za proporcjonalne
• zawiadamianie osób, których dane dotyczą, o naruszeniu ochrony danych
• prowadzenie dokumentacji oceny skutków dla ochrony danych
• prowadzenie dokumentacji uprzednich konsultacji z organem nadzorczym
• prowadzenie dokumentacji transferowej

Na czym polega integralność i poufność przetwarzania danych osobowych według RODO?

Dane osobowe mogą być przetwarzane wyłącznie w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Administrator danych osobowych ma obowiązek:

• samodzielnie ocenić związane z przetwarzaniem danych ryzyko dla praw i wolności podmiotów przetwarzania danych
• zapewnić stopień bezpieczeństwa danych odpowiadający temu ryzyku (dobrać odpowiednie do stopnia ryzyka konkretne środki i zakres zabezpieczeń)

Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Na czym polega bezpieczeństwo przetwarzania danych osobowych według RODO?

Administrator i podmiot przetwarzający mają obowiązek wdrażać odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, przy uwzględnieniu stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, w tym m.in. w stosownym przypadku poprzez:

• pseudonimizację i szyfrowanie danych osobowych
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania

Administrator oraz podmiot przetwarzający mają obowiązek podejmować działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora.

Ciężar oceny zagrożeń oraz doboru odpowiednich zabezpieczeń spoczywa na Administratorze danych osobowych!!!