Najczęstsze pytania o dane osobowe i RODO

Czy RODO obowiązuje wszystkich przedsiębiorców?

Tego typu pytanie pada niezwykle często na naszych szkoleniach. W tym wypadku odpowiadamy pytaniem na pytanie, tj. czy obowiązuje Państwa kodeks cywilny, kodeks pracy, czy kodeks wykroczeń? Wtedy bez zastanowienia uzyskujemy odpowiedź „tak”. A zatem RODO, podobnie jak wskazane ustawy, także obowiązuje wszystkich przedsiębiorców, bowiem każdy przedsiębiorca przetwarza dane osobowe w zakresie wykonywanej przez siebie działalności gospodarczej.

Czy dane o stanie zdrowia to także informacje o nałogach, np. uzależnieniu od nikotyny, upodobaniach kulinarnych, czy też stanie psychicznym człowieka?

Zgodnie z RODO dane o stanie zdrowia to dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia, a zatem do tej grupy danych będą się także zaliczać informacje o nałogach, czy też diecie, na której przebywa konkretna osoba.

Jakie dane mogą ode mnie pobrać organizatorzy konkursów?

W pierwszym etapie konkursu, gdy zgłaszają się poszczególni uczestnicy, dozwolone jest zbieranie przez organizatorów tylko podstawowych danych czyli imienia, nazwiska, adresu e-mail, numeru telefonu. Daty urodzenia można żądać jedynie wówczas, gdy udział w konkursie lub loterii zależy od wieku uczestnika. Takie dane są wystarczające aby móc skontaktować się z osobą biorącą udział w konkursie. Dopiero w kolejnych etapach konkursu, kiedy zostanie już wyłoniony zwycięzca, organizatorzy mogą wymagać podania szerszej grupy i wówczas może to być adres zamieszkania a w przypadku nagród pieniężnych numer rachunku bankowego. Natomiast żądanie podania danych takich jak numer i seria dowodu osobistego jest nieuzasadnione.

Podania jakich danych – w czasie rekrutacji – mogą zażądać od rodziców/opiekunów placówki szkolne i przedszkola?

Rodzice lub opiekunowie wypełniając kartę dziecka, podają zazwyczaj takie podstawowe dane, jak imię, nazwisko, adres zamieszkania, czy data urodzenia dziecka. Jednakże w niektórych placówkach wymaga się dodatkowo podania takich danych jak informacja o miejscach pracy rodziców, czy wykonywanym zawodzie. Wymaganie od rodziców podania takich danych uznaje się za zbyteczne i nieadekwatne w stosunku do celów, w jakich są one przetwarzane, tzn. nawiązania szybkiego kontaktu z rodzicem w nagłych przypadkach. Placówka oświatowa dysponuje bowiem informacjami w wystarczającym zakresie, tj. numerem telefonu do każdego z rodziców. Z kolei w przypadku nieprzyjęcia dziecka do przedszkola lub szkoły w danym roku szkolnym brak jest uzasadnienia dla przechowywania danych osobowych dotyczących takiego dziecka oraz jego rodziców/opiekunów prawnych zawartych w karcie zgłoszenia dziecka w nieokreślonym czasie. Kontynuacja przetwarzania tych danych przez cały okres roku szkolnego, którego rekrutacja dotyczy, można uznać za usprawiedliwione tylko w związku z możliwością przeprowadzenia rekrutacji uzupełniającej bądź możliwością złożenia przez rodzica/opiekuna prawnego odwołania związanego z rekrutacją.

Kiedy uzasadnione jest żądanie podania danych biometrycznych?

Pobieranie i następnie przetwarzanie danych biometrycznych co do zasady jest nieuprawione. W szczególności dotyczy to nierzadko spotykanych praktyk w niektórych firmach czy nawet szkołach, gdzie na odcisk palca możliwe jest wejście na teren firmy a następnie identyfikacja pracownika.

W wystąpieniu z dnia 21 stycznia 2010 r. Generalny Inspektor wskazał, że dane biometryczne określonej osoby, niewątpliwie można uznać za dane osobowe. Pozwalają one bowiem na ustalenie tożsamości osoby w sposób pewny. Z racji ich wyłącznej przynależności do konkretnej osoby, dane te stanowią swego rodzaju „identyfikator”.

Opinia Grupy Roboczej art. 29

Analizując przypadek, GIODO odwołał się do opinii Grupy Roboczej Art. 29, przyjętej w dniu 1 sierpnia 2003 r. pod nazwą „Dokument Roboczy w sprawie biometrii” (12168/02/FR GT 80). Jak wskazano w opinii „(…) szybki rozwój technologii biometrycznych, jak i coraz powszechniejsze ich stosowanie w ostatnich latach, wymagają uważnej analizy z punktu widzenia ochrony danych. Powszechne i niekontrolowane posługiwanie się biometrią wzbudza niepokój z punktu widzenia ochrony wolności i fundamentalnych praw człowieka. (…) Szczególne zaniepokojenie związane z danymi biometrycznymi wzbudza ryzyko zmniejszenia wrażliwości ludzi – spowodowane coraz większą powszechnością używania tych danych – na konsekwencje, jakie przetwarzanie ich danych może mieć w życiu codziennym. Dane biometryczne zawsze powinny być uważane za „dane dotyczące osoby fizycznej”, ponieważ odnoszą się do danych ze swej natury dotyczących określonej osoby”.

Naruszenie zasady adekwatności

Mając na uwadze powyższe, organ ds. ochrony danych osobowych uznał, że pozyskiwanie odcisków palców, w celu ich identyfikacji w związku z wprowadzeniem systemu dokonującego na ich podstawie kontroli dostępu do budynku (np. szkoły), narusza zasadę adekwatności przetwarzania danych, o której mowa w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Na podstawie powyższego stanowiska oraz w toku prowadzonej korespondencji dyrektor szkoły zobowiązała się do usunięcia systemu przetwarzającego dane biometryczne uczniów i nauczycieli.