(+ 48) 22 463 47 70

Artykuł

Podstawy przetwarzania danych osobowych i RODO. Czy coś się zmienia?

Podstawy przetwarzania danych osobowych i RODO. Czy coś się zmienia?

Wejście w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej “RODO”, coraz bliżej. W dzisiejszym artykule sprawdzamy czy w nowym stanie prawnym zmienią się sytuacje, w których przetwarzanie danych osobowych jest dopuszczalne.

Podstawy przetwarzania danych w ustawie o ochronie danych osobowych

Przypomnijmy, że zgodnie z art. 23 ustawy o ochronie danych osobowych, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

  1. osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;
  2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
  3. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
  4. jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
  5. jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Podstawy przetwarzania danych w RODO

Już na pierwszy rzut oka widać że w RODO katalog sytuacji, w których można przetwarzać dane osobowe, zwiększył się – zgodnie z art. 6 ust. 1 RODO, przetwarzanie danych jest zgodne z prawem w sześciu przypadkach (o jeden więcej niż w obecnym stanie prawnym):

  1. gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
  2. gdy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  3. gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  4. gdy przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  5. gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  6. gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Co się zmienia?

Poza drobnymi zmianami redakcyjnymi, przede wszystkim należy wskazać:

  • zniknie przesłanka przetwarzania danych osobowych w celu zrealizowania uprawnienia wynikającego z przepisu prawa,
  • pojawi się nowa przesłanka – gdy przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
  • możliwość przetwarzania danych osobowych w prawnie usprawiedliwionych celach administratora zostanie nieco ograniczona.

Ochrona żywotnych interesów

Szczególnie ciekawie prezentuje się zupełnie nowa przesłanka przetwarzania danych osobowych – gdy jest to niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej. Co unijny ustawodawca miał na myśli? Ciężko jednoznacznie stwierdzić. Praktyka orzecznicza pokaże jak to sformułowanie będzie interpretowane. Na ten moment można jednak pokusić się o stwierdzenie, że chodzi o ochronę takich dóbr, jak zdrowie i życie.

Weryfikacja podstaw przetwarzania danych

Choć zmiany w zakresie podstaw przetwarzania danych osobowych nie wydają się duże, warto przed wejściem w życie RODO dokonać weryfikacji podstaw, na których opiera się przetwarzanie danych osobowych w twojej firmie. Dzięki temu zyskasz pewność, że po 25 maja 2018 r. twoje działania nadal będą zgodne z prawem.

Tomasz Korolko
radca prawny