Podstawy przetwarzania danych osobowych

Elementarz RODO
1. Co to są dane osobowe?
2. Przetwarzanie danych osobowych w rozumieniu RODO
3. Kiedy musisz stosować RODO?
4. ADO, czyli administrator danych osobowych
5. Podstawy przetwarzania danych osobowych
6. Zgoda na przetwarzanie danych osobowych
7. Dokumentacja wymagana przez RODO
8. Prawnie uzasadnione interesy realizowane przez administratora
9. Przetwarzanie danych osobowych w celach marketingowych
10. Przetwarzanie wrażliwych danych osobowych
11. Obowiązek informacyjny administratora danych osobowych
12. Inspektor ochrony danych osobowcyh
13. Powierzenie przetwarzania danych osobowych
  1. Co to są dane osobowe?
  2. Przetwarzanie danych osobowych w rozumieniu RODO
  3. Kiedy musisz stosować RODO?
  4. ADO, czyli administrator danych osobowych
  5. Podstawy przetwarzania danych osobowych
  6. Zgoda na przetwarzanie danych osobowych
  7. Dokumentacja wymagana przez RODO
  8. Prawnie uzasadnione interesy realizowane przez administratora
  9. Przetwarzanie danych osobowych w celach marketingowych
  10. Przetwarzanie wrażliwych danych osobowych
  11. Obowiązek informacyjny administratora danych osobowych
  12. Inspektor ochrony danych osobowcyh
  13. Powierzenie przetwarzania danych osobowych

Administrator nie może przetwarzać danych osobowych według swojego uznania. Aby było to możliwe musi istnieć podstawa prawna. Ustalenie tego należy do jednej z pierwszych czynności, jakie powinien podjąć przedsiębiorca mając do czynienia z danymi osobowymi. Poniżej przygotowałem krótkie omówienie podstaw prawnych i sytuacji, w których można przetwarzać dane osobowe.

Art. 6 ust. 1 RODO[1]Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) przewiduje sześć sytuacji, w których przetwarzanie danych osobowych jest zgodne z prawem. Jest to zamknięty katalog i każdy administrator, zanim zacznie przeprowadzać jakiekolwiek operacje na danych, powinien upewnić się, że nastąpiła przynajmniej jedna z następujących sytuacji wskazanych w tym przepisie, tj.:

  1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Zgoda na przetwarzanie danych osobowych

Jedną z najczęstszych podstaw przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą. W wielu formularzach w internecie można znaleźć check-boxy właśnie do wyrażenia takiej zgody. Administratorzy, podchodząc bardzo ostrożnie do kwestii danych osobowych, uzyskują zgody, nawet kiedy nie jest to konieczne, bo istnieje inna podstawa przetwarzania danych osobowych. Nie jest to błąd – lepiej mieć dwie podstawy przetwarzania niż żadnej. Dlatego pamiętaj – jeżeli nie jesteś pewny czy możesz zgodnie z prawem przetwarzać dane osobowe, poproś osobę, które dane dotyczą, o wyrażenie zgody na ich przetwarzanie. Wtedy taka zgoda (o ile została udzielona prawidłowo) stanie się podstawą do przetwarzania.

Przetwarzanie niezbędne do wykonania umowy

Kolejną podstawą prawną przetwarzania danych osobowych jest przetwarzanie niezbędne do wykonania umowy. Jeżeli zawierasz umowę ze swoim kontrahentem, który jest osobą fizyczną, nie musisz prosić go o wyrażenie zgody na przetwarzanie jego danych osobowych w celu wykonania umowy. Samo zawarcie i wykonywanie umowy, będzie stanowiło wystarczającą podstawę prawną. Co więcej, będzie tak nawet, jeżeli nie dojdzie do zawarcia umowy. Art. 6 ust. 1 p. b) RODO stanowi bowiem, że przetwarzanie danych osobowych jest zgodne z prawem także w przypadku podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (np. w trakcie prowadzenia negocjacji), i to nawet jeżeli umowa nie zostanie zawarta.

Wypełnienie obowiązku ciążącego na administratorze

Przepisy prawa nakładają na przedsiębiorców wiele obowiązków. Część z nich wiąże się z koniecznością przetwarzania danych osobowych. W takiej sytuacji administrator również nie musi uzyskiwać zgody na przetwarzanie. Samo wykonanie obowiązku nałożonego na niego przez przepisy prawa, będzie stanowiło wystarczającą podstawę. W przypadku przedsiębiorców nie są to jednak częste sytuacja, ale czasami się zdarzają. Jako przykład można wskazać udostępnianie przez zakłady lecznicze inspektorom sanitarnym danych osobowych przedstawicieli dzieci podlegających szczepieniom obowiązkowym na podstawie art. 17 ust. 8 pkt 2 ustawy o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi. Przetwarzanie danych w celu wypełnienia obowiązku prawnego jest jednak zdecydowanie powszechniejsze w przypadku podmiotów publicznych.

Ochrona żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej

Z tą podstawą przetwarzania danych osobowych w swojej praktyce spotykam się bardzo rzadko. Być może jest to związane z tym, że nie jest do końca jasne co należy rozumieć przez „ochronę żywotnych interesów”. Z tego względu, przedsiębiorcy raczej starają się uzyskiwać zgody na przetwarzanie danych osobowych niż ryzykując opieranie się na tej podstawie prawnej przetwarzania. Podobnie jak w przypadku obowiązku ciążącego na administratorze, jest to bardziej domena podmiotów publicznych.

Wykonanie zadania realizowanego w interesie publicznym

Ta podstawa również ma przede wszystkim zastosowanie w przypadku podmiotów publicznych. Przetwarzanie danych osobowych przez przedsiębiorców w ramach sprawowania powierzonej im władzy publicznej, zdarza się niezmiernie rzadko.

Cele wynikające z prawnie uzasadnionych interesów realizowanych przez administratora

Ostatnią podstawą przetwarzania danych osobowych wynikającą z RODO jest przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Ponieważ w RODO nie ma nigdzie definicji prawnie uzasadnionego interesu administratora, temat ten jest bardzo szeroki i delikatny. Administratorzy często wykazują się dużą kreatywnością i próbują opierać przetwarzanie danych osobowych właśnie na ich uzasadnionym interesie. Nie zawsze jest to prawidłowe. Co więcej, przy ocenie możliwości przetwarzania danych na tej podstawie, należy dokonać porównania interesów administratora z interesami osób, których dane dotyczą. Zgodnie z art. 6 ust. 1 p. f) RODO, danych nie można przetwarzać do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora, jeśli nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Kwestia ta jest często pomijana przy przeprowadzanej przez administratorów ocenie podstaw przetwarzania. Jako przykład przetwarzania danych osobowych na podstawie art. 6 ust. 1 p. f) RODO można wskazać przetwarzanie danych w celach marketingowych lub w celu przeprowadzenia konkursu. Nie ma tutaj co prawda zgody w doktrynie – jest sporo głosów podnoszących, że przy tego typu aktywności należy uzyskać zgodę na przetwarzane. Wszystko zależy od szczegółów danego przypadku, ale w mojej ocenie zdarzają się sytuację, kiedy przeprowadzanie aktywności marketingowych (w tym organizacja konkursów) mogą być uznane za realizację prawnie uzasadnionych interesów administratora.

W razie wątpliwości, najlepiej uzyskać zgodę

Jeżeli tylko masz jakikolwiek wątpliwości, czy Twoja firma może przetwarzać dane osobowe na innej podstawie niż zgoda (np. nie jesteś pewny w danym przypadku realizujesz swój prawnie uzasadniony interes), lepiej uzyskaj zgodę. Takie rozwiązanie jest najbezpieczniejsze. Zgoda, jeżeli została udzielona prawidłowo, sama w sobie stanowi podstawę przetwarzania. Nie ma żadnych negatywnych konsekwencji za uzyskanie zgody na przetwarzanie, w sytuacji, w której dane mogły być przetwarzane na innej podstawie. Jeżeli jednak zdecydujesz się na inną podstawę przetwarzania niż zgoda i okaże się, że źle oceniłeś sytuację – będziesz przetwarzał dane bez żadnej podstawy prawnej. A to stanowi poważne naruszenie RODO i wiąże się z ryzykiem nałożenia kary.

Przypisy

Przypisy
1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Tomasz Korolko

Partner

Podobne posty

28 marca 2023

Inspektor ochrony danych osobowcyh

RODO przewiduje funkcję inspektora ochrony danych, którego administrator w określonych sytuacjach powinien powołać. Wyjaśniam kiedy jest to obowiązkowe oraz kogo i jak powołać na to stanowisko, a także jakie stoją przed nim zadania.

Czytaj więcej
Back To Top