Dzisiejszy artykuł jest poświęcony temu, jakie są podstawy przetwarzania danych osobowych. Abyśmy mogli mówić, że przetwarzanie danych osobowych jest zgodne z prawem, musi być spełniony co najmniej jeden warunek:
a) osoba, której dane dotyczą musi wcześniej wyrazić zgodę na przetwarzanie jej danych. Zgoda ta nie może być ogólna. Musi wskazywać cel lub cele, dla których realizacji jej dane są przetwarzane.
Ponieważ bardzo często podstawą przetwarzania danych jest zgoda danej osoby, a jednocześnie jest to podstawa odrębna, nieuzasadniona innymi okolicznościami (wynikającymi z prawa czy umowy), w RODO poświęcono jej najwięcej miejsca. Dlatego też postanowiłam omówić ją w osobnym artykule.
b) przetwarzanie musi być niezbędne do zawarcia i wykonania umowy (kiedy jedną ze stron jest osoba, której dane dotyczą) lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Zatem, jeśli np. przygotowujemy ofertę dla danej osoby, na jej życzenie, przed zawarciem umowy i z określonych powodów chcemy ją spersonalizować, to jak najbardziej przetwarzanie danych w tym zakresie znajdzie swoją podstawę w art. 6 ust. 1 lit. b RODO;
c) przetwarzanie musi być niezbędne do wypełnienia prawnego obowiązku ciążącego na administratorze. Obowiązek ten powinien wynikać z polskiego lub unijnego prawa, jednakże nie musi być tak, że dla każdego indywidualnego przetwarzania musi istnieć szczegółowy przepis prawny. Wręcz przeciwnie jedno uregulowanie prawne może stanowić podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator. Prawo powinno określać jednakże cel przetwarzania;
d) przetwarzanie jest niezbędne do ochrony interesów osoby, której dane dotyczą, a które są istotne dla jej życia lub dla życia innej osoby fizycznej. Ze względu na brak zgody tej osoby, brak obowiązku prawnego czy związania umową, podstawa ta powinna być wykorzystywana „w ostateczności”, czyli wyłącznie w przypadkach, gdy ewidentnie przetwarzania danych nie da się oprzeć na innej podstawie prawnej, która zapewniłaby lepszą ochronę i kontrolę danej osoby nad przetwarzaniem jej danych. Dlatego też RODO, aby jeszcze bardziej podkreślić wyjątkowość tej podstawy podaje przykłady sytuacji, w której tę podstawę (i podstawę ważnego interesu publicznego) można zastosować. Może to być np. sytuacja, gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Musi to wynikać z polskiego lub unijnego prawa i służyć realizacji celu leżącego w interesie publicznym. Ponadto przetwarzanie musi być proporcjonalne do tego celu. Tak jak w przypadku obowiązku prawnego, tu również nie musi istnieć szczegółowy przepis prawny dla każdego indywidualnego przetwarzania. Może się zdarzyć (i zdarza), że dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania, gdy przetwarzanie to jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej. Oczywiście prawo powinno określać także sam cel przetwarzania.
Organy publiczne, którym ujawnia się dane osobowe (organy podatkowe, celne, finansowe jednostki analityki finansowej, niezależne organy administracyjne czy organy rynków finansowych regulujące i nadzorujące rynki papierów wartościowych), nie powinny być traktowane jako odbiorcy, jeżeli dane są im niezbędne do przeprowadzenia określonego postępowania. Jeśli organy te żądają ujawnienia danych osobowych, powinny o to wystąpić na piśmie. Jeżeli natomiast chodzi o zasadność, to żądanie powinno być uzasadnione, mieć charakter wyjątkowy, nie powinno dotyczyć całego zbioru danych ani prowadzić do połączenia zbiorów danych.
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony jej danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Warto wiedzieć, że na tę podstawę nie mogą powoływać się organy publiczne w ramach realizacji swoich zadań.
Prawnie uzasadniony interes może istnieć np. gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem. Dla przykładu, gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie jej danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora.
Prawnie uzasadnionym interesem administratora, którego sprawa dotyczy, jest na pewno przetwarzanie danych bezwzględnie niezbędnych do zapobiegania oszustwom. Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego. Zatem działania windykacyjne i często marketingowe znajdą swoją podstawę w art. 6 ust. 1 lit. f RODO.
Takim interesem będzie także wskazanie przez administratora ewentualnych czynów zabronionych czy zagrożeń dla bezpieczeństwa publicznego oraz przesłanie odpowiednich danych osobowych właściwemu organowi. Jednak takie przesłanie danych lub dalsze przetwarzanie powinno być zabronione, jeżeli jest niezgodne z prawnym, zawodowym lub innym wiążącym obowiązkiem zachowania tajemnicy.
Zmiana celu przetwarzania danych osobowych
Może się zdarzyć, że „odpadnie” pierwotny cel przetwarzania, w sytuacji, gdy przetwarzanie nie odbywa się na podstawie zgody osoby ani prawa. W tej sytuacji administrator, aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane, powinien wziąć pod uwagę między innymi:
a) wszelkie związki między pierwotnymi celami, a celami zamierzonego dalszego przetwarzania;
b) kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem; należy rozważyć przesłanki pozwalające osobom, których dane dotyczą, oczekiwać dalszego wykorzystania ich danych;
c) charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych lub dane dotyczące wyroków skazujących i naruszeń prawa;
d) ewentualne konsekwencje dalszego przetwarzania dla osób, których dane dotyczą;
e) istnienie odpowiednich zabezpieczeń (dla celu pierwotnego przetwarzania oraz dalszego), w tym ewentualnie szyfrowanie lub pseudonimizację.
Przetwarzanie danych osobowych do celów innych niż cele, w których dane te zostały pierwotnie zebrane, powinno być zatem dozwolone wyłącznie w przypadkach, gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie zebrane. W takim przypadku nie jest wymagana inna podstawa prawna.
Z RODO wprost wynika, że dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do badań naukowych, historycznych lub statystycznych powinno być uznawane za operacje przetwarzania zgodne z prawem i z pierwotnymi celami. Podstawa prawna przetwarzania danych osobowych przewidziana prawem może być również podstawą prawną dalszego przetwarzania.
Jeżeli natomiast osoba, której dane dotyczą, wyraziła zgodę lub jeżeli przetwarzanie ma za podstawę prawo, administrator powinien móc dokonać dalszego przetwarzania danych osobowych, bez względu na jego zgodność z pierwotnymi celami. Należy jednak zapewnić stosowanie zasad przewidzianych w RODO, w szczególności poinformować osobę, której dane dotyczą, o tych innych celach oraz o jej prawach, w tym prawie do sprzeciwu.
Podstawa prawna: art. 6 oraz motywy 44-47 i 50 RODO