Cel przetwarzania danych osobowych zgodny z prawem

Artykuł 5 Rozporządzenia o Ochronie Danych Osobowych (RODO) określa zasady, według których dane osobowe mogą być przetwarzane. Jedna z nich stanowi, że dane poufne mogą być zbierane oraz przetwarzane wyłącznie w konkretnych oraz uzasadnionych przepisami prawa celach (art. 5 pkt 1b). Jakie cele są zatem uznawane przez unijną regulację za legalne przesłanki pozwalające na przetwarzanie danych osobowych?

Cel przetwarzania danych osobowych zgodny z prawem

Rafał Stępniewski

22 marca 2018

Artykuł 5 Rozporządzenia o Ochronie Danych Osobowych (RODO) określa zasady, według których dane osobowe mogą być przetwarzane. Jedna z nich stanowi, że dane poufne mogą być zbierane oraz przetwarzane wyłącznie w konkretnych oraz uzasadnionych przepisami prawa celach (art. 5 pkt 1b). Jakie cele są zatem uznawane przez unijną regulację za legalne przesłanki pozwalające na przetwarzanie danych osobowych?

 

Kiedy przetwarzanie danych osobowych jest zgodne z prawem

Unijne rozporządzenie określa 6 warunków, kiedy to proces przetwarzania danych osobowych może zostać uznany za zgodny z prawem. Przesłanki te wymienione są w artykule 6 RODO.

Zgoda

Po pierwsze, dane osobowe można legalnie przetwarzać, kiedy osoba, której dane dotyczą świadomie wyraziła zgodę na rozpoczęcie czynności przetwarzania. Zgoda taka powinna być odebrana we właściwy sposób, zgodnie z przepisami unijnymi (RODO) oraz obowiązującą w Polsce ustawą o ochronie danych osobowych (UODO). Zanim jednak administrator poprosi o zgodą, powinien rozważyć inne przesłanki legalności, ponieważ nie powinien on zbierać zgód wtedy, kiedy nie ma takiej potrzeby. Ryzykuje bowiem wówczas zarzut, iż wymusił zgodę od osoby, której dane dotyczą.

Realizacja umowy

Kolejną przesłanką jest konieczność przetwarzania danych osobowych w celu wywiązania się z warunków określonych w umowie, jeśli osoba, której dane dotyczą jest w tej umowie jedną ze stron. Sytuacja taka występuje np. w sklepie internetowym, podczas zawierania umowy sprzedaży. Właściciel sklepu, w celu wywiązania się z jej postanowień (wysyłki towaru) musi przetwarzać dane osobowe klienta — jego imię, nazwisko, adres, numer telefonu czy adres e-mail.

Przesłanka ta może zostać uznana za prawnie usprawiedliwiony cel dopiero po zawarciu umowy. Zaistnieć jednak może również sytuacja, kiedy to dane osobowe jednej ze stron muszą zostać przetworzone przed zawarciem umowy — np. kiedy są one konieczne do jej przygotowania i przedstawienia klientowi lub kontrahentowi w celu ostatecznej finalizacji. Warto jednak pamiętać, że działanie takie można podjąć wyłącznie w przypadku, kiedy osoba, której dane dotyczą wyrazi chęć zawarcia umowy.

Wypełnienie obowiązku prawnego

Usprawiedliwiony cel przetwarzania danych osobowych może być również oparty na obowiązujących przepisach. Może to być np. konieczność udostępnienia danych osobowych funkcjonariuszowi policji na podstawie przepisów znajdujących się w ustawie o Policji (art. 14, ust. 5). Z kolei jeśli w ustawie znajduje się przepis stwierdzający, że podmiot jest jedynie uprawniony do pozyskania danych osobowych — nie można wówczas oprzeć celu przetwarzania danych na przesłance spełnienia obowiązku prawnego.

Ochrona żywotnych interesów

Termin “żywotne interesy” przytoczony w RODO oznacza istotne interesy z punktu widzenia życia lub zdrowia osoby, której dane dotyczą. Są to zatem przypadki występowania klęsk żywiołowych, epidemii, katastrof czy innych sytuacji, w których zagrożone jest życie danej osoby. Wtedy wyłączony zostaje obowiązek uzyskania zgody na przetwarzanie danych osobowych, choć jedynie czasowo — do momentu, w którym pozyskanie świadomego oświadczenia woli będzie już możliwe.

Zadania realizowane w interesie publicznym

Inną przesłanką, które pozwala na legalne przetwarzanie danych osobowych jest konieczność zrealizowania zadań wykonywanych w ramach interesu publicznego. Przykładem może być tutaj np. wypłata świadczeń rodzinnych. Administratorem danych osobowych osób korzystających z tego rodzaju wsparcia będą np. organy gminne, które zajmują się wypłatą środków pieniężnych lub inne organy administracji rządowej. Administratorami mogą też być podmioty prywatne, które wykonują zadania w ramach realizacji interesu publicznego — powinno to jednak zostać dokładnie określone w przepisach prawa.

Prawnie uzasadniony interes administratora danych

Przetwarzanie danych osobowych jest zgodne z prawem również wtedy, kiedy przesłanką stojącą za wykonywaniem tych czynności jest tak zwany “prawnie uzasadniony interes”, który realizowany jest przez administratora.

Przykładem celu w takim przypadku będzie zatem — wymieniony w RODO — marketing bezpośredni własnych produktów czy usług, dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej czy zapewnienie bezpieczeństwa (poprzez monitoring instalowany w siedzibie administratora). Innymi przesłankami może też być przekazywanie danych osobowych innym grupom przedsiębiorstw w ramach administracji wewnętrznej, zapobieganie oszustwom, przeciwdziałanie nieuprawnionemu dostępowi do sieci oraz zgłaszanie odpowiednim organom potencjalnych przestępstw.

Uwaga: marketing bezpośredni nie wymaga zgody, o ile nie ograniczają go inne przepisy prawa – np. Ustawa o świadczeniu usług drogą elektroniczną (mailng), Prawo telekomunikacyjne (telemarketing).

Dane wrażliwe

RODO określa też zakres danych osobowych, które nie mogą być przetwarzane — nazywane są one szczególnymi kategoriami danych osobowych. Zaliczają się do nich informacje ujawniające pochodzenie rasowe lub etniczne, przekonania religijne i polityczne, dane genetyczne, biometryczne lub dotyczące orientacji seksualnej. Wszystkie kategorie zostały wymienione w artykule 9, punkcie 1 RODO.

Ustawodawca jednak pozwala na przetwarzanie wyżej wspomnianych danych wrażliwych, pod warunkiem spełnienia również określonych w RODO wyjątków. M.in. w sytuacjach kiedy administrator ma wyraźną zgodę na przetwarzanie tych danych, przetwarzanie jest wymagane w celu zapewnienia profilaktyki zdrowotnej lub niezbędne w celach archiwalnych, naukowych i statystycznych. Wszystkie wyjątki znajdują się w artykule 9, punkcie 2 RODO.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawny dla firm
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!