Ochrona danych osobowych prawnik

RODO kancelaria

Chcesz wdrożyć RODO w swojej organizacji? Możemy Ci pomóc!

Prawnik RODO, kancelaria RODO to skuteczna ochrona danych osobowych zadzwoń teraz 536 007 001

Kancelaria Lazer & Hudziak to prawnicy z wieloletnim doświadczeniem w zakresie ochrony danych osobowych. Świadczymy szeroki zakres usług prawnych dotyczących RODO i rozumiemy Twoje potrzeby.

Pamiętaj niezależnie od tego, w jaki sposób prowadzisz swoją działalność, zawsze będziesz miał do czynienia z przetwarzaniem danych osobowych, a to wymaga od Ciebie wdrożenia określonych procedur i działania zgodnego z RODO.

  • Chcesz pozbyć się obaw i rozwiązać problemy, z którymi dotychczas się borykałeś? Skorzystać ze sprawdzonych rozwiązań i wzorców kancelarii ds. ochrony danych osobowych?
  • A może zapewnić sobie outsourcing IOD lub zaudytować zgodność z wymogami prawnymi? Zapraszamy do współpracy!
  • RODO to prawdziwe prawo w działaniu. Nie wystarczy znajomość przepisów, aby poradzić sobie w praktyce. Nie wystarczy znajomość praktyki, aby poradzić sobie z przepisami. Konieczne jest osiągnięcie równowagi pomiędzy jednym a drugim.
  • Kancelaria Lazer & Hudziak oferuje pomoc w przygotowywaniu systemów przetwarzania i ochrony danych osobowych, a także w zapewnieniu ich zgodności z obowiązującymi regulacji prawnymi w tym zakresie. Radca prawny przygotuje wszelkie niezbędne dokumenty wymagane przez obowiązujące przepisy, a także świadczy kompleksowe doradztwo w zakresie ochrony danych osobowych.

RODO – ochrona danych osobowych prawnik

Prawnicy z kancelarii Lazer & Hudziak oferują doradztwo prawne w zakresie środków służących ochronie danych osobowych, bezpieczeństwa danych osobowych w Internecie oraz prawnych możliwości wykorzystania danych osobowych w działalności gospodarczej, w szczególności w zakresie działalności marketingowej i reklamowej (akcje promocyjne, programy lojalnościowe).

Na życzenie klienta kancelaria prawna Lazer & Hudziak przeprowadza szkolenia i konsultacje dla pracowników w zakresie bezpieczeństwa danych osobowych oraz audyt w zakresie zgodności działalności klienta z przepisami dotyczącymi ochrony danych osobowych. Potrzebujesz konsultacji w zakresie RODO – skontaktuj się z radcą prawnym.

    Porozmawiajmy lazer hudziak kontakt

    Potrzebujesz porady lub pomocy prawnej?
    Zadzwonimy w 15 minut!



    Pamiętaj, że w zgodzie z obowiązującymi przepisami musisz m.in.:

    • Przeprowadzić analitykę ryzyka przetwarzania
      danych osobowych
    • Wdrożyć odpowiednie procedury 
      i móc wykazać ich stosowanie np. w przypadku kontroli ze strony Urzędu Ochrony Danych Osobowych
    • Przestrzegać praw osób, których dane dotyczą    

    Jak współpracujemy?

    • Zebramy informacje – zanim przystąpimy do pracy zbieramy wszystkie konieczne informacje do przygotowania dokumentacji oraz wdrożenia procedur informacje.
    • Przygotowanie dokumentacji – dokumentację tworzymy w taki sposób, aby pozostawała zgodna z prawem ale jednocześnie, aby do maksimum zabezpieczała Twoje interesy.
    • Konsultujemy – nad dokumentacją pracujemy do czasu Twojego pełnego zadowolenia, na tym etapie dopracowujemy ostateczną treść dokumentów, jednocześnie dbamy o to, aby każde zagadnienie było dla Ciebie zrozumiałe.

    Co zyskujesz korzystając z naszych kancelarii Lazer & Hudziak

    • Dostęp do wiedzy korzystasz z doświadczenia prawników kancelarii Lazer & Hudziak, których specjalizacją od blisko 10 lat jest ochrona danych osobowych.
    • Praktyczne, a nie teoretyczne podejście do Twojej działalnościprzeprowadziliśmy blisko 300 wdrożeń procedur związanych z ochroną danych osobowych; w tym tej dotyczącej  przepisów sprzed wejścia w życie RODO, jak i obecnie obowiązującej.
    • Dokumenty szyte na miarę nie pracujemy na szablonach! Wszystkie dokumenty przygotowujemy indywidualnie, w pełni dostosowując je do specyfiki Twojego biznesu.
    • Kompleksowe uregulowanie wszelkich zagadnień prawnych dotyczących ochrony danych osobowych otrzymujesz od nas gotowe do zaimplementowania w swojej firmie procedury i dokumenty. Na żadnym etapie współpracy nie zostawiamy Cię bez pomocy – nie musisz się obawiać, że przygotowane dokumenty będziesz musiał zmieniać we własnym zakresie. 
    • Bezpieczeństwobierzemy pełną odpowiedzialność za przygotowaną dokumentację. 
      Pamiętaj, że nie spełniając wymagań RODO narażasz się na kary administracyjne,  które mogą sięgać nawet 20 000 000 Euro. 

    Nasze wynagrodzenie

    Nasze wynagrodzenie uzależnione jest od ilości pracy jaką musimy włożyć w dany projekt. Na koszt sporządzanej przez nas dokumentacji ma wpływ kilka czynników m.in.:  

    • zakres przetwarzanych danych osobowych,
    • świadczone przez Twoją Firmę usługi,
    • oferowane funkcjonalności w przypadku świadczenia usług on-line,
    • charakter podmiotów z którymi współpracujesz (B2C/B2B),
    • sposób przetwarzania danych osobowych,
    • ilość pracowników

    Możemy zagwarantować, że zanim przystąpimy do jakiejkolwiek pracy, przygotujemy dla Ciebie propozycję współpracy z konkretną ceną za cały projekt, zakresem naszej pomocy oraz terminem realizacji. Dzięki temu nie będziesz musiał się obawiać, że warunki współpracy zmienią się w trakcie jej trwania. 

    Czym jest RODO i w jakim celu zostało wprowadzone

    Czym jest RODO – wyjaśnia nasz radca prawny Małgorzata Hudziak. RODO to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

    Zgodnie z motywem 3 Preambuły celem RODO jest zharmonizowanie ochrony podstawowych praw i wolności osób fizycznych w związku z czynnościami przetwarzania oraz zapewnienie swobodnego przepływu danych osobowych między państwami członkowskimi.

    Rozporządzenie zostało przyjęte 27 kwietnia 2016. Zgodnie z art. 99 ust. 1 RODO niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej. Natomiast zgodnie z ust. 2 tego artykułu, jest ono stosowane od 25 maja 2018 r., co oznacza, że po dwuletnim okresie przejściowym, zaczęło obowiązywać od 25 maja 2018 r.

    Dlaczego rozporządzenie, a nie dyrektywa?

    Rozporządzenia UE są stosowane bezpośrednio, bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego. Zostało to także podkreślone w przepisach RODO – niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. Wobec tego polski ustawodawca nie musi wprowadzać ustawy dostosowującej polski porządek prawny do przepisów RODO. Natomiast RODO zostawia w wielu miejscach krajowym ustawodawcom pewną swobodę w odmiennym uregulowaniu pewnych kwestii.

    Inne akty prawne z zakresu ochrony danych osobowych

    RODO zastąpiło dyrektywę 95/46/WE. Jeżeli chodzi o polski porządek prawny to uchylona została ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz została uchwalona ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Ustawa ta weszła w życie 25 maja 2018 r.

    Organ właściwy w sprawie ochrony danych osobowych

    Na gruncie dotychczasowej ustawy o ochronie danych osobowych organem właściwym w sprawie ochrony danych osobowych był Generalny Inspektor Ochrony Danych Osobowych. Natomiast nowa ustawa ustanowiła nowy organ – Prezesa Urzędu Ochrony Danych Osobowych.

    Jak interpretować RODO

    RODO obowiązuje od niedługiego czasu. Dotychczas brak jest bogatego orzecznictwa w tej materii, a także decyzji Prezesa Urzędu Ochrony Danych Osobowych. Wobec tego, w wielu sytuacjach, szczególnie w tych, co do których wątpliwości powstały już na gruncie starej ustawy i nie zostały rozwiane przez RODO, należy posługiwać się dotychczasowi interpretacjami GIODO. Prawnicy kancelarii Lazer & Hudziak wskazuje, że warto także uwzględnić motywy wskazane w Preambule do RODO oraz pracach poszczególnych grup roboczych, które tworzyły przepisy RODO.

    Zmiany wprowadzone przez RODO

    RODO zmienia wiele istotnych kwestii związanych z ochroną danych osobowych. Zmiany te nie są rewolucyjne, jednak należy im się przyjrzeć i dostosować prowadzenie swojej działalności do jego przepisów.

    Kary finansowe

    Z punktu widzenia przedsiębiorców najważniejsze jest to, że RODO wprowadza bardzo dotkliwe kary finansowe za brak wdrożenia i przestrzegania nowych przepisów dotyczących ochrony danych osobowych. Przedsiębiorcy mogą zostać ukarani karą finansową od 10 do 20 mln euro lub od 2% do 4% wartości rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która wartość jest wyższa. Za naruszenie przepisów o ochronie danych osobowych odpowiadać będzie bezpośrednio szef firmy. Odpowiada on zarówno przed urzędem kontroli, jak i przed sądami powszechnymi. Nie może przenieść tej odpowiedzialności na innych pracowników.

    Inspektor danych osobowych

    Zadania dotychczasowego administratora danych osobowych przejmuje w znacznej mierze nowy podmiot – Inspektor Ochrony Danych. RODO określa w jakich sytuacjach powołanie IOD jest wymagane.

    Analiza ryzyka wg RODO

    Wyrażone w rozporządzeniu podejście oparte na ryzyku (ang. risk based approach) określa sposób, w jaki należy podchodzić do przetwarzania danych – w każdej sytuacji, kiedy zbierane i wykorzystywane są dane osobowe, konieczne jest analizowanie ryzyka, jakie może to spowodować dla prywatności osób, których te dane dotyczą. Zatem podmioty przetwarzające dane osobowe będą zmuszone dokonać analizy ryzyka, która wiąże się z tym procesem. Wyniki takiej analizy, administrator danych powinien uwzględnić przy dostosowaniu prowadzonej przez siebie działalności do przepisów RODO.

    Nowa dokumentacja wg RODO

    Na gruncie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych istniał obowiązek rejestracji zbiorów danych osobowych do GIODO. Administratorzy danych tworzyli także polityki bezpieczeństwa i instrukcję zarządzania system informatycznym. Na tym zwykle kończyła się ochrona danych osobowych w danej organizacji.

    Jednym z najważniejszych obowiązków, które RODO nakłada na podmioty przetwarzające dane osobowe, jest prowadzenie rejestru naruszeń. Inspektor Ochrony Danych jest zobligowany do rejestrowania wszelkich naruszeń ochrony danych osobowych, w tym także okoliczności naruszenia ochrony danych osobowych, jak też jego skutki oraz podjęte działania zaradcze. RODO wymaga również prowadzenia wewnętrznego rejestru czynności przetwarzania danych, zawierającego m.in.: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, rejestry naruszeń, osoby odpowiedzialne za poszczególne procesy przetwarzania i wiele innych. Dodatkowo niezbędne będzie zawarcie umów z procesorami, czyli podmiotami przetwarzającemu dane osobowe na zlecenie innych podmiotów.

    Dostosowanie działalności do przepisów RODO

    RODO wymaga podjęcia wielu działań, mających na celu dostosowanie do nowych przepisów Przykładem mogą być m.in. oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych lub klauzule informacyjne. Nowe klauzule informacyjne powinny obejmować znacznie więcej informacji – np. podstawę prawną przetwarzania, dane kontaktowe do IOD, okres przechowywania danych, prawa przysługujące osobie, której dane dotyczą. Zasada rozliczalności to na podmiocie przetwarzającym dane osobowe ciąży obowiązek wykazania, że przetwarza dane osobowe zgodnie z prawem (zasada rozliczalności). W tym celu niezbędne będzie stworzenie odpowiednich procedur postępowania – polityk prywatności i bezpieczeństwa, a także regularnego ich testowania i aktualizowania.

    Przystosowanie działania podmiotów przetwarzających dane osobowe jest procesem bardzo trudnym i czasochłonnym. Jest to szczególnie kłopotliwe z tego powodu, że przepisy RODO nie przewidują gotowych rozwiązań, a to na tym podmiocie ciąży obowiązek wykazania, że przetwarza dane osobowe w sposób prawidłowy. W razie niemożności wykazania tych okoliczności, może on zostać ukarany bardzo dotkliwą karą pieniężną.

    Nowe uprawnienie osób, których dane dotyczą

    RODO przyznaje osobom, których przetwarzanie danych osobowych dotyczy, nowe uprawnienie jakim jest prawo do przenoszenia danych. Warto dodać, że prawo do bycia zapomnianym to po prostu znane już na gruncie ustawy o ochronie danych osobowych prawo do usunięcia danych.

    Czym są dane osobowe wg RODO

    art. 4 pkt 1 RODO zawiera definicję danych osobowych. Zgodnie z tym przepisem – jak wyjaśnia prawnik – dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numeru identyfikacyjnego, danych o lokalizacji, identyfikatora internetowego lub jednego bądź kilku szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

    Dane osobowe wg RODO a dane osobowe wg ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz dyrektywy 95/46/WE

    Pojęcie danych w ustawie o ochronie danych osobowych występowało w art. 6, który stanowił, że za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przy czym za osobę możliwą do zidentyfikowania uznawano osobę, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Jednakże informacji nie uważało się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Na pierwszy rzut oka widać, że RODO rozszerza pojęcie danych osobowych. Podobna konkluzja dotyczy stosunku tego pojęcia w RODO i w art. 2 lit. a dyrektywy 95/46/WE. Ponadto, znacznie rozszerzono katalog przykładów danych osobowych, w szczególności w odniesieniu do danych elektronicznych – dane o lokalizacji, identyfikator internetowy.

    Prawnicy kancelarii Lazer & Hudziak wyjaśniają przesłanki kwalifikujące dane osobowe

    Za dane osobowe mogą zostać uznane wszelkie informacje, jeżeli:

    • dotyczą osoby fizycznej,
    • istnieje związek pomiędzy tą informacją a osobą fizyczną,
    • dotyczą

    Osoba fizyczna

    Należy zaznaczyć, że unijny ustawodawca nie chroni przepisami RODO osób prawnych i jednostek organizacyjnych nie posiadających osobowości prawnej, którym ustawa przyznaje zdolność prawną. RODO dotyczy tylko osób fizycznych. W konsekwencji dane przedsiębiorców, którzy nie prowadzą jednoosobowej działalności gospodarczej, takie jak nazwa firmy, dane kontaktowe, forma prawna prowadzenia działalności nie są chronione przepisami RODO. Jednak w niektórych przypadkach np. dane osobowe członków organów, jako osób fizycznych będą podlegać ochronie na tej podstawie prawnej (zob. wyrok TS z 9.11.2010 r., sprawy połączone C-92/09 oraz C-93/09, Volker und Markus Schecke i Eifert, CURIA). Nie jest osoba fizyczną zmarły – zatem dane dotyczące osób zmarłych nie są danymi osobowymi. Dane te mogą jednak podlegać pośredniej ochronie, a krajowy ustawodawca może przyjąć przepisy regulujące ochronę danych osobowych osób zmarłych. Również nasciturus nie może być podmiotem danych osobowych. Jednakże do chwili urodzenia dane nasciturusa mogą być przede wszystkim danymi osobowymi jego matki lub ojca.

    Związek pomiędzy informacją a osobą fizyczną

    Warunek wystąpienia tego związku nie został wyrażony wprost w art. 4 pkt 1 RODO, jednak z całą pewnością jego zaistnienia jest niezbędne, by móc daną informację uznać za dane osobowe. Związek ten musi mieć charakter merytoryczny. Wyraża się on w przyjęciu, że informacja dotyczy osoby, jeżeli jest ona na temat tej osoby. Relacja ta musi dotyczyć co najmniej treści, celu lub skutku, czyli informacja wprost lub pośrednio musi wskazywać określoną osobę fizyczną, lub też jeżeli dane informacje są lub mogą być wykorzystywane w celu oceny osoby, jej traktowania w określony sposób lub też wpływania na jej status lub zachowanie, lub ich użycie może wpływać na prawa i wolności danej osoby fizycznej. Podsumowując, jako dane osobowe powinny być kwalifikowane wszelkie informacje, jeżeli tylko możliwe jest ich odniesienie do konkretnej osoby.

    Osoba zidentyfikowana lub możliwa do zidentyfikowania

    Za zidentyfikowaną osobę fizyczną uznaje się osobę, której tożsamość jest ustalona – bezpośrednio i natychmiast bez konieczności podejmowania dodatkowej aktywności i jeśli w grupie osób można ją odróżnić od wszystkich pozostałych członków grupy. Natomiast za możliwą do zidentyfikowania osobą fizyczną jest osoba, której tożsamość można ustalić w sposób bezpośredni lub pośredni.

    Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby, że zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.

    Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, trzeba uwzględnić wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz technologię dostępną w momencie przetwarzania danych, jak również postęp technologiczny.

    Osoba zidentyfikowana lub możliwa do zidentyfikowania

    Za zidentyfikowaną osobę fizyczną uznaje się osobę, której tożsamość jest ustalona – bezpośrednio i natychmiast bez konieczności podejmowania dodatkowej aktywności i jeśli w grupie osób można ją odróżnić od wszystkich pozostałych członków grupy. Natomiast za możliwą do zidentyfikowania osobą fizyczną jest osoba, której tożsamość można ustalić w sposób bezpośredni lub pośredni.

    Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby, że zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.

    Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, trzeba uwzględnić wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz technologię dostępną w momencie przetwarzania danych, jak również postęp technologiczny.

    Na koniec należy wyjaśnić zwrot „wszelkie informacje”. Pojęcie to powinno być rozumiane szeroko – jako wszelkie informacje o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Zatem są to czynniki określające tożsamość:

    • fizyczną
    • fizjologiczną
    • genetyczną
    • psychiczną
    • ekonomiczną, kulturową
    • społeczną

    Zatem danymi osobowymi z całą pewnością będą: imię i nazwisko, numery identyfikacyjne, data urodzin, adresem zamieszkania, płeć, kolor oczu, waga, wzrost. Do danych osobowych należy zaliczać również informacje dotyczące poglądów, przekonań, wypowiedzi czy życzeń, relacji zawodowych, o charakterze majątkowym, dotyczące życia prywatnego i rodzinnego. Do danych osobowych zalicza się także dane lokalizacyjne, identyfikatory internetowe (numer IP), oraz identyfikatory plików cookie. Należy pamiętać, że te informacje będą danymi osobowymi, jeśli zostaną spełnione pozostałe przesłanki kwalifikacyjne tego pojęcia.

    RODO – zasady przetwarzania danych

    Unijny ustawodawca zawarł w art. 5 RODO katalog zasad przetwarzania danych. Zasady te mają charakter fundamentalny dla całego rozporządzenia – mają charakter dyrektyw interpretacyjnych, co oznacza, że zgodnie z nimi należy dokonywać wykładni poszczególnych przepisów RODO. Z tego też powodu zasadom tym przypisuje się nadrzędną pozycją w stosunku do pozostałych przepisów. Jednak zasady te mają także charakter normatywny, co przejawia się w możliwości nałożenia na administratora sankcji za nie przestrzeganie obowiązków, wynikających z wymienionych w art. 5 RODO zasad.

    RODO wprowadziło, dotychczas nie wskazywaną wśród zasad ogólnych – zasadę rozliczalności oraz zasadę integralności i poufności. Ponadto, zasada minimalizacji danych na gruncie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych była nazywana zasadą adekwatności.

    Charakter zasad RODO

    Zasady te mają charakter ogólny, co pozwala im zachować aktualność w zmieniającej się rzeczywistości. Z tego względu istotną rolę w dokonywaniu interpretacji tych zasad będą odgrywać organy nadzorcze oraz sądy. Co więcej zasady te są ze sobą ściśle powiązane, a zatem nie powinny być interpretowane odrębnie.

    Rola krajowego ustawodawcy

    Radca prawny zaznacza jednak, że zgodnie z art. 23 RODO prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 5 – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12-22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym określonym wartościom. Co więcej wszelkie wyjątki od zasad ogólnych powinny być szczegółowo określone i interpretowane zwężająco.

    Rola krajowego ustawodawcy

    Radca prawny zaznacza jednak, że zgodnie z art. 23 RODO prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 5 – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12-22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym określonym wartościom. Co więcej wszelkie wyjątki od zasad ogólnych powinny być szczegółowo określone i interpretowane zwężająco.

    Katalog zasad RODO dotyczących przetwarzania danych osobowych

    Art. 5 RODO statuuje następujące zasady dotyczące przetwarzania danych:

    • zasadę zgodności z prawem rzetelności i legalności (dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą),
    • zasadę ograniczenia celu (dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami),
    • zasadę minimalizacji danych (dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane),
    • zasadę prawidłowości (dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane),
    • zasadę ograniczenia przechowywania (dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane),
    • zasadę integralności i poufności (dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych),
    • zasadę rozliczalności (administrator jest odpowiedzialny za przestrzeganie zasad przetwarzania danych i musi być w stanie wykazać ich przestrzeganie).

    Nabrałeś wątoplisoći co do prawidłowosci przetwarzania danych osopbowych w  Twojej firmie? Skontaktuj się z kancelarią Lazer & Hudziak doradzi Ci w zakresie przetwarzania danych osobowych.

    RODO – legalność, rzetelność i przejrzystość

    Zgodnie z art. 5 ust. 1 lit. a RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Dotychczas te zasady były ujmowane oddzielnie, jednakże ustawodawca unijny zdecydował się w ww. przepisie zawrzeć obydwie zasady.

    Zasada legalności i rzetelności

    Zasada rzetelności i legalności nakłada na administratora obowiązek zapewnienia, by dane były przetwarzane rzetelnie, czyli uczciwie oraz zgodnie z prawem. W piśmiennictwie wskazuje się, że zasady te mają charakter nadrzędny wobec innych, a także obejmują swoim zakresem pozostałe zasady ogólne przetwarzania danych osobowych. Wobec tego realizacja pozostałych zasad wyrażonych w ar. 5 RODO jednocześnie powoduje, że zostaje także spełniona zasada rozliczalności i zgodności z prawem.

    Aspekt zgodności z prawem

    Podstawową rolę dla oceny, czy dane osobowe są przetwarzane zgodnie z prawem odgrywają art. 6 RODO, wskazujący przesłanki legalizacyjne przetwarzania zwykłych danych osobowych oraz art. 9 RODO, określający przesłanki legalizacyjne przetwarzania szczególnych kategorii danych osobowych. Przetwarzanie danych osobowych może być uznane za zgodne z prawem, jeżeli następuje ono na jednej z wymienionych w tych przepisach podstawach. Jednakże konieczność zapewnienia zgodności z prawem operacji przetwarzania danych oznacza nie tylko konieczność spełnienia przesłanek legalności przetwarzania danych, ale także zapewnienie zgodności z całokształtem przepisów o ochronie danych osobowych.

    Aspekt rzetelności

    Natomiast zasada rozliczalności odwołuje się do wartości moralnych. Samo pojęcie rzetelności jest niejasne, jednak z pewnością ma szerszy zakres niż pojęcie zgodności z prawem, bowiem odnosi się do okoliczności, które uzasadniają przetwarzanie danych osobowych oraz sposób, w jakich to następuje. Wartości te powinny być powszechnie akceptowane przez społeczeństwo. Zasada ta wymaga w szerokim stopniu uwzględnienia interesów osób, których dane dotyczą.

    Zasada przejrzystości

    Zasada ta jest związana ze sposobem komunikacji z osobą, której dane dotyczą. Przede wszystkim przepisy RODO nakładają obowiązek na administratorów danych informowania osób, których dane dotyczą o możliwości realizacji ich uprawnień w odpowiedni sposób (aspekt formalny zasady przejrzystości). Ponadto zgodnie z motywem 39 Preambuły wszelkie informacje i komunikaty związane z przetwarzaniem danych osobowych powinny być łatwo dostępne i zrozumiałe, czyli formułowane jasno i prostym językiem. Unijny ustawodawca w ten sposób próbuje zapewnić osobom, których dane dotyczą rzeczywiste uprawnienia, z których będą wiedziały jak skorzystać (aspekt materialny zasady przejrzystości). Wobec tego nie jest wystarczające tylko sformułowanie odpowiednich komunikatów w skomplikowanym języku prawniczym w celu wykazania przed organem nadzorczym, że przestrzegane są dane osobowe.

    RODO – zasada ograniczania celu

    Artykuł 5 ust. 1 lit. b RODO ustanawia zasadę ograniczenia celu – dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami.

    Zasada ograniczania celu dotyczy pierwszego etapu przetwarzania danych osobowych, to znaczy ich zbierania. Na zasadę ograniczenia celu składają się dwie zasady: oznaczoności i wykorzystywania danych zgodnie z celem.

    Zasada oznaczoności

    Zasada ograniczania celu zakłada, że dane osobowe muszą być zbierane dla konkretnych, wyraźnych i prawnie uzasadnionych celów.

    Stosunek do innych zasad

    Administrator danych, aby przetwarzać dane osobowe w sposób zgodny z zasadą oznaczoności musi określić cele, w których dane te mają być przetwarzane. Zasada ta ma istotne znaczenie przy ocenie, czy są spełnione inne zasady ogólne przetwarzania danych np. zasada minimalizacja danych. Należy zwrócić na szczególną rolą jaką odgrywa zasada oznaczoności celu dla możliwości realizacji zasady minimalizacji danych. To właśnie ta zasada określa cele, w których dane osobowe mogą być przetwarzane, a zatem granice przetwarzania danych, co oznacza, że nie można zbierać danych na zapas, ponieważ mogą one się przydać w przyszłości dla innego, jeszcze nieokreślonego celu. Zasada ta wpływa również bezpośrednio na możliwość udowodnienia, że dane osobowe przetwarzane są zgodnie z prawem. Administrator bowiem powinien przeprowadzić analizę, jakie dane osobowe będzie przetwarzał w określonych celach.

    Szczegółowość określenia celu przetwarzania danych osobowych

    Cel przetwarzania danych nie powinien być określony zbyt ogólnie. Musi być określony na tyle precyzyjnie, aby było można określić, jakie działania administrator podejmuje w celu realizacji danego celu. Istotne jest również wskazanie celu przetwarzania danych osobom, których one dotyczą. Cele często ze sobą powiązane. Takim przykładem może być realizacja umowy, na którą będzie się składał etap zawarcia umowy, etap wykonania umowy, jak i ewentualne roszczenia stron po jej wykonaniu (np. rękojmia w umowie sprzedaży). Wówczas możliwe jest określenie jednego generalnego celu, jakim jest realizacja umowy.

    Wyraźny cel gromadzenia danych osobowych

    W pierwszej kolejności należy wskazać, że cel powinien zostać określony wyraźnie, co oznacza że powinien on zostać jednoznacznie określony. Niedopuszczalne jest gromadzenie danych w celach ukrytych, nie ujawnionych osobom, których dane są zbierane. Wyraźne oznaczenie celu gromadzenia danych, uniemożliwia administratorowi podejmowanie innych działań na danych, które nie są objęte zakresem danego celu. Wobec tego, administrator jest zmuszony określić rzeczywiste cele przetwarzania danych osobowych. Poza przekazaniem informacji o celach przetwarzania danych osobom, które dane dotyczą, powinny one także być znane wszystkim podmiotom, które zostały upoważnione przez administratora do przetwarzania danych np. pracownikom.

    Oznacza to, że najbardziej pożądaną sytuacją jest zawarcie informacji o celach przetwarzania danych w dokumentacji wewnętrznej, regulującej funkcjonowanie danego podmiotu i przetwarzanie przez niego danych osobowych.

    Prawnie uzasadniony cel zbierania danych osobowych

    Cel zbierania danych osobowych powinien być także prawnie uzasadniony, a zatem zgodny z prawem. Jednak nie oznacza to tylko przesłanek legalizujących określonych w przepisach RODO, ale także realizację zasady rzetelności.

    Zasada wykorzystania danych zgodnie z celem

    Zasada wykorzystania danych zgodnie z celem oznacza, że dane osobowe nie mogą być przetwarzane dalej w sposób niezgodny z konkretnym, wyraźnym i prawnie uzasadnionym celem. Dane osobowe mogą być przetwarzane w celach pierwotnych i wtórnych.

    Cel pierwotny i wtórny przetwarzania danych osobowych

    Dane osoby, która wyrazi zgodę na ich przetwarzania w określonym celu (celu pierwotnym) nie mogą przetwarzane w innym celu. Ewentualna dopuszczalność przetwarzania danych do celów wtórnych, tj. do celów innych niż cele, dla których dane te zostały pierwotnie zebrane pozostaje istotnym zagadnieniem. Motyw 50 Preambuły wskazuje na taką możliwość, jedynie gdy będzie to zgodne z pierwotnymi celami, w których dane zostały zebrane. W takim przypadku nie jest wymagana odrębna podstawa prawna inna niż podstawa prawna, która umożliwiłaby zbieranie danych osobowych.

    Ponadto zgodnie z art. 6 ust. 4 RODO przetwarzanie danych w celu innym niż cel, w którym zostały one zebrane, może odbywać się na podstawie zgody osoby, której dane dotyczą, albo prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1 RODO. W motywie 50 Preambuły wskazano, że jeżeli przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, prawo Unii lub prawo państwa członkowskiego mogą określać i precyzować zadania i cele, w których dalsze przetwarzanie powinno być uznawane za zgodne z prawem i z pierwotnymi celami.

    Art. 5 ust. 1 lit. b RODO wprost stanowi, że dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami. Jeżeli nie występują wyżej wymienione okoliczności, to administrator, który chce w dalszym ciągu przetwarzać dane osobowe w celu, który dane zostały pierwotnie zebrane powinien wziąć pod uwagę:

    • wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania,
    • kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem,
    • charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych,
    • ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą,
    • istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudoanimizacji.

    Pierwsze kryterium oceny dopuszczalności dalszego przetwarzania danych osobowych wymaga analizy związków między celem pierwotnym i wtórnym pod względem treści, ich wzajemnych relacji. Niedopuszczalne jest przesądzenie z góry, że nowe cele mieszczą się w zakresie pierwotnego celu. Kwestia analizy kontekstu sprowadza się oceny relacji pomiędzy administratorem i osobą, której dane dotyczą. Relacja ta nie może polegać na dominującej pozycji jednej z nich. Ze względu na przewidywalność i pewność prawa konieczne jest sprawdzenie, czy nowe wtórne cele są powiązane z obowiązkami wynikającymi z przepisów prawa, które są nałożone na administratora danych. Trzecie kryterium wpisuje się w ogólną koncepcję specjalnej ochrony przetwarzania danych wrażliwych. Zgodnie z nią dopuszczalność przetwarzania tej kategorii danych w innym celu niż pierwotnie określony, powinna być dogłębnie przeanalizowana.

    Oczywiście, administrator powinien rozważyć wszelkie konsekwencje dalszego przetwarzania danych osobowych osoby, której dane dotyczą. Ponadto, administrator powinien wziąć pod uwagę, czy posiada odpowiednie zabezpieczenie, które zapobiegają naruszaniu praw osób, których dane przetwarza. Jeżeli nawet pozostałe warunki nie przemawiają za dalszą dopuszczalność przetwarzania danych w innym celu niż pierwotny, to istnienie odpowiednich gwarancji po stronie administratora, może uzasadniać przetwarzanie danych osobowych we wtórnych celach.

    RODO – zasada minimalizacji

    Zgodnie z art. 5 ust. 1 lit. c dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. W odróżnieniu od zasady poprawności danych, która określa jakościowe granice przetwarzania danych osobowych, zasada minimalizacji określa ilościowe ograniczenia zbierania, a także dalszego przetwarzania danych osobowych. Wobec tego, administrator powinien dążyć do tego, aby zbierane przez niego informacje nie były nadmierne, co oznacza że dane powinny być przetwarzane tylko w zakresie, który jest niezbędny do osiągnięcia celu.

    Wszelkie gromadzenie danych na zapas będzie niezgodne z przepisami RODO, co stanowi konsekwencję związku zasady minimalizacji z zasadą ograniczenia celu. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami.

    Zasada minimalizacji w „starej” ustawie o ochronie danych osobowych

    Należy także zwrócić uwagę na fakt, że przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zawierały zasadę adekwatności danych, która zawiera się w zasadzie minimalizacji. Należy podkreślić, że zasada minimalizacji nie ogranicza się jedynie do udowodnienia przez administratora niezbędności do celów przetwarzania danych, ale ich minimalizacji w odniesieniu do konkretnych celów.

    Inne skutki zasady minimalizacji

    Do zasady minimalizacji odnosi się także art. 11 RODO. Zgodnie z nim w sytuacji, gdy cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania, ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do rozporządzenia.

    Ma to także jeszcze jeden skutek – jeżeli administrator może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, to osoba, której dane dotyczą nie może skorzystać z pewnych przyznanych jej przez RODO uprawnień, chyba że dostarczy ona dodatkowych informacji pozwalających ją zidentyfikować.

    Kiedy zasada minimalizacji ma zastosowanie?

    Zasada minimalizacji w szczególności powinna być w wdrażana na etapie planowania działalności administratora poprzez wybór odpowiednich celów i środków służących ich realizacji. Administrator powinien przetwarzać tylko takie dane osobowe, bez których nie może osiągnąć zamierzonego celu przetwarzania. Zasadą powinno być zapewnienie privacy by default.

    RODO – zasada prawidłowości

    Art. 5 ust. 1 lit. d RODO stanowi, że dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. Jest to zasada prawidłowości, inaczej też nazywana zasadą merytorycznej poprawności. Zgodnie z nią dane osobowe powinny być poprawne i zgodne z prawdą. Zasada ta odgrywa szczególną rolę w procesie zbierania i gromadzenia danych. Również na dalszym etapie przetwarzania danych osobowych, administrator danych powinien dbać o to, aby dokonywać przeglądu danych osobowych i uwzględniać żądania osób, których dane dotyczą. Przepis ten nakłada na administratora obowiązek podjęcia działań w razie, gdy przetwarzane przez niego dane osobowe są nieprawidłowe lub nieaktualne. Jednak działania te powinny zostać ograniczone jedynie do działań rozsądnych.

    Ocena, czy dane osobowe są prawidłowe powinna nastąpić z punktu widzenia osoby, której dane dotyczą. Jest to niezwykle trudno zadanie, bowiem administrator zwykle pozyskuje dane osobowe bezpośrednio od osoby, której dane dotyczą, a zatem to ona przekazuje administratorowi swoje dane osobowe i to od niej w największej mierze zależy prawidłowość tych danych. Zasada ta ma największe znaczenie w sytuacjach, w których administrator danych pozyskuje dane pośrednio, tj. nie od osób, których dane dotyczą. Ponadto, z zasady tej wynika zakaz pozyskiwania danych ze źródeł nie wiadomego pochodzenia. Obowiązek ten jest ściśle skorelowany z uprawnieniami, które RODO przyznaje osobom, których dane dotyczą.

    Zasada integralności i poufności (RODO)

    Zgodnie z art. 5 ust. 1 lit. f RODO dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Integralność wymaga od administratora podjęcia działań, które zapobiegną nieautoryzowanej zmianie lub zniszczeniu danych osobowych. Z konieczności zapewnienia poufności wynika przede wszystkim obowiązek administratora nadawania stosownych upoważnień do przetwarzania w jego imieniu danych innym osobom np. pracownikom, a także zorganizowanie prowadzonej przez siebie działalności w taki sposób, aby osoby postronne nie miały możliwości zapoznania się z danymi osób, których dane przetwarza administrator. Środki techniczne i organizacyjne, które administrator może podjąć, zostały określone w art. 32 ust. 1 RODO.

    RODO – zasada rozliczalności

    Zasada rozliczalności jest wyrazem zmiany podejścia w ochronie danych osobowych. Dotychczas rozliczalność była rozumiana jako możliwość przypisania działania danemu podmiotowi. Aby wykazać realizację zasady rozliczalności wystarczyło stworzyć odpowiednią dokumentację przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych. Zgodnie z zasadą rozliczalności to administrator jest odpowiedzialny za przestrzeganie obowiązków wynikających z zasad ogólnych przetwarzania danych osobowych (katalog z art. 5 ust. 1 RODO) i musi być w stanie wykazać ich przestrzeganie (art. 5 ust. 2 RODO). Po porównaniu innych wersji językowych tego przepisu, należy stwierdzić, że unijnemu ustawodawcy chodziło o wprowadzenie zasady odpowiedzialności za przetwarzanie danych.

    Zatem zasadę rozliczalności należy rozumieć jako ponoszenie przez administratora odpowiedzialności za przetwarzanie danych i obarczenie go ciężarem dowodu. To głównie z powodu wprowadzenia tej zasady do przepisów dotyczących ochrony danych, obawy administratorów przed sankcjami w postaci wysokich kar finansowych przewidzianych przez RODO są tak wyraźne. Od czasu wejścia w życie RODO, to administrator musi wykazać, że przestrzega wszystkich zasad przetwarzania danych, a zatem ujmując to prościej – przetwarza dane osobowe w sposób zgodny z przepisami RODO. W razie jakiejkolwiek kontroli organów, powołanych do ochrony danych osobowych, to administrator będzie stawał na głowie, żeby pokazać, że poza przygotowaną dokumentacją i całą teorią, wdrożył również odpowiednie środki ochrony danych osobowych w swojej działalności i są one rzeczywiście stosowane.

    W jaki sposób realizować zasadę rozliczalności

    W celu realizacji zasady rozliczalności zaleca się co najmniej:
    • przeprowadzenie analizy ryzyka i ustalenie na jej podstawie zagrożeń, jakie występują w działalności prowadzonej przez administratora dla ochrony danych osobowych,
    • zastosowanie reguł privacy by design i privacy by default,
    • określenie celów przetwarzania danych i dokonywanie ich regularnych przeglądów,
    • wskazanie podstaw legalizujących przetwarzania danych,
    • określenie maksymalnych terminów, w których przetwarzanie danych osobowych jest możliwe,
    • określenie jakościowych (zas. prawidłowości danych) oraz ilościowych (zas. minimalizacji danych) granic przetwarzania danych po uwzględnieniu celów przetwarzania danych,
    • zapewnienie możliwości realizacji przez osoby, których dane dotyczą swoich uprawnień,
    • zapewnienie odpowiednich środków technicznych i organizacyjnych, które zapobiegną przypadkowej utracie lub uszkodzeniu danych, a także ustrzegą przed dostępem osób nieuprawnionych do danych osobowych przetwarzanych przez administratora.

    Pamiętajmy, że najlepszym sposobem wykazania, że administrator przestrzega przepisy RODO, będzie stworzenie odpowiedniej dokumentacji, która będzie regularnie uzupełniana i aktualizowana.

    Podstawy przetwarzania danych osobowych (RODO)

    Przepisy RODO stanowią, że przetwarzanie danych osobowych jest możliwe tylko jeśli odbywa się na jednej z wymienionych w art. 6 pkt 1 RODO podstaw. Oznacza to, aby w ogóle rozpocząć proces przetwarzania danych zgodnie z prawem, musi wystąpić jedna z przesłanek legalizujących przetwarzanie. Wynika to z zasady RODO dotyczącej legalności przetwarzania danych osobowych.

    Czym jest przetwarzanie danych osobowych – wyjaśnia prawnik kancelarii Lazer & Hudziak?

    RODO zawiera definicję legalną tego pojęcia – zgodnie z art. 4 pkt 2 RODO – przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Jak widać, RODO szeroko ujmuje to pojęcie. Wobec tego należy przyjąć, że przetwarzanie danych oznacza każdą operację, działanie, które przeprowadza się na danych osobowych.

    Podstawy przetwarzania danych (RODO)

    RODO wyróżnia dwa rodzaje danych osobowych: zwykłe oraz szczególne. W pierwszej kolejności, zajmijmy się tymi pierwszymi, bowiem to właśnie one są przetwarzane najczęściej. RODO wyróżnia sześć warunków, w razie których wystąpienia przetwarzanie danych uznaje się za zgodne z prawem:

    • zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO),
    • przetwarzanie jest niezbędne do wykonania umowy lub podjęcia działań przed jej zawarciem (art. 6 ust. 1 lit. b RODO),
    • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO),
    • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 6 ust. 1 lit. d RODO),
    • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej (art. 6 ust. 1 lit. e RODO),
    • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów administratora (art. 6 ust. 1 lit. f RODO).

    W piśmiennictwie prawnicy wskazują, że przesłanki te mają charakter autonomiczny i równoprawny. Oznacza to, że do stwierdzenie czy przetwarzanie danych osobowych jest zgodne z prawem wystarczające jest wystąpienie co najmniej jednej z przesłanek. To administrator powinien zdecydować na jakiej podstawie chciałby przetwarzać dane osobowe. Przesłanki te nie zostały również uporządkowana hierarchicznie w art. 6 pkt 1 RODO, tzn. żadna z nich nie jest uprzywilejowana, ważniejsza od pozostałych. Daje to administratorowi swobodę w wyborze podstaw przetwarzania danych i umożliwia dostosowanie swojej działalności do przepisów RODO. W dalszej części każda z przesłanek zostanie omówiona szerzej.

    Przesłanka niezbędności

    W art. 6 pkt 1 lit. b-f została wyrażona zasada niezbędności, co sugeruje, że przetwarzanie danych osobowych jest dopuszczalne tylko w niezbędnym zakresie służących do realizacji danego celu. Jeśli do realizacji konkretnego celu nie jest niezbędne przetwarzanie danych, to administrator nie powinien podejmować działań w wyniku, których dochodzi do gromadzenia przez niego danych osobowych.

    Zgoda na przetwarzanie danych osobowych (RODO)

    Podstawową przesłanką legalizującą przetwarzanie danych osobowych jest zgoda na przetwarzanie danych osobowych (art. 6 pkt 1 lit. a RODO). Z nią też najczęściej mamy do czynienia w życiu codziennym – po wejściu w życiu RODO ciągle jesteśmy pytani o zgodę na przetwarzanie danych osobowych.

    Administratorzy danych osobowych najchętniej decydują się na tę podstawę przetwarzania danych osobowych, gdyż jest ona także najłatwiejsza do wykazania.

    RODO zawiera definicję zgody, zgodnie z którą jest to dobrowolne, konkretne, świadome, a także jednoznaczne okazanie woli. Szczegółowe warunki wyrażenia zgody na przetwarzanie danych osobowych określa art. 7 RODO.

    Forma wyrażenia zgody na przetwarzanie danych osobowych wg RODO

    Przepisy RODO wskazują, że zgoda osoby, której dane dotyczą powinno być okazaniem woli w formie oświadczenia lub wyraźnego działania potwierdzającego. Jednak przepisy RODO nie zastrzegają formy pisemnej do wyrażenia takiej zgody. Jednak należy pamiętać, że to na administratorze ciąży obowiązek wykazania, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie jej danych osobowych. Dla tego warto, pomimo możliwości uzyskania zgody w dowolny sposób i za pośrednictwem dowolnych mediów np. ustnie w trakcie rozmowy telefonicznej, postarać się uzyskanie zgody w formie pisemnej, co pomoże udowodnić, że dane osobowe są przetwarzane w sposób zgodny z prawem. Administrator powinien posiadać następuję informacje związane z faktem uzyskania zgody:

    dane osoby, która udzieliła zgody,

    • kiedy została udzielona,
    • forma jej udzielenia,
    • jakie informacje zostały przekazane osobie, której dane dotyczą (pouczenie o przysługujących prawach, cel przetwarzania danych, kategorie odbiorców danych itp.),
    • jakie informacje zostały udzielone o sposobie,
    • czy zgoda została wycofana i kiedy została wycofana.

    Dobrowolność wyrażenia zgody

    Przede wszystkim wyrażenie zgody musi nastąpić dobrowolnie. Szczególnie bierze się pod uwagę, czy od wyrażenia zgody na przetwarzania danych osobowych nie jest uzależnione wykonanie umowy, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy. Przepis ten jest przykładem realizacji zasad ogólnych przetwarzania danych osobowych.

    Należy zaznaczyć, że wyrażenie woli musi być działaniem. Milczenie, czyli brak jakiekolwiek działania, nie może zostać uznane za wyrażenie zgody. Podobnie należy potraktować domyślne zaznaczone okienka wyboru (tzw. checkboxy) na stronach internetowych. Tutaj także brak jakiekolwiek działania, a zatem nie może to zostać uznane za wyrażenie zgody (tak też motyw 32 Preambuły). Wobec tego jest to system opt-in, który wymaga aktywności od osoby, która wyraża zgodę na przetwarzanie jej danych osobowych.

    Zgodnie z pkt 4 art. 7 RODO ocena dobrowolności wyrażenie zgody polega na zbadaniu, czy od wyrażenie zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy. Przepis ten nakłada przede wszystkim na administratora sformułowaniu kilku zgód w zależności od celów, do których dane osobowe są zbierane, ale także powoduje, że nie zgodne z prawem jest wymaganie zaznaczenie wszystkich okienek wyboru.

    O zachowaniu wymogu dobrowolności zgody, można mówić w dalszym ciągu jeżeli administrator podejmuje działania zachęcające osoby fizyczne do wyrażenia zgody np. poprzez udzielenie dodatkowego rabatu. Jeżeli zostaną wszystkie inne wymogi zgody, to brak jest przeszkód, aby tego rodzaju zgodę uznać za dobrowolnie wyrażoną.

    Konkretność zgody wg RODO

    Zgodna powinna być konkretna, tj. powinna posiadać precyzyjnie sformułowaną informację określającą cel przetwarzania i zakres przetwarzania danych osobowych. Ściśle powiązane z tym wymogiem jest zapewnienie, aby osoba, której dane dotyczą świadomie okazała swoją wolą. Osoba, której dane dotyczą, wyrażając zgodę na przetwarzanie jej danych osobowych, powinna wiedzieć w jakim celu administrator będzie przetwarzał jej cel. Niezwykle istotne jest także określenie zakresu przetwarzania danych, co pozwoli na określenie granic poza którymi administrator nie powinien przetwarzać danych osobowych.

    Zgoda może obejmować przetwarzanie danych osobowych w jednej lub większej liczbie określonych celów. Brak jest podstaw do przyjmowania odmiennego poglądu. Jednakże zgoda może obejmować kilka celów przetwarzania, jeśli nie jest to sprzeczne z zasadą dobrowolności. W sytuacji, kiedy administrator danych pragnie uzyskać zgodę na kilka różnych celów przetwarzania np. wykonania umowy sprzedaży oraz rozsyłania newslettera, to takie działanie należy uznać za sprzeczne z przepisami RODO. Zatem przesłanka konkretności powinna być postrzegana w ścisłym związku z przesłanką dobrowolności.

    O zachowaniu wymogu dobrowolności zgody, można mówić w dalszym ciągu jeżeli administrator podejmuje działania zachęcające osoby fizyczne do wyrażenia zgody np. poprzez udzielenie dodatkowego rabatu. Jeżeli zostaną wszystkie inne wymogi zgody, to brak jest przeszkód, aby tego rodzaju zgodę uznać za dobrowolnie wyrażoną.

    Świadomość zgody

    Cecha ta wymaga przekazania osobie wyrażającej zgodę na przetwarzanie danych osobowych wszystkich informacji przewidzianych w art. 13 RODO. Jednak w motywie 43 Preambuły stwierdzono, że osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych. Świadomość zgody jest powiązana z jej konkretnością. Aby zgoda była świadoma, musi być konkretna i na odwrót.

    Jednoznaczność zgody

    Jednoznaczność ściśle dotyczy samego wyrażenia woli przez osobę, której dane dotyczą. Oświadczenie o wyrażeniu zgody musi przejawiać w sposób wyraźny jej zamiar. Jeśli wystąpią jakiekolwiek wątpliwości co do okazania woli przez osobę wyrażającą zgodę, to brak jest już jednoznaczności. Tę cechę wyrażenia zgody należy zawsze rozpatrywać wspólnie z formą wyrażenia woli, o której była mowa powyżej.

    Uprzedniość wyrażenia zgody

    Zgoda osoby, której dane dotyczą, musi zostać wyrażona przed rozpoczęciem przetwarzania danych przez administratora. Jeżeli administrator będzie chciał zmienić cel przetwarzania danych, to będzie musiał uzyskać na przetwarzanie danych w nowym celu. Również w tym przypadku zgoda powinna mieć charakter uprzedni.

    Formułowanie prośby o wyrażenie zgody

    W przypadku formułowania zgód, należy pamiętać, że powinny być one wyraźnie oddzielone od innych treści. RODO zatem uniemożliwia praktyki wplatania zgód w długie regulaminy, których nikt nie jest w stanie doczytać. Ukrycie oświadczenie zgody powoduje uznanie jej za niewiążące. Język prawny i język prawniczy jest dla większości osób mało przejrzysty, trudny i meczący. RODO kładzie kres tworzeniu skomplikowanych pod względem językowym i formy zgód. Powoduje to konieczność takiego sformułowania treści zgody, aby była ona zrozumiała dla każdej osoby. A zatem zapytanie o zgodę powinno być łatwo zrozumiałe i wyraźnie widocznie.

    Zgoda na przetwarzanie szczególnych kategorii danych osobowych

    RODO  nakłada tylko jeden dodatkowy warunek związany z uzyskaniem zgody na przetwarzanie szczególnej kategorii danych osobowych, tj. wyraźność zgody.

    Cofnięcie zgody na przetwarzanie danych osobowych

    Istotnym uprawnieniem osoby, która wyraziła zgodę na przetwarzanie jej danych osobowych jest prawo do cofnięcie zgody, również w określonym zakresie, tj. w konkretnym celu. Może to uczynić w dowolnym momencie. RODO nakłada na administratora także obowiązek zapewnienia możliwości wycofania zgody w sposób co najmniej równie łatwy jak jej udzielenie.

    Wycofanie zgody nie wpływa nie zgodność z prawem przetwarzania danych, którego dokonano przed cofnięciem zgody. Skutkiem odwołania zgody jest brak możliwości przetwarzania danych osobowych na podstawie zgody w przyszłości, czyli po cofnięciu zgody.

    Zgody zebrane przed dniem 25.05.2018 r. a RODO

    Zgody zebrane przed RODO tj. przed dniej jego wejścia. Do ww. dnia, czyli do dnia wejścia w życie RODO, administratorzy danych również mogli występować o wyrażenie zgody przez osoby, których dane dotyczą. Powstaje pytanie, czy wyrażone wówczas zgody mogą stanowić podstawę przetwarzania danych osobowych również po wejściu w życie RODO.

    W pierwszej kolejności, należy podkreślić, że zgody na przetwarzanie danych osobowych zebrane na podstawie ustawy o ochronie danych osobowych nie tracą automatycznie ważności. To administrator powinien ocenić, czy zgromadzonego przez niego dotychczas zgody spełniają wszystkie ich cechy określone przez przepisy RODO, a zatem dobrowolność, konkretność, świadomość i jednoznaczność. Zatem zgoda pozyskana przed dniem 25 maja 2018 r. może w dalszym ciągu stanowić podstawę przetwarzania danych osobowych. Wynika to z motywu 171 Preambuły – jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia. Ponadto, należy pamiętać, że zasada rozliczalności ma również zastosowanie w tej kwestii.

    Kryteria oceny

    Administrator powinien przede wszystkim zweryfikować, czy zgromadzane zgody nie zawierają jednego z najczęściej występujących elementów zgody, które je dyskwalifikują:

    • domyślne wyrażenie zgody,
    • uzależnienie wykonania umowy od wyrażenia zgody,
    • brak informacji o administratorze i celach przetwarzania,
    • zaznaczanie wszystkich okienek

    Skutek uznania, że wyrażenie zgody nie odbyło się zgodnie z przepisami RODO

    Jeżeli administrator uzna, że dotychczas zgromadzone zgody nie były zebrane w sposób przewidziany przez przepisy RODO, ma zgodnie z motywem 171 Preambuły – przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów, ma aż dwa lata na uzyskanie nowych zgód.

    Przetwarzanie danych osobowych a realizacja umowy wg RODO

    Przetwarzanie danych osobowych a realizacja umowy – jakie warunki muszą być spełniopne? Art. 6 ust. 1 lit. b przetwarzania danych jest dopuszczalne, jeżeli przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Ta podstawa legalizacyjna była również przewidziana przez ustawę o ochronie danych osobowych z 29 sierpnia 1997 r. (art. 23 ust. 1 pkt 3).

    Warunki przetwarzania danych na podstawie art. 6 ust. 1 lit. b RODO

    Przepis ten wskazuje na dwie odrębne przesłanki przetwarzania danych. W przypadku wykonania umowy, czyli pierwszej z nich, do uznania dopuszczalności przetwarzania danych, konieczne będzie:

    • istnienie umowy,
    • osoba, której dane są przetwarzane jest stroną tej umowy,
    • przetwarzanie danych osobowych musi być niezbędne do wykonania umowy.

    Pojęcie wykonania umowy należy rozumieć szeroko, czyli także jako jej zmianę lub rozwiązanie. Niezbędność przetwarzania powinna być oceniana ze względu na konieczność realizacji praw i obowiązków stron umowy. Nie należy pojęcia niezbędności utożsamiać z koniecznością. Wskazuje na to motyw 39 Preambuły – przetwarzanie danych jest dopuszczalne, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć w inny sposób. Zatem, jeżeli z punktu widzenia prowadzonej działalności przetwarzanie jest niezbędne do wykonania umowy, to administrator może przetwarzać dane osobowe. Przesłanka niezbędności odnosi się również do zakresu przetwarzania danych. Administrator powinien się ograniczyć do przetwarzania danych wyłącznie niezbędnych do wykonania umowy.

    Natomiast przetwarzanie przed zawarciem umowy jest możliwe jeżeli:

    • przetwarzanie jest niezbędne do podjęcia działań przed zawarciem umowy,
    • zawarcie umowy następuje na żądanie osoby, której dane dotyczą.

    W pierwszym przypadku osoba, której dane są przetwarzane, musi być stroną umowy, natomiast w drugim – musi być inicjatorem działań podejmowanych przed zawarciem umowy.

    Przesłanka z art. 6 ust. 1 lit. b, a wyrażenie zgody na przetwarzanie danych

    Często administratorzy danych, mylą ww. przesłanki, bowiem na pierwszy rzut oka są one rzeczywiście podobne – opierają się na woli osoby, której dane dotyczą. Omawiana przesłanka jest ściśle związana z zawarciem umowy lub podjęciem działaniem przed jej zawarciem. Natomiast zgoda na przetwarzanie danych może zostać wyrażona w jakimkolwiek celu, nie tylko w związanym z zawarciem umowy.

    Zawarcie umowy

    Administratorzy danych często starają się pozyskać dane osobowe osób fizycznych w celu przedstawienia im swojej oferty. Należy zaznaczyć, że podstawa legalizacyjna z art. 6 ust. 1 lit. b nie może być w takiej sytuacji podstawą przetwarzania danych. Podjęcie przed zawarciem umowy może nastąpić tylko na żądanie osoby, której dane dotyczą. Taka osoba musi jednoznacznie okazać wolę jej zawarcia.

    Prawnie uzasadnione interesy – RODO

    Zgodnie z art. 6 ust. 1 lit. f RODO przetwarzanie danych osobowych jest dopuszczalne, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

    Przepis ten stanowi jedną z podstaw legalizujących przetwarzania danych. Co więcej, jest ona najbardziej niedookreślona i pozostawia duże pole do interpretacji. Pozwala to na przetwarzania danych także bez zgody osoby, której dane dotyczą.

    Warunki zaistnienia podstawy legalizującej z art. 6 ust. 1 lit. f (prawnie uzasadnione interesy)

    Aby przetwarzanie danych w związku z prawnie uzasadniinbymi interesami było dopuszczalne, jednocześnie muszą zostać spełnione dwa warunki:

    • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią,
    • nie zachodzą sytuacje, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.

    Przetwarzanie powinno być niezbędne, to jest bez niego niemożliwa byłaby realizacja prawnie uzasadnionych administratora. Pojęcie prawnie uzasadnionych interesów stanowi klauzulę generalną, która należy rozpatrywać każdorazowo przy wskazywania jako podstawy przetwarzania danych tej właśnie przesłanki. Na gruncie ustawy o ochronie danych osobowych wskazywano, że interes musi być uzasadniony gospodarczo i prawnie. A zatem interesy te powinny być związane z prowadzoną przez dany podmiot działalnością gospodarczą.

    Udostępnienie danych a prawnie uzasadniony interes

    Istotnym zagadnieniem jest kwestia udostępnienia danych w warunkach realizacji prawnie uzasadnionego interesu. Art. 6 ust. 1 lit. f wprost wspomina o realizacji interesów nie tylko administratora, ale także osoby trzeciej, co potwierdza możliwość udostępnienia danych osób, których one dotyczą.

    Brak zgody a prawnie uzasadniony interes

    W każdym przypadku, gdy osoba, której dane dotyczą, poproszona o wyrażenie zgody na przetwarzanie jej danych osobowych jej nie wyrazi, brak jest podstaw do przyjęcia dopuszczalności przetwarzania danych na podstawie art. 6 ust. 1 lit. f RODO, jeśli cel przetwarzania ma być taki sam.

    Przesłanka wyłączająca

    Art. 6 ust. 1 lit. f RODO uniemożliwia administratorom stosowania omawianej przesłanki w sytuacji, gdy nadrzędny charakter wobec ich interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

    Pod pojęciem podstawowych praw wolności i wolności należy rozumieć prawa i wolności zagwarantowane przez Konstytucję RP, a także te wynikające z Europejskiej Konwencji Praw Człowieka i Podstawowych Wolności czy Karty Praw Podstawowych UE.

    Z przesłanki tej wynika, że aby uznać przetwarzania danych za dopuszczalne, nie wystarczy wskazanie samej prawnie uzasadnionego interesu. Niezbędne jest także wyważenie interesu administratora z interesem osoby, której dane dotyczą. Jeśli interes administratora przeważa nad interesem tejże osoby oraz nie są naruszane jej podstawowe prawa i wolności, to dopiero wówczas przetwarzanie danych na tej podstawie można uznać za dopuszczalne.

    Przykłady celów, w których przetwarzania danych jest dopuszczalne na podstawie art. 6 ust. 1lit. f RODO

    Jak wskazuje nasz radca prawny Małgorzata Hudziak – zwykle jako przykłady celów, w jakich przetwarzania danych ze względu na prawnie uzasadniony interes administratora wskazuje się:

    • marketing bezpośredni,
    • marketing cudzych produktów i usług,
    • dochodzenie lub zabezpieczenie roszczeń (np. przy wykorzystaniu firmy windykacyjnej).

    Inne podstawy przetwarzania danych osobowych (RODO)

    Inne podstawy przetwarzania danych osobowych wymienia jeszcze trzy inne podstawy przetwarzania danych osobowych – zgodnie z art. 6 ust. 1 RODO przetwarzanie danych jest zgodne z prawem, jeżeli:

    • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
    • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
    • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

    Obowiązek prawny (art. 6 ust. 1 lit. c RODO)

    Przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

    Jest to przesłanka legalizacyjna, której przyznaje się pierwszeństwo stosowania przed wszystkimi innymi podstawami. W sytuacji, gdy występuje tego rodzaju przesłanka do przetwarzania danych osobowych, to nie ma potrzeby wówczas występować o zgodę osoby, której dane dotyczą, bowiem jest to samodzielna przesłanka legalizująca przetwarzanie danych, choć podjęcie takich działań może powodować u osoby, której dane dotyczą błędne przeświadczenie, że może wycofać zgodę na przetwarzanie danych osobowych.

    Przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. c RODO jest dopuszczalne jeżeli zostaną spełnione łącznie dwie przesłanki:

    • można wskazać przepis prawa powszechnie obowiązującego, który nakłada na administratora danych obowiązek prawny,
    • przetwarzanie danych jest niezbędne dla realizacji tego obowiązku prawnego.

    Jeżeli chodzi o pierwszą z przesłanek istotne znaczenie ma katalog źródeł prawa zawarty w art. 87 ust. 1 Konstytucji RP. Z uwzględnieniem tego katalogu należy szukać podstawy prawnej przetwarzania danych w przepisach prawa. Wyjątkiem są rozporządzenia, gdyż ze względu na konstytucyjną zasadę możliwości ograniczenia wolności i praw w ustawie (prawa do decydowania o ujawnieniu swoich danych). Zatem nie powinno się wskazywać jako podstawy przetwarzania danych osobowych przepisu rozporządzenia. Podobne uwagi odnoszą się do wskazywania jako podstawy prawnej przetwarzania danych decyzji administracyjnej.

    Kolejny z warunków przetwarzania danych osobowych na wyżej wymienionej podstawie jest ściśle związany ze wszystkimi innymi podstawami. RODO umożliwia przetwarzanie danych osobowych wyłącznie w niezbędnym zakresie, wynikającym z celu w jakim dane są przetwarzane, a także wyłącznie przez okres niezbędny do realizacji danego celu (dowiedz się więcej tutaj – zasada ograniczenia celu).

    Ochrona żywotnych interesów (art. 6 ust. 1 lit. d RODO)

    Przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.

    Warunki przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. d RODO

    Przetwarzanie danych osobowych na ww. podstawie jest możliwe jedynie, jeżeli zostaną spełnione łącznie następujące warunki:

    • zagrożone są żywotne interesy osoby, której dane dotyczą, lub innej osoby fizycznej,
    • ochrona żywotnych interesów osoby, której dane dotyczą jest możliwa tylko poprzez przetwarzanie danych osobowych.

    Pojęcie żywotnych interesów

    Przyjmuje się, że żywotne interesy to interesy o dużym znaczeniu dla osoby, której dane dotyczą lub dla innej osoby, takie jak zdrowie, życie oraz interesy majątkowe.

    Podstawa przetwarzania danych z art. 6 ust. 1 lit. d RODO a inne podstawy

    Zgodnie z motywem 46 preambuły RODO przetwarzanie danych w celu ochrony żywotnego interesu innej osoby fizycznej powinno być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej.

    Zleć nam audyt ochrona danych osobowych

    Przeprowadzimy audyt Twojej dokumentacji, strony internetowej, sprawdzimy zabezpieczenia przetwarzanych danych osobowych pod kątem RODO, a także zaproponujemy oraz wdrożymy niezbędne modyfikacje.

    Sprawdź, jak możemy pomóc Ci z RODO – szybki kontakt tel.: 536 007 001

    Przyjaciele kancelarii

    przyjaciele