Pamiętaj, że w zgodzie z obowiązującymi przepisami musisz m.in.:

• Przeprowadzić analitykę ryzyka przetwarzania
  danych osobowych
• Wdrożyć odpowiednie procedury 
  i móc wykazać ich stosowanie np. w przypadku kontroli ze strony Urzędu Ochrony Danych Osobowych
• Przestrzegać praw osób, których dane dotyczą    

Co zyskujesz korzystając z naszych kancelarii Lazer & Hudziak

• Dostęp do wiedzy – korzystasz z doświadczenia prawników kancelarii Lazer & Hudziak, których specjalizacją od blisko 10 lat jest ochrona danych osobowych.
• Praktyczne, a nie teoretyczne podejście do Twojej działalności – przeprowadziliśmy blisko 300 wdrożeń procedur związanych z ochroną danych osobowych; w tym tej dotyczącej  przepisów sprzed wejścia w życie RODO, jak i obecnie obowiązującej.
• Dokumenty szyte na miarę – nie pracujemy na szablonach! Wszystkie dokumenty przygotowujemy indywidualnie, w pełni dostosowując je do specyfiki Twojego biznesu.
• Kompleksowe uregulowanie wszelkich zagadnień prawnych dotyczących ochrony danych osobowych – otrzymujesz od nas gotowe do zaimplementowania w swojej firmie procedury i dokumenty. Na żadnym etapie współpracy nie zostawiamy Cię bez pomocy – nie musisz się obawiać, że przygotowane dokumenty będziesz musiał zmieniać we własnym zakresie. 
• Bezpieczeństwo – bierzemy pełną odpowiedzialność za przygotowaną dokumentację. 
  Pamiętaj, że nie spełniając wymagań RODO narażasz się na kary administracyjne,  które mogą sięgać nawet 20 000 000 Euro. 

Czym jest RODO i w jakim celu zostało wprowadzone

Czym jest RODO – wyjaśnia nasz radca prawny Małgorzata Hudziak. RODO to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Zgodnie z motywem 3 Preambuły celem RODO jest zharmonizowanie ochrony podstawowych praw i wolności osób fizycznych w związku z czynnościami przetwarzania oraz zapewnienie swobodnego przepływu danych osobowych między państwami członkowskimi.

Rozporządzenie zostało przyjęte 27 kwietnia 2016. Zgodnie z art. 99 ust. 1 RODO niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej. Natomiast zgodnie z ust. 2 tego artykułu, jest ono stosowane od 25 maja 2018 r., co oznacza, że po dwuletnim okresie przejściowym, zaczęło obowiązywać od 25 maja 2018 r.

Inne akty prawne z zakresu ochrony danych osobowych

RODO zastąpiło dyrektywę 95/46/WE. Jeżeli chodzi o polski porządek prawny to uchylona została ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz została uchwalona ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Ustawa ta weszła w życie 25 maja 2018 r.

Jak interpretować RODO

RODO obowiązuje od niedługiego czasu. Dotychczas brak jest bogatego orzecznictwa w tej materii, a także decyzji Prezesa Urzędu Ochrony Danych Osobowych. Wobec tego, w wielu sytuacjach, szczególnie w tych, co do których wątpliwości powstały już na gruncie starej ustawy i nie zostały rozwiane przez RODO, należy posługiwać się dotychczasowi interpretacjami GIODO. Prawnicy kancelarii Lazer & Hudziak wskazuje, że warto także uwzględnić motywy wskazane w Preambule do RODO oraz pracach poszczególnych grup roboczych, które tworzyły przepisy RODO.

Kary finansowe

Z punktu widzenia przedsiębiorców najważniejsze jest to, że RODO wprowadza bardzo dotkliwe kary finansowe za brak wdrożenia i przestrzegania nowych przepisów dotyczących ochrony danych osobowych. Przedsiębiorcy mogą zostać ukarani karą finansową od 10 do 20 mln euro lub od 2% do 4% wartości rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która wartość jest wyższa. Za naruszenie przepisów o ochronie danych osobowych odpowiadać będzie bezpośrednio szef firmy. Odpowiada on zarówno przed urzędem kontroli, jak i przed sądami powszechnymi. Nie może przenieść tej odpowiedzialności na innych pracowników.

Analiza ryzyka wg RODO

Wyrażone w rozporządzeniu podejście oparte na ryzyku (ang. risk based approach) określa sposób, w jaki należy podchodzić do przetwarzania danych – w każdej sytuacji, kiedy zbierane i wykorzystywane są dane osobowe, konieczne jest analizowanie ryzyka, jakie może to spowodować dla prywatności osób, których te dane dotyczą. Zatem podmioty przetwarzające dane osobowe będą zmuszone dokonać analizy ryzyka, która wiąże się z tym procesem. Wyniki takiej analizy, administrator danych powinien uwzględnić przy dostosowaniu prowadzonej przez siebie działalności do przepisów RODO.

Dostosowanie działalności do przepisów RODO

RODO wymaga podjęcia wielu działań, mających na celu dostosowanie do nowych przepisów Przykładem mogą być m.in. oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych lub klauzule informacyjne. Nowe klauzule informacyjne powinny obejmować znacznie więcej informacji – np. podstawę prawną przetwarzania, dane kontaktowe do IOD, okres przechowywania danych, prawa przysługujące osobie, której dane dotyczą. Zasada rozliczalności to na podmiocie przetwarzającym dane osobowe ciąży obowiązek wykazania, że przetwarza dane osobowe zgodnie z prawem (zasada rozliczalności). W tym celu niezbędne będzie stworzenie odpowiednich procedur postępowania – polityk prywatności i bezpieczeństwa, a także regularnego ich testowania i aktualizowania.

Przystosowanie działania podmiotów przetwarzających dane osobowe jest procesem bardzo trudnym i czasochłonnym. Jest to szczególnie kłopotliwe z tego powodu, że przepisy RODO nie przewidują gotowych rozwiązań, a to na tym podmiocie ciąży obowiązek wykazania, że przetwarza dane osobowe w sposób prawidłowy. W razie niemożności wykazania tych okoliczności, może on zostać ukarany bardzo dotkliwą karą pieniężną.

Czym są dane osobowe wg RODO

art. 4 pkt 1 RODO zawiera definicję danych osobowych. Zgodnie z tym przepisem – jak wyjaśnia prawnik – dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numeru identyfikacyjnego, danych o lokalizacji, identyfikatora internetowego lub jednego bądź kilku szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Prawnicy kancelarii Lazer & Hudziak wyjaśniają przesłanki kwalifikujące dane osobowe

Za dane osobowe mogą zostać uznane wszelkie informacje, jeżeli:

• dotyczą osoby fizycznej,
• istnieje związek pomiędzy tą informacją a osobą fizyczną,
• dotyczą

Osoba fizyczna

Należy zaznaczyć, że unijny ustawodawca nie chroni przepisami RODO osób prawnych i jednostek organizacyjnych nie posiadających osobowości prawnej, którym ustawa przyznaje zdolność prawną. RODO dotyczy tylko osób fizycznych. W konsekwencji dane przedsiębiorców, którzy nie prowadzą jednoosobowej działalności gospodarczej, takie jak nazwa firmy, dane kontaktowe, forma prawna prowadzenia działalności nie są chronione przepisami RODO. Jednak w niektórych przypadkach np. dane osobowe członków organów, jako osób fizycznych będą podlegać ochronie na tej podstawie prawnej (zob. wyrok TS z 9.11.2010 r., sprawy połączone C-92/09 oraz C-93/09, Volker und Markus Schecke i Eifert, CURIA). Nie jest osoba fizyczną zmarły – zatem dane dotyczące osób zmarłych nie są danymi osobowymi. Dane te mogą jednak podlegać pośredniej ochronie, a krajowy ustawodawca może przyjąć przepisy regulujące ochronę danych osobowych osób zmarłych. Również nasciturus nie może być podmiotem danych osobowych. Jednakże do chwili urodzenia dane nasciturusa mogą być przede wszystkim danymi osobowymi jego matki lub ojca.

Osoba zidentyfikowana lub możliwa do zidentyfikowania

Za zidentyfikowaną osobę fizyczną uznaje się osobę, której tożsamość jest ustalona – bezpośrednio i natychmiast bez konieczności podejmowania dodatkowej aktywności i jeśli w grupie osób można ją odróżnić od wszystkich pozostałych członków grupy. Natomiast za możliwą do zidentyfikowania osobą fizyczną jest osoba, której tożsamość można ustalić w sposób bezpośredni lub pośredni.

Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby, że zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.

Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, trzeba uwzględnić wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz technologię dostępną w momencie przetwarzania danych, jak również postęp technologiczny.

RODO – zasady przetwarzania danych

Unijny ustawodawca zawarł w art. 5 RODO katalog zasad przetwarzania danych. Zasady te mają charakter fundamentalny dla całego rozporządzenia – mają charakter dyrektyw interpretacyjnych, co oznacza, że zgodnie z nimi należy dokonywać wykładni poszczególnych przepisów RODO. Z tego też powodu zasadom tym przypisuje się nadrzędną pozycją w stosunku do pozostałych przepisów. Jednak zasady te mają także charakter normatywny, co przejawia się w możliwości nałożenia na administratora sankcji za nie przestrzeganie obowiązków, wynikających z wymienionych w art. 5 RODO zasad.

RODO wprowadziło, dotychczas nie wskazywaną wśród zasad ogólnych – zasadę rozliczalności oraz zasadę integralności i poufności. Ponadto, zasada minimalizacji danych na gruncie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych była nazywana zasadą adekwatności.

Rola krajowego ustawodawcy

Radca prawny zaznacza jednak, że zgodnie z art. 23 RODO prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 5 – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12-22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym określonym wartościom. Co więcej wszelkie wyjątki od zasad ogólnych powinny być szczegółowo określone i interpretowane zwężająco.

Katalog zasad RODO dotyczących przetwarzania danych osobowych

Art. 5 RODO statuuje następujące zasady dotyczące przetwarzania danych:

• zasadę zgodności z prawem rzetelności i legalności (dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą),
• zasadę ograniczenia celu (dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami),
• zasadę minimalizacji danych (dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane),
• zasadę prawidłowości (dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane),
• zasadę ograniczenia przechowywania (dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane),
• zasadę integralności i poufności (dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych),
• zasadę rozliczalności (administrator jest odpowiedzialny za przestrzeganie zasad przetwarzania danych i musi być w stanie wykazać ich przestrzeganie).

Nabrałeś wątoplisoći co do prawidłowosci przetwarzania danych osopbowych w  Twojej firmie? Skontaktuj się z kancelarią Lazer & Hudziak doradzi Ci w zakresie przetwarzania danych osobowych.

RODO – zasada ograniczania celu

Artykuł 5 ust. 1 lit. b RODO ustanawia zasadę ograniczenia celu – dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami.

Zasada ograniczania celu dotyczy pierwszego etapu przetwarzania danych osobowych, to znaczy ich zbierania. Na zasadę ograniczenia celu składają się dwie zasady: oznaczoności i wykorzystywania danych zgodnie z celem.

Szczegółowość określenia celu przetwarzania danych osobowych

Cel przetwarzania danych nie powinien być określony zbyt ogólnie. Musi być określony na tyle precyzyjnie, aby było można określić, jakie działania administrator podejmuje w celu realizacji danego celu. Istotne jest również wskazanie celu przetwarzania danych osobom, których one dotyczą. Cele często ze sobą powiązane. Takim przykładem może być realizacja umowy, na którą będzie się składał etap zawarcia umowy, etap wykonania umowy, jak i ewentualne roszczenia stron po jej wykonaniu (np. rękojmia w umowie sprzedaży). Wówczas możliwe jest określenie jednego generalnego celu, jakim jest realizacja umowy.

Cel pierwotny i wtórny przetwarzania danych osobowych

Dane osoby, która wyrazi zgodę na ich przetwarzania w określonym celu (celu pierwotnym) nie mogą przetwarzane w innym celu. Ewentualna dopuszczalność przetwarzania danych do celów wtórnych, tj. do celów innych niż cele, dla których dane te zostały pierwotnie zebrane pozostaje istotnym zagadnieniem. Motyw 50 Preambuły wskazuje na taką możliwość, jedynie gdy będzie to zgodne z pierwotnymi celami, w których dane zostały zebrane. W takim przypadku nie jest wymagana odrębna podstawa prawna inna niż podstawa prawna, która umożliwiłaby zbieranie danych osobowych.

Ponadto zgodnie z art. 6 ust. 4 RODO przetwarzanie danych w celu innym niż cel, w którym zostały one zebrane, może odbywać się na podstawie zgody osoby, której dane dotyczą, albo prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1 RODO. W motywie 50 Preambuły wskazano, że jeżeli przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, prawo Unii lub prawo państwa członkowskiego mogą określać i precyzować zadania i cele, w których dalsze przetwarzanie powinno być uznawane za zgodne z prawem i z pierwotnymi celami.

Art. 5 ust. 1 lit. b RODO wprost stanowi, że dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami. Jeżeli nie występują wyżej wymienione okoliczności, to administrator, który chce w dalszym ciągu przetwarzać dane osobowe w celu, który dane zostały pierwotnie zebrane powinien wziąć pod uwagę:

• wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania,
• kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem,
• charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych,
• ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą,
• istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudoanimizacji.

Pierwsze kryterium oceny dopuszczalności dalszego przetwarzania danych osobowych wymaga analizy związków między celem pierwotnym i wtórnym pod względem treści, ich wzajemnych relacji. Niedopuszczalne jest przesądzenie z góry, że nowe cele mieszczą się w zakresie pierwotnego celu. Kwestia analizy kontekstu sprowadza się oceny relacji pomiędzy administratorem i osobą, której dane dotyczą. Relacja ta nie może polegać na dominującej pozycji jednej z nich. Ze względu na przewidywalność i pewność prawa konieczne jest sprawdzenie, czy nowe wtórne cele są powiązane z obowiązkami wynikającymi z przepisów prawa, które są nałożone na administratora danych. Trzecie kryterium wpisuje się w ogólną koncepcję specjalnej ochrony przetwarzania danych wrażliwych. Zgodnie z nią dopuszczalność przetwarzania tej kategorii danych w innym celu niż pierwotnie określony, powinna być dogłębnie przeanalizowana.

Oczywiście, administrator powinien rozważyć wszelkie konsekwencje dalszego przetwarzania danych osobowych osoby, której dane dotyczą. Ponadto, administrator powinien wziąć pod uwagę, czy posiada odpowiednie zabezpieczenie, które zapobiegają naruszaniu praw osób, których dane przetwarza. Jeżeli nawet pozostałe warunki nie przemawiają za dalszą dopuszczalność przetwarzania danych w innym celu niż pierwotny, to istnienie odpowiednich gwarancji po stronie administratora, może uzasadniać przetwarzanie danych osobowych we wtórnych celach.

Zasada minimalizacji w „starej” ustawie o ochronie danych osobowych

Należy także zwrócić uwagę na fakt, że przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zawierały zasadę adekwatności danych, która zawiera się w zasadzie minimalizacji. Należy podkreślić, że zasada minimalizacji nie ogranicza się jedynie do udowodnienia przez administratora niezbędności do celów przetwarzania danych, ale ich minimalizacji w odniesieniu do konkretnych celów.

RODO – zasada prawidłowości

Art. 5 ust. 1 lit. d RODO stanowi, że dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. Jest to zasada prawidłowości, inaczej też nazywana zasadą merytorycznej poprawności. Zgodnie z nią dane osobowe powinny być poprawne i zgodne z prawdą. Zasada ta odgrywa szczególną rolę w procesie zbierania i gromadzenia danych. Również na dalszym etapie przetwarzania danych osobowych, administrator danych powinien dbać o to, aby dokonywać przeglądu danych osobowych i uwzględniać żądania osób, których dane dotyczą. Przepis ten nakłada na administratora obowiązek podjęcia działań w razie, gdy przetwarzane przez niego dane osobowe są nieprawidłowe lub nieaktualne. Jednak działania te powinny zostać ograniczone jedynie do działań rozsądnych.

Ocena, czy dane osobowe są prawidłowe powinna nastąpić z punktu widzenia osoby, której dane dotyczą. Jest to niezwykle trudno zadanie, bowiem administrator zwykle pozyskuje dane osobowe bezpośrednio od osoby, której dane dotyczą, a zatem to ona przekazuje administratorowi swoje dane osobowe i to od niej w największej mierze zależy prawidłowość tych danych. Zasada ta ma największe znaczenie w sytuacjach, w których administrator danych pozyskuje dane pośrednio, tj. nie od osób, których dane dotyczą. Ponadto, z zasady tej wynika zakaz pozyskiwania danych ze źródeł nie wiadomego pochodzenia. Obowiązek ten jest ściśle skorelowany z uprawnieniami, które RODO przyznaje osobom, których dane dotyczą.

RODO – zasada rozliczalności

Zasada rozliczalności jest wyrazem zmiany podejścia w ochronie danych osobowych. Dotychczas rozliczalność była rozumiana jako możliwość przypisania działania danemu podmiotowi. Aby wykazać realizację zasady rozliczalności wystarczyło stworzyć odpowiednią dokumentację przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych. Zgodnie z zasadą rozliczalności to administrator jest odpowiedzialny za przestrzeganie obowiązków wynikających z zasad ogólnych przetwarzania danych osobowych (katalog z art. 5 ust. 1 RODO) i musi być w stanie wykazać ich przestrzeganie (art. 5 ust. 2 RODO). Po porównaniu innych wersji językowych tego przepisu, należy stwierdzić, że unijnemu ustawodawcy chodziło o wprowadzenie zasady odpowiedzialności za przetwarzanie danych.

Zatem zasadę rozliczalności należy rozumieć jako ponoszenie przez administratora odpowiedzialności za przetwarzanie danych i obarczenie go ciężarem dowodu. To głównie z powodu wprowadzenia tej zasady do przepisów dotyczących ochrony danych, obawy administratorów przed sankcjami w postaci wysokich kar finansowych przewidzianych przez RODO są tak wyraźne. Od czasu wejścia w życie RODO, to administrator musi wykazać, że przestrzega wszystkich zasad przetwarzania danych, a zatem ujmując to prościej – przetwarza dane osobowe w sposób zgodny z przepisami RODO. W razie jakiejkolwiek kontroli organów, powołanych do ochrony danych osobowych, to administrator będzie stawał na głowie, żeby pokazać, że poza przygotowaną dokumentacją i całą teorią, wdrożył również odpowiednie środki ochrony danych osobowych w swojej działalności i są one rzeczywiście stosowane.

Podstawy przetwarzania danych osobowych (RODO)

Przepisy RODO stanowią, że przetwarzanie danych osobowych jest możliwe tylko jeśli odbywa się na jednej z wymienionych w art. 6 pkt 1 RODO podstaw. Oznacza to, aby w ogóle rozpocząć proces przetwarzania danych zgodnie z prawem, musi wystąpić jedna z przesłanek legalizujących przetwarzanie. Wynika to z zasady RODO dotyczącej legalności przetwarzania danych osobowych.

Podstawy przetwarzania danych (RODO)

RODO wyróżnia dwa rodzaje danych osobowych: zwykłe oraz szczególne. W pierwszej kolejności, zajmijmy się tymi pierwszymi, bowiem to właśnie one są przetwarzane najczęściej. RODO wyróżnia sześć warunków, w razie których wystąpienia przetwarzanie danych uznaje się za zgodne z prawem:

• zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO),
• przetwarzanie jest niezbędne do wykonania umowy lub podjęcia działań przed jej zawarciem (art. 6 ust. 1 lit. b RODO),
• przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO),
• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 6 ust. 1 lit. d RODO),
• przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej (art. 6 ust. 1 lit. e RODO),
• przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów administratora (art. 6 ust. 1 lit. f RODO).

W piśmiennictwie prawnicy wskazują, że przesłanki te mają charakter autonomiczny i równoprawny. Oznacza to, że do stwierdzenie czy przetwarzanie danych osobowych jest zgodne z prawem wystarczające jest wystąpienie co najmniej jednej z przesłanek. To administrator powinien zdecydować na jakiej podstawie chciałby przetwarzać dane osobowe. Przesłanki te nie zostały również uporządkowana hierarchicznie w art. 6 pkt 1 RODO, tzn. żadna z nich nie jest uprzywilejowana, ważniejsza od pozostałych. Daje to administratorowi swobodę w wyborze podstaw przetwarzania danych i umożliwia dostosowanie swojej działalności do przepisów RODO. W dalszej części każda z przesłanek zostanie omówiona szerzej.

Zgoda na przetwarzanie danych osobowych (RODO)

Podstawową przesłanką legalizującą przetwarzanie danych osobowych jest zgoda na przetwarzanie danych osobowych (art. 6 pkt 1 lit. a RODO). Z nią też najczęściej mamy do czynienia w życiu codziennym – po wejściu w życiu RODO ciągle jesteśmy pytani o zgodę na przetwarzanie danych osobowych.

Administratorzy danych osobowych najchętniej decydują się na tę podstawę przetwarzania danych osobowych, gdyż jest ona także najłatwiejsza do wykazania.

RODO zawiera definicję zgody, zgodnie z którą jest to dobrowolne, konkretne, świadome, a także jednoznaczne okazanie woli. Szczegółowe warunki wyrażenia zgody na przetwarzanie danych osobowych określa art. 7 RODO.

Dobrowolność wyrażenia zgody

Przede wszystkim wyrażenie zgody musi nastąpić dobrowolnie. Szczególnie bierze się pod uwagę, czy od wyrażenia zgody na przetwarzania danych osobowych nie jest uzależnione wykonanie umowy, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy. Przepis ten jest przykładem realizacji zasad ogólnych przetwarzania danych osobowych.

Należy zaznaczyć, że wyrażenie woli musi być działaniem. Milczenie, czyli brak jakiekolwiek działania, nie może zostać uznane za wyrażenie zgody. Podobnie należy potraktować domyślne zaznaczone okienka wyboru (tzw. checkboxy) na stronach internetowych. Tutaj także brak jakiekolwiek działania, a zatem nie może to zostać uznane za wyrażenie zgody (tak też motyw 32 Preambuły). Wobec tego jest to system opt-in, który wymaga aktywności od osoby, która wyraża zgodę na przetwarzanie jej danych osobowych.

Zgodnie z pkt 4 art. 7 RODO ocena dobrowolności wyrażenie zgody polega na zbadaniu, czy od wyrażenie zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy. Przepis ten nakłada przede wszystkim na administratora sformułowaniu kilku zgód w zależności od celów, do których dane osobowe są zbierane, ale także powoduje, że nie zgodne z prawem jest wymaganie zaznaczenie wszystkich okienek wyboru.

O zachowaniu wymogu dobrowolności zgody, można mówić w dalszym ciągu jeżeli administrator podejmuje działania zachęcające osoby fizyczne do wyrażenia zgody np. poprzez udzielenie dodatkowego rabatu. Jeżeli zostaną wszystkie inne wymogi zgody, to brak jest przeszkód, aby tego rodzaju zgodę uznać za dobrowolnie wyrażoną.

Świadomość zgody

Cecha ta wymaga przekazania osobie wyrażającej zgodę na przetwarzanie danych osobowych wszystkich informacji przewidzianych w art. 13 RODO. Jednak w motywie 43 Preambuły stwierdzono, że osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych. Świadomość zgody jest powiązana z jej konkretnością. Aby zgoda była świadoma, musi być konkretna i na odwrót.

Uprzedniość wyrażenia zgody

Zgoda osoby, której dane dotyczą, musi zostać wyrażona przed rozpoczęciem przetwarzania danych przez administratora. Jeżeli administrator będzie chciał zmienić cel przetwarzania danych, to będzie musiał uzyskać na przetwarzanie danych w nowym celu. Również w tym przypadku zgoda powinna mieć charakter uprzedni.

Zgoda na przetwarzanie szczególnych kategorii danych osobowych

RODO  nakłada tylko jeden dodatkowy warunek związany z uzyskaniem zgody na przetwarzanie szczególnej kategorii danych osobowych, tj. wyraźność zgody.

Cofnięcie zgody na przetwarzanie danych osobowych

Istotnym uprawnieniem osoby, która wyraziła zgodę na przetwarzanie jej danych osobowych jest prawo do cofnięcie zgody, również w określonym zakresie, tj. w konkretnym celu. Może to uczynić w dowolnym momencie. RODO nakłada na administratora także obowiązek zapewnienia możliwości wycofania zgody w sposób co najmniej równie łatwy jak jej udzielenie.

Wycofanie zgody nie wpływa nie zgodność z prawem przetwarzania danych, którego dokonano przed cofnięciem zgody. Skutkiem odwołania zgody jest brak możliwości przetwarzania danych osobowych na podstawie zgody w przyszłości, czyli po cofnięciu zgody.

Kryteria oceny

Administrator powinien przede wszystkim zweryfikować, czy zgromadzane zgody nie zawierają jednego z najczęściej występujących elementów zgody, które je dyskwalifikują:

• domyślne wyrażenie zgody,
• uzależnienie wykonania umowy od wyrażenia zgody,
• brak informacji o administratorze i celach przetwarzania,
• zaznaczanie wszystkich okienek

Przetwarzanie danych osobowych a realizacja umowy wg RODO

Przetwarzanie danych osobowych a realizacja umowy – jakie warunki muszą być spełniopne? Art. 6 ust. 1 lit. b przetwarzania danych jest dopuszczalne, jeżeli przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Ta podstawa legalizacyjna była również przewidziana przez ustawę o ochronie danych osobowych z 29 sierpnia 1997 r. (art. 23 ust. 1 pkt 3).

Przesłanka z art. 6 ust. 1 lit. b, a wyrażenie zgody na przetwarzanie danych

Często administratorzy danych, mylą ww. przesłanki, bowiem na pierwszy rzut oka są one rzeczywiście podobne – opierają się na woli osoby, której dane dotyczą. Omawiana przesłanka jest ściśle związana z zawarciem umowy lub podjęciem działaniem przed jej zawarciem. Natomiast zgoda na przetwarzanie danych może zostać wyrażona w jakimkolwiek celu, nie tylko w związanym z zawarciem umowy.

Prawnie uzasadnione interesy – RODO

Zgodnie z art. 6 ust. 1 lit. f RODO przetwarzanie danych osobowych jest dopuszczalne, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Przepis ten stanowi jedną z podstaw legalizujących przetwarzania danych. Co więcej, jest ona najbardziej niedookreślona i pozostawia duże pole do interpretacji. Pozwala to na przetwarzania danych także bez zgody osoby, której dane dotyczą.

Udostępnienie danych a prawnie uzasadniony interes

Istotnym zagadnieniem jest kwestia udostępnienia danych w warunkach realizacji prawnie uzasadnionego interesu. Art. 6 ust. 1 lit. f wprost wspomina o realizacji interesów nie tylko administratora, ale także osoby trzeciej, co potwierdza możliwość udostępnienia danych osób, których one dotyczą.

Przesłanka wyłączająca

Art. 6 ust. 1 lit. f RODO uniemożliwia administratorom stosowania omawianej przesłanki w sytuacji, gdy nadrzędny charakter wobec ich interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Pod pojęciem podstawowych praw wolności i wolności należy rozumieć prawa i wolności zagwarantowane przez Konstytucję RP, a także te wynikające z Europejskiej Konwencji Praw Człowieka i Podstawowych Wolności czy Karty Praw Podstawowych UE.

Z przesłanki tej wynika, że aby uznać przetwarzania danych za dopuszczalne, nie wystarczy wskazanie samej prawnie uzasadnionego interesu. Niezbędne jest także wyważenie interesu administratora z interesem osoby, której dane dotyczą. Jeśli interes administratora przeważa nad interesem tejże osoby oraz nie są naruszane jej podstawowe prawa i wolności, to dopiero wówczas przetwarzanie danych na tej podstawie można uznać za dopuszczalne.

Przykłady celów, w których przetwarzania danych jest dopuszczalne na podstawie art. 6 ust. 1lit. f RODO

Jak wskazuje nasz radca prawny Małgorzata Hudziak – zwykle jako przykłady celów, w jakich przetwarzania danych ze względu na prawnie uzasadniony interes administratora wskazuje się:

• marketing bezpośredni,
• marketing cudzych produktów i usług,
• dochodzenie lub zabezpieczenie roszczeń (np. przy wykorzystaniu firmy windykacyjnej).

Obowiązek prawny (art. 6 ust. 1 lit. c RODO)

Przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

Jest to przesłanka legalizacyjna, której przyznaje się pierwszeństwo stosowania przed wszystkimi innymi podstawami. W sytuacji, gdy występuje tego rodzaju przesłanka do przetwarzania danych osobowych, to nie ma potrzeby wówczas występować o zgodę osoby, której dane dotyczą, bowiem jest to samodzielna przesłanka legalizująca przetwarzanie danych, choć podjęcie takich działań może powodować u osoby, której dane dotyczą błędne przeświadczenie, że może wycofać zgodę na przetwarzanie danych osobowych.

Przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. c RODO jest dopuszczalne jeżeli zostaną spełnione łącznie dwie przesłanki:

• można wskazać przepis prawa powszechnie obowiązującego, który nakłada na administratora danych obowiązek prawny,
• przetwarzanie danych jest niezbędne dla realizacji tego obowiązku prawnego.

Jeżeli chodzi o pierwszą z przesłanek istotne znaczenie ma katalog źródeł prawa zawarty w art. 87 ust. 1 Konstytucji RP. Z uwzględnieniem tego katalogu należy szukać podstawy prawnej przetwarzania danych w przepisach prawa. Wyjątkiem są rozporządzenia, gdyż ze względu na konstytucyjną zasadę możliwości ograniczenia wolności i praw w ustawie (prawa do decydowania o ujawnieniu swoich danych). Zatem nie powinno się wskazywać jako podstawy przetwarzania danych osobowych przepisu rozporządzenia. Podobne uwagi odnoszą się do wskazywania jako podstawy prawnej przetwarzania danych decyzji administracyjnej.

Kolejny z warunków przetwarzania danych osobowych na wyżej wymienionej podstawie jest ściśle związany ze wszystkimi innymi podstawami. RODO umożliwia przetwarzanie danych osobowych wyłącznie w niezbędnym zakresie, wynikającym z celu w jakim dane są przetwarzane, a także wyłącznie przez okres niezbędny do realizacji danego celu (dowiedz się więcej tutaj – zasada ograniczenia celu).