Dlaczego administrator danych osobowych musi właściwie wskazywać podstawy przetwarzania danych?
Prawidłowe przetwarzanie danych osobowych to takie, które jest zgodne z przepisami RODO1. Ta zgodność oznacza, że administrator nie może zarządzać danymi osobowymi w sposób dowolny i kiedy jest mu to potrzebne, ale powinien wskazać podstawę, na jakiej tego dokonuje. Każdy proces przetwarzania danych musi mieć minimum jedną podstawę. Dlaczego minimum? Ponieważ w praktyce często dochodzi do sytuacji, kiedy poszczególne przesłanki zazębiają się ze sobą i administrator będzie w stanie wykazać dwie, lub więcej podstaw.
Dobrym przykładem takiej zbieżności jest dokonywanie zamówień w sklepie internetowym. Z jednej strony klient wyraża zgodę, aby jego dane osobowe były przetwarzane na potrzeby utworzenia konta lub realizacji zamówienia. Z drugiej już sam fakt dodania produktu do koszyka i przejście przez proces zamówienia uprawniają administratora do przetwarzania danych w celu realizacji umowy.
Poprawne wskazanie podstawy przetwarzania danych ma kluczowe znaczenie z punktu widzenia legalności czynności mających za przedmiot dane osobowe. Brak możliwości wskazania którejkolwiek z podstaw przetwarzania powoduje, że administrator działa niezgodnie z przepisami rozporządzenia. W razie kontroli organu nadzorczego nie będzie on w stanie wykazać zasady rozliczalności, a co za tym idzie, narazi się na bardzo wysokie kary finansowe – zarówno administracyjne, jak i odszkodowania na rzecz osób, których dane są przetwarzane bez podstawy prawnej.
Doskonałym przykładem tego, jak ważna jest możliwość wskazania podstawy przetwarzania danych osobowych, jest wprowadzenie przez firmę Google zmienionego modelu zgód marketingowych w celu dopasowania witryny do rozporządzenia DMA2. Firma, która nie dokonała tego do 6 marca 2024 r. z dnia na dzień zaczęła przetwarzać dane osobowe swoich klientów niezgodnie z prawem.
Zobacz również: Jak legalnie stosować profilowanie z RODO?
Kiedy trzeba wskazać podstawę przetwarzania danych osobowych?
Podstawę przetwarzania danych osobowych należy wskazać za każdym razem, kiedy przedsiębiorca opracowuje proces mający na celu przetwarzanie danych osobowych. Jest to pojęcie o bardzo szerokim znaczeniu i zgodnie z art. 4 pkt 2 RODO obejmuje ono m.in.:
zbieranie danych;
utrwalanie danych;
organizowanie;
modyfikowanie;
pobieranie;
przeglądanie;
usuwanie;
rozpowszechnianie.
Nie ma przy tym znaczenia, czy dane osobowe są przetwarzane w sposób zautomatyzowany czy niezautomatyzowany, podstawa i tak musi zostać wskazana.
Zobacz również: Szacowanie ryzyka w zakresie RODO i DPIA. Jak do nich podejść?
Gdzie należy wskazać podstawy przetwarzania danych osobowych
Podstawy przetwarzania danych osobowych powinny być wskazane w polityce ochrony danych osobowych. To dokument, który identyfikuje osobę administratora ochrony danych, inspektora ochrony danych (jeżeli został on powołany), a także precyzuje, kto jest odbiorcą danych osobowych i jaki jest okres ich retencji. Formułują politykę ochrony danych, należy również pamiętać o wskazaniu praw osób, których dane dotyczą oraz prawie wniesienia skargi do organu nadzorczego.
Dodatkowo podstawy przetwarzania danych osobowych powinny być wskazane w polityce cookies. Jeżeli firma wdraża jakiekolwiek działania marketingowe adresowane do użytkowników przeglądarki Google, powinna zadbać o wdrożenie tzw. Consent Mode vol. 2, czyli poszerzonego obowiązku informacyjnego (Zmiany w polityce prywatności Google – jaki mają wpływ na prawo marketingu?) . Obejmuje on m.in. informacje o tym, jakie podmioty wykorzystują pliki ciasteczek w związku ze świadczeniem usług, a także okres przechowywania danych zebranych w ten sposób i określenie podstawy. Pominięcie tego obowiązku jest równoznaczne z przetwarzaniem danych użytkowników witryny bez podstawy prawnej.
Zobacz również: Test równowagi RODO. Kiedy i jak trzeba go przeprowadzić?
Jakie podstawy przetwarzania danych osobowych może wskazać administrator?
Rozporządzenie RODO przewiduje kilka podstaw legalizujących przetwarzanie danych osobowych, przy czym wystarczy, aby administrator był w stanie wykazać przynajmniej jedną spośród nich. W praktyce wskazanie właściwej podstawy przetwarzania danych nie zawsze będzie proste, dlatego w razie wątpliwości warto skonsultować się z kancelarią prawną doświadczoną w zakresie RODO. Przyjrzyjmy się poszczególnych podstawom nieco bliżej.
1. Zgoda osoby, której dane dotyczą
Zgoda osoby, której dane mają być przetwarzane, wydaje się najbardziej intuicyjną podstawą. Stosownie do definicji wskazanej w RODO zgodę należy rozumieć jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli – wprost lub w sposób dorozumiany, przyzwalające na przetwarzanie danych osobowych. Zgodę należy zawsze uzyskiwać w konkretnym celu. Administrator nie powinien tego robić „na zapas”, jeżeli istnieje możliwość powołania innej podstawy.
Osoba fizyczna powinna zdawać sobie sprawę, na co dokładnie się zgadza. Jej akcept nie może być wymuszony, np. w relacji nierównorzędnych podmiotów. W doktrynie nie ma zgodności, czy taka dysproporcja zachodzi między pracownikiem a pracodawcą.
Zobacz również: Szkolenie z RODO
2. Wykonanie umowy
Kolejną podstawą legalizacyjną jest wykonanie umowy, której stroną jest osoba, której dane dotyczą albo też żądanie przez nią podjęcia działania przed zawarciem umowy. Jeżeli dane mają być przetwarzane przed zawarciem umowy, inicjatywa w tym zakresie powinna wyjść od konsumenta. To on wysyła np. zapytanie do sklepu internetowego z prośbą o przesłanie katalogu produktów, więc to na jego prośbę (i niejako za jego zgodą) dane osobowe będą przetwarzane. Przepisy RODO nie precyzują, w jakiej postaci powinno zostać wyrażone żądanie konsumenta. Przyjmuje się jednak, że może być to nawet kontakt telefoniczny.
Czy w takim razie przedsiębiorca może skorzystać z tej podstawy, aby nawiązać z konsumentem relację i zaproponować zawarcie umowy? Niestety nie, konieczne będzie odwołanie się albo do zgody klienta, albo do uzasadnionego interesu administratora.
Zobacz również: Incydent RODO. Jak sobie z nim poradzić?
3. Obowiązek prawny administratora
Administrator może przetwarzać dane osobowe, jeżeli ciąży na nim obowiązek prawny w tym zakresie. Musi on wynikać z aktów prawa powszechnie obowiązującego krajowego lub międzynarodowego. Na tę podstawę mogą powołać się np. instytucje obowiązane realizujące swoje obowiązki wynikające z regulacji AML. Warto pamiętać, że prawny obowiązek administratora ma pierwszeństwo przed innymi podstawami, ale musi mieć konkretne umocowanie w akcie prawnym.
4. Ochrona żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej
W motywie 46 RODO wskazano, że przetwarzanie danych osobowych będzie legalne również wtedy, kiedy jest niezbędne do ochrony żywotnego interesu osoby fizycznej. Jako przykłady wskazano cele humanitarne, monitorowanie epidemii i ich rozprzestrzenianie się, klęski żywiołowe i katastrofy spowodowane przez człowieka. Żywotny interes może być podstawą wyłącznie wtedy, kiedy wskazanie innej podstawy przetwarzania jest niemożliwe.
5. Wykonywanie zadań publicznych
Ten przypadek zwykle nie budzi wątpliwości. Organy i urzędy rządowe oraz samorządowe mogą przetwarzać dane osób fizycznych do celów wynikających z ich kompetencji i zakresu obowiązków. Zasadą jest oczywiście zakaz zbierania jakichkolwiek informacji o obywatelach.
6. Prawnie uzasadniony cel administratora
Aby móc powołać się na prawnie uzasadniony interes, administrator musi zestawić ze sobą zasadność i niezbędność przetwarzania danych z tym, czy nadrzędnego charakteru nad nią nie mają podstawowe prawa lub wolności osoby fizycznej, której dane są przetwarzane. Unijny ustawodawca zaleca zachowane szczególnej ostrożności, jeżeli ta osoba fizyczna nie jest pełnoletnia. Jest to tak zwany test równowagi.
Prawnie uzasadniony interes stanowi przesłankę, na którą powołać można się wyłącznie w wyjątkowych okolicznościach, organy władzy publicznej zaś nie mogą zrobić tego wcale.
Zobacz również: Audyt RODO – jak powinien wyglądać i kiedy go przeprowadzać
Kiedy można przetwarzać wrażliwe dane osobowe?
Nieco inaczej zostało uregulowane przetwarzanie wrażliwych danych osobowych. Do tej kategorii zaliczają się informacje personalne wskazane w art. 9 ust. 1 rozporządzenia RODO, tj.:
pochodzenie rasowe lub etniczne;
poglądy polityczne;
przekonania religijne lub światopoglądowe;
przynależność do związków zawodowych;
przetwarzanie danych genetycznych lub biometrycznych w celu jednoznacznej identyfikacji osoby fizycznej;
przetwarzanie danych dotyczących zdrowia, orientacji seksualnej oraz seksualności danej osoby fizycznej.
Zobacz również: OSINT (biały wywiad) co to jest? Jakie dane o nas mogą być dostępne online lub publicznie?
W tych wszystkich przypadkach co do zasady obowiązuje zakaz przetwarzania danych. Jest to dopuszczalne wyłącznie w sytuacjach wymienionych w art. 9 ust. 2 RODO. Warto przy tym pamiętać, że są to przesłanki restrykcyjne, których nie należy interpretować rozszerzająco. Zalicza się do nich:
zgodę osoby, których dane dotyczą na przetwarzanie wrażliwych informacji w jednym lub większej liczbie celów, chyba że prawo państwa członkowskiego wyłącza możliwość uchylenia zakazu;
przetwarzanie danych, które jest niezbędne do wypełniania obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą w jednym z następujących obszarów:
prawo pracy;
zabezpieczenie społeczne;
ochrona socjalna.
Prawo do uchylenia takiego zakazu musi wynikać z przepisów obowiązujących w państwie członkowskim lub unijnego porządku prawnego;
przetwarzanie danych wrażliwych jest istotne dla żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, a osoba ta nie może wyrazić samodzielnie zgody na ich przetwarzanie (np. dane medyczne pacjenta przebywającego w śpiączce lub ubezwłasnowolnionego całkowicie przy jednoczesnej nieobecności opiekuna);
przetwarzanie dokonywane jest przez organizację NGO i dotyczy wyłącznie obecnych lub byłych członków tej organizacji albo osób utrzymujących z nią kontakt przy jednoczesnym zapewnieniu, że dane nie trafią „na zewnątrz”;
przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dotyczą (nie będą to więc dane wykradzione z portalu społecznościowego i opublikowane, ale umieszczone przez użytkownika np. na ścianie Facebooka już tak);
przetwarzanie jest niezbędne w celu ustalenia, dochodzenia lub obrony roszczeń, lub w ramach sprawowania wymiaru sprawiedliwości (wyłączeniem zakazu są objęte więc wszystkie informacje przywoływane na potrzeby postępowania sądowego);
przetwarzanie danych jest niezbędne ze względu na ważny interes publiczny na podstawie prawa Unii lub prawa państwa członkowskiego pod warunkiem, że podmiot przetwarzający:
zachowuje proporcjonalność działań do wyznaczonego celu;
nie narusza prawa do ochrony danych;
podejmuje odpowiednie i konkretne środki ochrony podstawowych praw i interesów osób, które dane dotyczą;
przetwarzanie jest dokonywane do celów związanych ze stosunkiem pracy i dotyczy profilaktyki zdrowotnej, medycyny pracy, zdolności pracownika do wykonywania pracy, diagnozy medycznej, leczenia oraz zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego;
przetwarzanie danych jest niezbędne do celów ochrony zdrowia publicznego, jak np. ochrona przed pandemiami czy zapewnienie jakości opieki zdrowotnej oraz produktów leczniczych;
przetwarzanie danych jest niezbędne do celów archiwalnych w interesie publicznym, np. opracowań sporządzanych przez GUS.
Warto pamiętać, że rozporządzenie RODO dopuszcza możliwość dalszego zaostrzenia warunków przetwarzania danych biometrycznych, genetycznych lub dotyczących zdrowia już na poziomie prawa lokalnego państwa członkowskiego.
Decydując się na przetwarzanie wrażliwych danych osobowych administrator lub procesor powinni zachować szczególną ostrożność i upewnić się, czy w danym przypadku możliwe jest przytoczenie przynajmniej jednego spośród powyższych wyłączeń zakazu. W przeciwnym razie trudno będzie wykazać działanie na podstawie i w granicach obowiązujących przepisów.
Jeśli jako firma przetwarzasz dane osobowe wrażliwe, rekomendujemy sięgnięcie po wsparcie kancelarii prawnej doświadczonej w zakresie praktycznego stosowania przepisów RODO. Dokładna analiza stanu faktycznego pozwoli na uniknięcie wysokich kar administracyjnych i odpowiedzialności cywilnoprawnej.
Pytania i odpowiedzi
Osoba, której dane osobowe zostały naruszone, ma prawo złożyć skargę do Prezesa UODO. W takiej sytuacji organ nadzorczy przeprowadzi postępowanie wyjaśniające co może, ale nie musi zakończyć się nałożeniem sankcji. Można oczywiście także w trybie wykorzystywania uprawnień podmiotów danych, zażądać usunięcia takich danych ze strony internetowej, gdyż przetwarzane są bez podstawy prawnej w postaci zgody.
Tak uzyskana zgoda narusza przepisy RODO, ponieważ wymaga się, aby osoba, której dane mają być przetwarzane, dobrowolnie zaaprobowała działanie administratora. W takiej sytuacji należałoby powołać inną podstawę – konieczność przetwarzania danych do wypełnienia obowiązków umownych ciążących na administratorze.
Konieczne jest spełnienie trzech warunków. Przede wszystkim między stronami musi istnieć (ważna) umowa. Po drugie czynność przetwarzania danych musi być powiązana z wykonaniem tej umowy (któregokolwiek z jej etapów). Wreszcie przetwarzanie danych jest niezbędne, aby umowę można było wykonać. Jeżeli daną czynność da się zrealizować bez ingerowania w dane osobowe osoby fizycznej, należy wybrać taką właśnie drogę zgodnie z zasadą minimalizmu.
Zaufali nam: