Umowa – art. 6 ust. 1 lit. b) RODO
Przetwarzanie odbywa się na podstawie wskazanej w art. 6 ust. 1 lit. b) RODO, gdy pomiędzy administratorem a podmiotem danych istnieje bądź będzie istnieć stosunek umowny. W RODO nie sprecyzowano charakteru ani rodzaju umowy, która stanowiłaby podstawę takiego przetwarzania. W zakresie tej podstawy mieścić się będą zatem wszelkie stosunki umowne, jakie strony mogą pomiędzy sobą ukształtować. Do oceny ważności umowy i jej skutków zastosowanie znajdą oczywiście ogólne przepisy prawa regulujące dany stosunek umowny.
Tytułem przykładu wskazać można: umowę o świadczenie usług, umowę zlecenie, umowę o dzieło, umowę o współpracy, ale i umowę o pracę, umowę najmu, umowę licencyjną etc.
Do katalogu danych, przetwarzanych w oparciu o omawianą podstawę należeć będą m. in. dane identyfikacyjne podmiotu danych, dane kontaktowe, niezbędne do realizacji umowy, dane rozliczeniowe, dane prowadzonej działalności gospodarczej. Bez podania takich danych zawarcie i wykonanie umowy byłoby niemożliwe.
Jednocześnie w art. 6 ust. 1 lit. b) RODO ustawodawca unijny wprost przewidział, że analizowana podstawa uprawnia do przetwarzania danych osoby, z którą umowa ma być zawarta, jeszcze przed jej zawarciem, do podjęcia działań na żądanie podmiotu danych.
Obowiązek prawny – art. 6 ust. 1 lit. c) RODO
Istnieje szereg regulacji prawnych, nakładających na administratora obowiązek dopełnienia określonych formalności. Wówczas administrator nie tylko jest uprawniony, ale i zobowiązany do zgromadzenia i przetwarzania danych osobowych.
Do takich przykładów należy przetwarzanie danych osobowych w celu wywiązania się z obowiązku zapłaty danin publicznych (podatków), zgłoszenie osoby, której dane dotyczą do ZUS w związku z zawartą przez tę osobę z pracodawcą umową o pracę.
Zgodnie z art. 6 ust. 3 RODO obowiązki prawne muszą być określone w powszechnie obowiązujących przepisach prawa, zarówno UE, jak i krajowych. W doktrynie wskazuje się, że źródła polskich przepisów skatalogowane zostały w art. 87 Konstytucji RP. Są nimi Konstytucja RP, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia. Do katalogu źródeł prawa mogących stanowić podstawę przetwarzania w doktrynie nie są zaliczane akty niższego rzędu – akty prawa miejscowego, gdyż zgodnie z zastrzeżeniem art. 31 ust. 3 Konstytucji RP jedynie akty o randze ustawy mogą wprowadzać ograniczenia dla konstytucyjnych praw i wolności[1].
W prawie powinien być także wskazany cel przetwarzania. Mogą ponadto zostać wydane przepisy szczegółowe, doprecyzowujące ogólne warunki określone w RODO dotyczące zgodności przetwarzania z prawem, rodzaj danych osobowych podlegających przetwarzaniu, osoby, których dane dotyczą, podmioty, którym można ujawniać dane osobowe, cele, w których dane można ujawnić, okres przechowywania oraz inne środki zapewniające zgodność z prawem i rzetelność przetwarzania.
W doktrynie prawa wskazuje się, że przesłanka ta ma pierwszeństwo przed innymi podstawami, co oznacza, że jeżeli administrator jest zobowiązany do przetwarzania w danej sytuacji określonych danych osobowych przetwarzanie winno być oparte na podstawie art. 6 ust. 1 lit. c) RODO bez poszukiwania innych podstaw prawnych, w tym pobierania zgody na takie przetwarzanie[2].
Ochrona żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej – art. 6 ust. 1 lit. d) RODO
W słowniku pojęć w art. 4 RODO ustawodawca unijny nie sprecyzował znaczenia sformułowania żywotnych interesów. Wskazówki zawarte zostały w motywie (46) Preambuły RODO, zgodnie z którymi przetwarzanie będzie zgodne z prawem, gdy jest niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą. Jak wskazano dalej niektóre rodzaje przetwarzania mogą służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka.
Równocześnie uwagi wymaga, że na podstawie tej przesłanki może być dokonywane przetwarzanie danych osobowych pewnej osoby w celu ochrony żywotnych interesów innej osoby fizycznej.
Kluczowym jest jednak fakt, że przesłanka ta może być stosowana w przypadkach, w których przetwarzania nie da się oprzeć na innej podstawie prawnej. Jej zastosowanie powinno być dobrze przeanalizowane i ograniczone do szczególnych, wyjątkowych przypadków.
Zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi – art. 6 ust. 1 lit. e) RODO
Przesłanka ta stanowić będzie podstawę dla przetwarzania danych osobowych przez organy i inne podmioty, które realizują zadania w interesie publicznym lub sprawują władzę publiczną. Takie czynności muszą być wprost przewidziane w przepisach prawa, a przetwarzanie nie może być realizowane w sposób dowolny. Podobnie zakres przetwarzanych na tej podstawie danych musi być uzasadniony i znajdować rzeczywiste uzasadnienie. Zasadą jest zatem ogólny zakaz pobierania i gromadzenia danych osobowych przez organy o osobach fizycznych. Do przełamania zakazu niezbędna jest odpowiednia norma upoważniająca podmioty do dokonywania przetwarzania.
Ponadto zgodnie z art. 6 ust. 3 RODO podstawy przetwarzania muszą być określone w przepisach prawa, tj. w prawie unijnym lub krajowym. Stąd też uwagi dot. źródeł prawa UE i krajowego, przedstawione przy charakterystyce obowiązku prawnego (pkt 2 powyżej) odnoszą się także do niniejszej przesłanki.
W związku z powyższym w doktrynie wskazuje się, że powyższa podstawa jest skorelowana z podstawą wskazaną w art. 6 ust. 1 lit. c) RODO, tj. niezbędnością przetwarzania do wywiązania się z obowiązku prawnego nałożonego na administratora[3].
Realizacja celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią – art. 6 ust. 1 lit. f) RODO
Na wstępie zaznaczyć trzeba, że przesłanka prawnie uzasadnionych interesów jest przesłanką szczególną. Do oparcia na niej przetwarzania ustawodawca unijny wymaga przeprowadzenia aż dwóch testów. Pierwszym jest zbadanie, podobnie jak przy większości przesłanek, czy podejmowane przetwarzanie jest rzeczywiście niezbędne do osiągnięcia obranego przez administratora celu. Drugi test wymaga zbadania czy w stosunku do realizacji prawnie uzasadnionych interesów administratora lub strony trzeciej nadrzędnego charakteru wobec tych interesów nie mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Reasumując, dopiero weryfikacja czy przetwarzanie danych osobowych jest rzeczywiście niezbędne, jak i czy przewagi nad interesami administratora lub strony trzeciej nie uzyskują prawa i wolności podmiotu danych, uprawnia administratora danych do oparcia przetwarzania na tej podstawie prawnej. W praktyce przeprowadzenie drugiego z testów jest bardzo często pomijane, a przecież jego negatywny wynik może prowadzić do uznania, że dane osobowe przetwarzane są z naruszeniem prawa. Więcej na ten temat możecie znaleźć Państwo w artykule: „Test równowagi” – kto i kiedy zobowiązany jest do jego przeprowadzenia.
Przetwarzania na tej podstawie prawnej nie mogą oprzeć organy publiczne w ramach realizacji swoich zadań.
Przesłanka prawnie uzasadnionych interesów jest najbardziej niedookreśloną przesłanką, w której katalog przypadków przetwarzania danych osobowych jest niezwykle szeroki. Prowadzi to także do uznania tej podstawy za przesłankę, która w praktyce może przysparzać trudności w stosowaniu.
Przede wszystkim istotne jest jednak rozważenie, co może zostać uznane jako interes, prawnie uzasadniony, realizowany przez administratora lub stronę trzecią. W doktrynie silnie podkreśla się, że mimo że brzmienie przepisu sugeruje na konieczność poszukiwania interesów w prawie (prawnie uzasadnione interesy) nie należy stawiać znaku równości z przesłanką obowiązku prawnego, który to musi mieć swoje źródło w przepisach prawa. Wskazuje się, „że ocenie powinna podlegać okoliczność, czy interes (cel), który zamierza osiągnąć (administrator danych lub podmiot trzeci), jest uzasadniony (usprawiedliwiony), tzn. czy znajduje swoje gospodarcze i prawne uzasadnienie (np. czy jest zgodny z przedmiotem działalności spółki)”[4].
Wskazówek do interpretowania tej przesłanki dostarcza także Preambuła RODO. W motywie (47) wskazano, że prawnie uzasadnione interesy administratora lub strony trzeciej mogą być podstawą przetwarzania, gdy zachodzi istotny i odpowiedni rodzaj powiązania między podmiotem danych a administratorem, a zatem o ile osoba taka może oczekiwać, iż takie przetwarzanie wystąpi. Przykładem może być sytuacja, w której osoba jest klientem administratora bądź działa na jego rzecz (osoby wyznaczone do kontaktu bądź do realizacji umowy). RODO, za działanie oparte na prawnie uzasadnionym interesie, uznaje także przetwarzanie dokonywane do celów marketingu bezpośredniego. W tym jednak przypadku należy mieć w świadomości inne ograniczenia przy kierowaniu informacji marketingowych, wynikające z innych przepisów prawa, tj. np. z ustawy Prawo telekomunikacyjne[5].
Zgoda osoby na przetwarzanie jej danych osobowych w jednym lub większej liczbie określonych celów – art. 6 ust. 1 lit. a) RODO
Podstawą przetwarzania danych osobowych może być zgoda osoby, której dane dotyczą. Zgoda taka może być wyrażona wyłącznie zgodnie z warunkami dookreślonymi w RODO, tj. musi być dobrowolna, konkretna, świadoma i jednoznaczna. Zgoda może stanowić podstawę przetwarzania wyłącznie w okresie, na który została wyrażona bądź do momentu, w którym została wycofana. Zgoda uprawnia do przetwarzania danych w celu, który został podmiotowi danych zakomunikowany i charakteryzuje się konkretnością. Za skuteczną podstawę przetwarzania nie zostanie uznane pobranie od podmiotu danych ogólnego oświadczenia na przetwarzanie wszystkich jego danych osobowych w nieokreślonych bliżej sytuacjach.
Zgoda pobierana jest zazwyczaj w formie pisemnego oświadczenia lub innej czynności np. poprzez odznaczenie odpowiedniego checkbox’a w formie elektronicznej. Do przetwarzania danych osobowych zwykłych RODO nie wymaga, aby zgoda udzielona została w formie pisemnej. Zgoda może zostać wywiedziona z wyraźnej czynności potwierdzającej, wykonanej przez osobę, której dane dotyczą. Forma jej udzielenia jest istotna dla administratora wyłącznie ze względów dowodowych.
W przypadku zgody – jako podstawy przetwarzania – w motywie (42) RODO wyraźnie podkreśla się aspekt możliwości udowodnienia jej pozyskania przez administratora. W przypadku zatem, gdy nie decydujemy się na pobieranie pisemnych oświadczeń, warto zadbać o inne środki, które na wypadek kontroli organu, bądź sytuacji spornych pozwolą nam na wykazanie, że zgoda taka została złożona (np. archiwizacja wiadomości e – mail z wyrażoną przez podmiot danych zgodą).
Przykładem przetwarzania w oparciu o omawianą przesłankę może być zgoda na przetwarzanie danych osobowych w ramach przyszłych rekrutacji bądź zgoda na przetwarzanie danych osobowych w programie lojalnościowym oferowanym przez administratora.
Jednocześnie zgody na przetwarzanie danych osobowych nie należy mylić z innymi zgodami wskazanymi w innych niż RODO przepisach prawa, legalizujących inne działania niż przetwarzanie danych osobowych, np. zgody wynikającej z art. 172 Prawa telekomunikacyjnego na przesyłanie komunikatów marketingu bezpośredniego bądź informacji handlowych w określonych w przepisie sytuacjach.
Bardzo istotnym jest, że pobieranie zgody od podmiotu danych w przypadkach, gdy administrator legitymuje się inną przesłanką przetwarzania danych osobowych, jest działaniem nieprawidłowym, gdyż wprowadza podmiot danych w błąd co do przysługujących mu praw.
Administrator zobowiązany jest do zagwarantowania odpowiednich mechanizmów w celu umożliwienia łatwego wycofania przez podmiot danych udzielonej zgody, a w przypadku jej cofnięcia do zaprzestania dokonywanego przetwarzania danych na tej podstawie.
W przypadku, gdyby potrzebowali Państwo wsparcia w ustaleniu istnienia właściwych podstaw prawnych w podejmowanych przez Państwa procesach przetwarzania danych osobowych nasi eksperci pozostają do Państwa dyspozycji.
Zachęcamy także do zapoznania się z informacjami ogólnymi dotyczącymi podstaw przetwarzania danych osobowych, które znajdują się w artykule: Podstawy prawne przetwarzania danych osobowych.
[1] Tak A. Nerka, M. Sakowska – Baryła Artykuł 6 RODO [W:] Ogólne rozporządzenie o ochronie danych osobowych. Komentarz 2018, wyd.1, red. M. Sakowska – Baryła, dostęp Legalis.
[2] Tak P. Litwiński, M. Kawecki, P. Barta Artykuł 6 RODO [W:] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Komentarz 2021, wyd. 1, red. P. Litwiński, dostęp Legalis.
[3] Tamże.
[4] Tamże.
[5] Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (tekst jedn. Dz. U. 2022, poz. 1648).