Informacje ogólne
Większość regulacji dotyczących danych osobowych znajdziemy w Ogólnym Rozporządzeniu o Ochronie Danych Osobowych 2016/679 (dalej: „RODO”). Zgodnie z art. 5 ust. 1 lit. a) RODO dane osobowe muszą być przetwarzane zgodnie z prawem. W kolejnych artykułach RODO ustawodawca unijny przedstawił szereg sytuacji (przesłanek), których wypełnienie niezbędne jest do legalnego przetwarzania danych osobowych. Przesłanki, odnoszące się do kategorii „zwykłych” danych osobowych, zawiera art. 6 ust. 1 RODO, w art. 9 ust. 2 RODO wskazano warunki, przy których spełnieniu dopuszczalne jest przetwarzanie szczególnych kategorii danych osobowych, zaś w art. 10 RODO określono przetwarzanie danych dot. wyroków skazujących i naruszeń prawa. Właśnie te przesłanki nazywane są podstawami prawnymi przetwarzania danych osobowych.
W niniejszym artykule uwagę poświęcimy podstawom przetwarzania danych osobowych „zwykłych”, tj. niewylistowanych w art. 9 ani 10 RODO.
Podmiot odpowiedzialny
Podmiotem odpowiedzialnym za przetwarzanie danych osobowych w oparciu o odpowiednie podstawy jest administrator danych osobowych. Administrator jest odpowiedzialny za prawidłowe ukształtowanie całego procesu przetwarzania danych, a w tym mieści się określenie właściwych podstaw prawnych, na których takie przetwarzanie oprze.
Odpowiednimi podstawami prawnymi przetwarzania powinni legitymować się także współadministratorzy. Inaczej sytuacja wygląda w przypadku procesorów (podmiotów przetwarzających) – te podmioty nie przetwarzają danych osobowych samodzielnie, lecz w imieniu i na zlecenie administratorów. Nie są zatem zobowiązane ani wręcz uprawnione do poszukiwania własnych podstaw przetwarzania. (Więcej na temat podmiotów biorących udział w przetwarzaniu danych osobowych możecie znaleźć Państwo w niniejszym artykule).
Weryfikacja czy administrator dysponuje odpowiednimi podstawami prawnymi uprawniającymi go do przetwarzania danych osobowych powinno zostać dokonana już na etapie projektowania procesów przetwarzania.
Podstawy przetwarzania zwykłych danych osobowych
Do przesłanek umożliwiających przetwarzanie zwykłych danych osobowych zaliczamy:
- zgodę osoby, której dane dotyczą na przetwarzanie jej danych osobowych w jednym lub większej ilości określonych celów – art. 6 ust. 1 lit. a) RODO,
- niezbędność przetwarzania do wykonania umowy lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy – art. 6 ust. 1 lit. b) RODO,
- niezbędność przetwarzania do wypełnienia obowiązku prawnego ciążącego na administratorze – art. 6 ust. 1 lit. c) RODO,
- niezbędność przetwarzania do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej – art. 6 ust. 1 lit. d) RODO,
- niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi – art. 6 ust. 1 lit. e) RODO,
- niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią pod określonym w przepisie wyjątkiem – art. 6 ust. 1 lit. f) RODO. Przesłanka ta nie może stanowić podstawy przetwarzania dla organów publicznych w ramach realizacji ich zadań.
Zwrócić trzeba uwagę na brzmienie niemal wszystkich wymienionych powyżej podstaw prawnych, w których wyraźnie dostrzegalne jest umożliwienie przetwarzania danych osobowych w sytuacjach, gdy jest ono „niezbędne”. Każdorazowo zatem administrator projektujący proces przetwarzania winien zadać sobie pytanie, czy rzeczywiście do zrealizowania obranego przez siebie celu przetwarzanie danych osobowych w danym wypadku jest konieczne. Jedynie rzeczywista niezbędność przetwarzania faktycznie uzasadnia jego dokonywanie. Jako przykład może posłużyć sytuacja, w której wystąpi niezbędność przetwarzania danych identyfikacyjnych (np. imię i nazwisko), danych adresowych, danych dotyczących prowadzonej działalności oraz związanych z nią oznaczeń w celu zawarcia z kontrahentem umowy o współpracy. Zawarcie umowy, bez wskazania w niej danych osobowych stron, byłoby niemożliwe.
Zauważyć trzeba ponadto, że oparcie się na jednej lub na kilku wskazanych powyżej podstawach nie zwalnia administratorów ze stosowania zasad przetwarzania danych osobowych, tj. w szczególności zasady minimalizacji danych osobowych. Fakt, że administrator posiada podstawę do przetwarzania określonych danych osobowych osoby X nie oznacza, że może przetwarzać nieokreślony katalog jej danych. Zatem wybierając podstawę legalizującą przetwarzanie należy także ściśle określić katalog danych na niej przetwarzanych.
Czy przetwarzanie danych osobowych w ramach właściwych podstaw prawnych jest istotne?
Jak wynika z powyższych ogólnych informacji przetwarzanie danych osobowych jest zgodne z prawem, kiedy (poza spełnieniem innych wymogów z RODO) oparte jest na wskazanych w RODO podstawach. Katalog wskazanych art. 6 RODO przesłanek jest katalogiem zamkniętym, nie zaś przykładowym. Odmiennie w przypadku, gdy podmiot dokonujący przetwarzania podstaw takich posiadać nie będzie – dokonuje przetwarzania niezgodnie z przepisami prawa, a tym samym naraża się na sankcje określone w przepisach prawa.
Koniecznym jest zatem podkreślenie, że przetwarzanie danych osobowych bez właściwych podstaw prawnych stanowi naruszenie powszechnie obowiązujących przepisów prawa.
Zgodnie z art. 83 ust. 5 lit. a) RODO naruszenie podstawowych zasad przetwarzania, o których mowa m. in w art. 6 RODO podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Nie dziwi zatem fakt, że w wyszukiwarce decyzji wydanych przez Prezesa Urzędu Ochrony Danych Osobowych, kwestia podstaw prawnych była jednym z najczęściej badanych zagadnień w prowadzonych przez organ postępowaniach. Więcej razy uwagę organu absorbowało jedynie zagadnienie praw osób, których dane dotyczą czy udostępnianie danych. Świadczy to niewątpliwie o istotności przedstawianych Państwu kwestii.
Zaakcentowania wymaga także przewidziana w polskiej ustawie o ochronie danych osobowych odpowiedzialność za bezprawne przetwarzanie danych osobowych. Zgodnie z art. 107 ww. ustawy kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne, bądź nie jest uprawniony do ich przetwarzania podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Surowszą sankcją zagrożone jest przetwarzanie szczególnych kategorii danych osobowych.
Dodatkowo ustalenie właściwych podstaw prawnych przetwarzania danych osobowych jest istotne z punktu widzenia ciążących na administratorze obowiązków, w tym obowiązków informacyjnych, przewidzianych w art. 13 ust. 1 lit. c i art. 14 ust. 1 lit. c RODO. Zgodnie z nimi administrator zobowiązany jest do podawania osobom, których dane przetwarza informacji o celach i przybranych przez niego podstawach prawnych przetwarzania ich danych osobowych.
Jednocześnie prawidłowe ustalenie podstaw prawnych ma z kolei przełożenie na przysługujące podmiotom danych uprawnienia. Niektóre z przewidzianych w RODO uprawnień przysługują podmiotom danych, jedynie w przypadku, gdy ich dane przetwarzane są w oparciu o określoną podstawę prawną.
Przykład stanowi prawo do przenoszenia danych (art. 20 RODO), z którego skorzystanie możliwe jest m. in. jeżeli przetwarzanie odbywa się na podstawie zgody (w myśl art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a) RODO) lub na podstawie umowy w myśl art. 6 ust. 1 lit. b RODO.
Nie da się ukryć, iż właściwe ustalenie podstaw przetwarzania często wymaga nie tylko znajomości RODO, lecz również decyzji organu, a także praktyki i realiów danej branży.
Jeżeli po lekturze niniejszego artykułu macie Państwo pytania związane z przetwarzaniem danych osobowych lub chcielibyście uzyskać Państwo wsparcie w weryfikacji, czy zostały one prawidłowo ustalone w Państwa organizacji – nasi eksperci służą wsparciem.