Na jakiej podstawie można przetwarzać dane osobowe?

RODO wskazuje kilka przesłanek, na podstawie których można, zgodnie z prawem,  przetwarzać dane osobowe. Należy jednak odróżnić podstawy przetwarzania danych zwykłych od podstaw przetwarzania danych wrażliwych (szczególnych kategorii).

Przetwarzanie danych osobowych jest pojęciem dość szerokim – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak m.in. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie. Aby przetwarzanie danych osobowych  było zgodne z prawem konieczne jest wystąpienie przynajmniej jednej przesłanki wskazanej w przepisach RODO – czyli podstawy prawnej przetwarzania.

reklama

Podstawy prawne przetwarzania danych zwykłych

W art. 6 RODO wskazane zostały podstawy prawne przetwarzania danych zwykłych, tj.:

  1. zgoda – wyrażenie zgody na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów. Zgoda dla swojej ważności wymaga tego aby była konkretna, świadoma, dobrowolna oraz jednoznaczna. Więcej na temat zgody pisaliśmy w tym artykule,
  2. umowa – niezbędność przetwarzania do wykonania umowy lub podjęcia działań przed zawarciem umowy, na żądanie osoby, której dane dotyczą,
  3. wypełnienie obowiązku prawnego – niezbędność przetwarzania do wypełnienia obowiązku prawnego ciążącego na Administratorze,
  4. ochrona żywotnych interesów – niezbędność przetwarzania do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
  5. realizacja interesu publicznego – niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi,
  6. prawnie uzasadniony interes Administratora – niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią (z pewnymi wyjątkami).

Każda ze wskazanych powyżej przesłanek jest samodzielna, oznacza to, że wystarczy spełnienie którejkolwiek z nich, aby przetwarzanie było zgodne z prawem. Na marginesie warto dodać, że w działalności biznesowej co do zasady zastosowanie będą miały wyłącznie podstawy prawne przetwarzania określone w punkcie pierwszym, drugim i szóstym, czyli zgoda, realizacja umowy, bądź prawnie uzasadniony interes.

Czy można przetwarzać dane wrażliwe?

Dane wrażliwe to m.in. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, dotyczące zdrowia, seksualności. Co do zasady zabronione jest ich przetwarzanie, za wyjątkiem spełnienia jednego z poniższych warunków:

  1. zgoda – wyrażenie wyraźnej zgody przez osobę, której dane dotyczą,
  2. przepis prawa – niezbędność przetwarzania do wypełnienia obowiązków i wykonywania szczególnych praw przez Administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego,
  3. ochrona żywotnych interesów – niezbędność przetwarzania do do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody,
  4. działalność fundacji, stowarzyszeń oraz innych podmiotów – dokonywanie przetwarzania w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą,
  5. samodzielne upublicznienie danych – przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą,
  6. postępowanie sądowe – niezbędność przetwarzania do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy,
  7. ważny interes publiczny – przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego,
  8. profilaktyka zdrowotna/medycyna pracy – niezbędność przetwarzania do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń,
  9. ważny interes publiczny w zakresie zdrowia publicznego – niezbędność przetwarzania ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego,
  10. cele archiwalne w interesie publicznym, cele statystyczne, badania naukowe, historyczne – niezbędność przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na podstawie prawa Unii lub prawa państwa członkowskiego.

Odrębną kwestią, którą należy poruszyć jest przetwarzanie danych dotyczących wyroków skazujących i czynów zabronionych. Wolno go dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą.

W RODO wskazanych jest kilka niezależnych podstaw prawnych przetwarzania danych. Podstawowe rozróżnienie dotyczy osobnych przesłanek przetwarzania danych zwykłych oraz danych wrażliwych. Należy pamiętać o tym, że aby przetwarzanie było legalne, musi wystąpić podstawa prawna przetwarzania.

Administrator danych spełniając obowiązek informacyjny ma obowiązek wskazania, na jakiej podstawie i w jakim celu przetwarza dane osobowe.

Newsletter

Administratorem podanych przez Pana/ Panią danych osobowych jest Data Legal Solutions z siedzibą w Warszawie (02-566), przy ul. Puławskiej 12/3. Dane będą przetwarzane w celu wysyłki newslettera oraz celu wysyłania przez administratora treści marketingowych administratora i podmiotów współpracujących na zasadach określonych w regulaminie portalu. Podanie adresu e-mail jest dobrowolne, lecz jego podanie jest niezbędne do zapisania się do newsletter. Udostępnienie adresu e-mail jest uznawane przez nas jako zamówienie informacji handlowej zgodnie z art. 10ust. 2 ustawy o świadczeniu usług drogą elektroniczną. Więcej informacji na temat przetwarzania przez nas danych osobowych znajduje się w polityce prywatności.
Reklama