Artykuł odpowiada na pytanie: Na jakiej podstawie w świetle RODO mogą być przetwarzane „zwykłe” dane osobowe?
Czym są dane osobowe i jakie czynności obejmują
Od 25 maja 2018 r. obowiązuje Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO) oraz Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018. 1000).
W świetle art. 4 pkt 1 RODO „dane osobowe” oznaczają informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (…)”. Można ją zidentyfikować znając np. jej miejsce zamieszkania „lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”. „Przetwarzanie” danych osobowych oznacza czynności „wykonywane na danych osobowych” takie jak: zbieranie i przechowywanie, opracowywanie, udostępnienie, usuwanie, niszczenie (art. 4 pkt 2 RODO). Dane osobowe może przetwarzać „administrator” danych osobowych lub „podmiot przetwarzający” tzw. procesor.
Pisaliśmy o tym w dwóch poprzednich artykułach:
RODO 2018: Dane osobowe oraz ich przetwarzanie (1) – https://lexagit.pl/rodo-2018-dane-osobowe-oraz-przetwarzanie-1/
RODO 2018: Dane osobowe oraz ich przetwarzanie (2)- https://lexagit.pl/rodo-2018-dane-osobowe-oraz-przetwarzanie-2/
Ustawodawca unijny dzieli dane osobowe na „zwykłe” i „szczególne”. [1] Zezwala na przetwarzanie danych ”zwykłych” oraz wyjątkowo danych „szczególnych”.
Warunki przetwarzanie „zwykłych” danych osobowych
Na podstawie art. 6 ust. 1 RODO można zgodnie z prawem przetwarzać dane osobowe „zwykłe” – w przypadku, gdy „spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, (-) w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Zgoda na przetwarzanie danych osobowych, czym jest
Zgoda na przetwarzanie danych osobowych jest to „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych” (art. 4 pkt 11 RODO).
Zgodnie z RODO treść zgody powinna być sformułowana przez administratora w sposób zrozumiały ze wskazaniem celu przetwarzania danych osobowych np. wysyłka newslettera. W przypadku, gdy administrator przetwarza dane osobowe w kilku celach, wtedy na każdy z tych celów musi uzyskać osobną zgodę.
Osoba, której dane dotyczą może odwołać złożoną wcześniej zgodę. W takim przypadku administrator musi zaprzestać przetwarzania jej danych osobowych. Co istotne, w imieniu dzieci do ukończenia 16. roku życia wyrażają ich rodzice lub opiekunowie prawni.
Określony cel przetwarzania danych osobowych
Przetwarzanie danych osobowych jest dopuszczalne, jeżeli istnieje określony cel ich przetwarzania, a osoba której dane dotyczą wyraziła w tym celu zgodę na ich przetwarzanie.
Obowiązek przetwarzania danych osobowych wynika z przepisów prawa
Podstawa przetwarzania danych osobowych wynika z powszechnie obowiązujących w danym państwie źródeł prawa. Będzie to np. Konstytucja, ustawa, rozporządzenie.
Przykład:
- przetwarzanie danych w celach związanych z prowadzeniem ksiąg rachunkowych (ustawa o rachunkowości),
- przetwarzanie danych osobowych przy rekrutacji do pracy oraz
- przetwarzanie danych osobowych pracownika (kodeks pracy).
Ochrona „żywotnych interesów” osoby, której dane dotyczą lub innej osoby fizycznej
W motywie 46 RODO czytamy: „Niektóre rodzaje przetwarzania mogą służyć (-) żywotnym interesom osoby, której dane dotyczą, na przykład gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka”.
Zadania realizowane przez organ publiczny w interesie publicznym lub w ramach sprawowania władzy publicznej
W motywie 45 RODO ustawodawca unijny podaje: „Prawo Unii lub prawo państwa członkowskiego powinno określać także, czy administratorem wykonującym zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powinien być organ publiczny czy inna osoba fizyczna lub prawna podlegająca prawu publicznemu lub prawu prywatnemu, na przykład zrzeszenie zawodowe, jeżeli uzasadnia to interes publiczny, w tym cele zdrowotne, takie jak zdrowie publiczne, ochrona socjalna oraz zarządzanie usługami opieki zdrowotnej”.
Prawnie uzasadnione interesy
Przepisy RODO nie definiują „prawnie uzasadnionego interesu” Z motywu 47 RODO wynika, że przykładem przetwarzania danych w prawnie uzasadnionym interesie administratora „jest również przetwarzanie danych osobowych bezwzględnie niezbędne do zapobiegania oszustwom. Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego”.
Natomiast w motywie 49 RODO podano jako przykład przetwarzanie danych osobowych w celu „zapewnienia odporności sieci lub systemu informacyjnego (…) na przypadkowe zdarzenia albo niezgodne z prawem lub nieprzyjazne działania naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych osobowych – oraz bezpieczeństwa związanych z nimi usług oferowanych lub udostępnianych poprzez te sieci i systemy przez organy publiczne, zespoły reagowania na zagrożenia komputerowe, zespoły reagowania na komputerowe incydenty naruszające bezpieczeństwo, dostawców sieci i usług łączności elektronicznej oraz dostawców technologii i usług w zakresie bezpieczeństwa jest prawnie uzasadnionym interesem administratora, którego sprawa dotyczy”.
Realizacją przez administratora prawnie uzasadnionego interesu będzie zgłoszenie „ewentualnych czynów zabronionych czy zagrożeń dla bezpieczeństwa publicznego oraz przesłanie w indywidualnym przypadku – lub w różnych przypadkach związanych z tym samym czynem zabronionym lub zagrożeniem dla bezpieczeństwa publicznego – odpowiednich danych osobowych właściwemu organowi” . Powyższe wynika z motywu 50 RODO.
W kolejnej części artykułu zostanie omówione przetwarzanie danych osobowych „szczególnych”).
Podstawa prawna:
– art. 4 pkt 1, art. 6 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119, s. 1).
Objaśnienie:
[1] Szczególne kategorie danych „szczególnych” zawiera art. 9 Ogólnego Rozporządzenia o Ochronie Danych Osobowych 2016/679 (RODO).
Wanda Książek – współpracownik Portalu
Zapraszamy do kontaktu z Kancelarią, jeśli artykuł ten Państwa zainteresował lub potrzebują Państwo więcej informacji.
https://digiartia.com/product/legal-power-law-firm-html-template/
https://digiartia.com/product/justitia-multiskin-lawyer-legal-wordpress-theme/