Do przetwarzania danych trzeba mieć podstawę prawną

Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Aby przetwarzanie danych było zgodne z prawem, musi się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie prawnej przewidzianej w RODO albo w innym akcie prawnym Unii lub w przepisach państwa członkowskiego.

Gdzie szukać podstawy do przetwarzania?

Przetwarzanie danych osobowych bez ważnej podstawy prawnej może skończyć się dla administratora danych nałożeniem na niego kary pieniężnej, a kary te mogą być naprawdę wysokie. Każdy podmiot, który przetwarza dane osobowe, musi zastanowić się, jaka będzie odpowiednia, zgodna z prawem podstawa planowanego przetwarzania danych. Naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, podlegają administracyjnej karze pieniężnej w wysokości do 20.000.000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. RODO dzieli dane osobowe na dane zwykłe i dane szczególnych kategorii. Z tym że z RODO wynika zasada tzw. autonomiczności przesłanek przetwarzania, zgodnie z którą do wypełnienia przez administratora zasady legalności wystarczające jest oparcie procesu przetwarzania danych osobowych wyłącznie na jednej z przesłanek. Podstawy prawne umożliwiające przetwarzanie danych osobowych zwykłych zawiera art. 6 ust. 1 RODO. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy jest spełniony co najmniej jeden z warunków opisanych w tym przepisie, tj.:

a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów,

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; zakres pobieranych danych osobowych nie może być szerszy niż wynikający z zawartej umowy; ponadto, jeśli uzyskane dane osobowe przedsiębiorca chce przetwarzać w innym celu niż realizacja umowy, wówczas musi mieć do tego inną podstawę prawną, np. zgodę osoby, której dane będzie przetwarzał,

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; administrator danych może przetwarzać dane osobowe, gdy takie upoważnienie wynika dla niego z przepisów prawa – przykładowo, prawo pracy nakłada na pracodawcę obowiązki prawne, które wymagają przetwarzania danych osobowych,

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; RODO stanowi, że żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej; niektóre rodzaje przetwarzania mogą służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, gdy np. przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka,

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi – chodzi tu o przetwarzanie danych osobowych dokonywane przez organy publiczne lub przez inne podmioty, które takie zadania realizują, np. w celu ochrony zdrowotnej, opieki socjalnej czy przez instytucje dysponujące, np. pomocą 800+,

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem – jako przykłady takiego przetwarzania podaje się np. marketing bezpośredni firm.

Szczególne kategorie danych

Dane wrażliwe to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. Jest to w odróżnieniu od danych osobowych zwykłych katalog zamknięty. Jak podkreśla się w motywie 51 preambuły do RODO, dane osobowe szczególnych kategorii wyróżniono i poddano zaostrzonej regulacji z racji ich charakteru, relatywnie wrażliwego, w świetle podstawowych praw i wolności. Zasadniczo ich przetwarzanie jest zabronione. Jednak w określonych sytuacjach muszą być one przetwarzane, np. dane o stanie zdrowia pracowników przetwarzane przez pracodawcę czy dane o wyznaniu uczniów przetwarzane przez szkołę, w celu kwalifikacji uczniów na lekcje religii czy etyki. RODO w art. 9 ust. 2 wprowadza katalog podstaw prawnych, które upoważniają administratorów do przetwarzania danych wrażliwych (patrz ramka).

Podstawy prawne do przetwarzania danych wrażliwych

»	Osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach.
»	Przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej.
»	Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody.
»	Przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami, oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą.
»	Przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą.
»	Przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy.
»	Przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
»	Przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego.
»	Przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych.
»	Przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.

autor: Marta Stefanowicz – Wasilewska
Gazeta Podatkowa nr 9 (2092) z dnia 2024-01-29

Postępowanie w przypadku naruszenia ochrony danych osobowych. Wszystko na ten temat w poradniku na GOFIN.pl

KONTAKT

CHMURA TAGÓW

PRZYDATNE LINKI

ARCHIWUM

AUTORZY

RSS