Jak wybrać prawidłową podstawę prawną dla przetwarzanych danych osobowych

Oczywistym jest, iż administrator danych osobowych musi dysponować i potrafić wskazać podstawę prawną przetwarzanych przez siebie danych osobowych. Odnajdzie ją w art. 6 RODO (jeżeli przetwarza zwykłe dane osobowe), w art. 9 RODO (jeżeli przetwarza dane osobowe szczególnych kategorii) bądź w art. 10 RODO (w przypadku danych osobowych dotyczących wyroków skazujących, czynów zabronionych, środków bezpieczeństwa).

Co warte podkreślenia, żadna ze wskazanych w powołanych przepisach podstaw przetwarzania danych nie jest nadrzędna wobec pozostałych, wszystkie powinny być traktowane na równi.

Przypomnijmy, iż podstawami przetwarzania danych zwykłych mogą być:

  1. zgoda osoby, której dane dotyczą,
  2. wykonanie umowy lub podjęcie działań na żądanie osoby, której dane dotyczą przed jej zawarciem,
  3. wypełnienie obowiązku prawnego ciążącego na administratorze,
  4. ochrona żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej,
  5. wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
  6. realizacja przez administratora lub przez stronę trzecią ich prawnie uzasadnionych interesów (z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych).

We wszystkich tych sytuacjach, w których istnieje więc przepis prawa, na podstawie którego administrator będzie mógł dane osobowe przetwarzać, wystarczające jest powołanie się przez administratora na ten przepis prawa (w istocie chodzi o przesłankę wypełnienia obowiązku prawnego ciążącego na administratorze bądź wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi). Przesłanka obowiązku prawnego nie ma przy tym zastosowania wyłącznie do organów administracji, ale do każdego podmiotu, który musi wypełnić nałożony na niego obowiązek prawny. Przykładowo więc pracodawca powoła się, przetwarzając dane osobowe pracowników bądź kandydatów do pracy, na przepisy Kodeksu pracy.

Jeżeli chodzi natomiast o przesłankę wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, będzie mógł się nią posłużyć zarówno organ publiczny, jak i podmiot, któremu powierzono wykonanie zadania publicznego bądź delegowano na niego uprawnienia władzy publicznej.

Jeżeli z daną osobą administratora łączy umowa, wówczas również ustalenie podstawy prawnej przetwarzania danych będzie stosunkowo proste. Administrator może przetwarzać dane niezbędne do wykonania umowy bądź podejmować działania na żądanie osoby, której dane dotyczą, przed jej zawarciem. Należy podkreślić, iż oparcie się przez administratora na tej przesłance może dotyczyć tylko przetwarzania danych osobowych osoby, z którą ma zostać lub została zawarta umowa. Jeżeli w trakcie czynności zmierzających do zawarcia umowy bądź w trakcie jej wykonania dochodzi do przetwarzania danych osobowych osób trzecich, wówczas podstawy prawnej przetwarzania danych należy szukać gdzie indziej (zwykle będzie to uzasadniony interes administratora danych).

Ponadto, gdy administrator realizuje samodzielnie lub przez stronę trzecią swoje prawnie uzasadnione interesy, stanowi to odrębną, pełnoprawną podstawę przetwarzania danych. Administrator musi jednak wziąć pod uwagę sytuacje, w których nadrzędny charakter wobec jego interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych. Konieczne jest więc wyważenie przez administratora własnego interesu (lub interesu strony trzeciej) z interesem osoby, której dane dotyczą. Administrator musi oczywiście wykazać, że w danej sytuacji właśnie jego interes przeważa nad interesem osoby, której dane dotyczą.
Z przesłanki uzasadnionego interesu nie mogą skorzystać organy publiczne w ramach realizacji swoich zadań.

Prawnie uzasadnionym interesem stanowiącym podstawę legalnego przetwarzania danych może być: dochodzenie roszczeń, zapobieganie oszustwom, marketing bezpośredni, przesyłanie danych w ramach grupy kapitałowej, prowadzenie ewidencji korespondencji przychodzącej i wychodzącej bądź księgi wejść i wyjść do budynku.

Kolejną przesłanką przetwarzania danych stanowi ochrona żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej. Administrator może powołać się na tę przesłankę, gdy dochodzi do zagrożenia żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej oraz ochrona tych interesów nie jest możliwa w inny sposób, tylko przez przetwarzanie danych osobowych. Żywotnymi interesami są takie interesy, które mają istotne znaczenie dla życia konkretnej osoby, jak np. konieczność ratowania czyjegoś zdrowia, życia, mienia. Powo­łanie się na tę przesłankę jest możliwe zarówno wobec osoby, której dobro jest zagrożone, jak i wobec osób trzecich. Zgodnie z motywem 46 RODO posługiwanie się tą przesłanką w odniesieniu do innej osoby fizycznej powinno być jednak raczej wyjątkowe, tzn. żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej.

Jeżeli żadna z powyższych przesłanek nie znajdzie zastosowania, wówczas, aby legalnie przetwarzać dane w okreś­lonym celu, należy uzyskać zgodę podmiotu, którego dane przetwarzamy.

Tak naprawdę więc należy przed uzyskaniem jakiejkolwiek zgody na przetwarzanie danych, zastanowić się, czy w danej sytuacji nie można posłużyć się inną podstawą przetwarzania danych i czy uzyskanie zgody jest faktycznie konieczne. Oczywiście za wykazanie, iż przyjęta za podstawę legalności przetwarzania danych podstawa prawna jest właściwa, odpowiedzialność ponosi tylko i wyłącznie administrator danych osobowych.

Jeżeli chodzi o przetwarzanie danych osobowych szczególnych kategorii, co do zasady ich przetwarzanie jest zabronione. Danymi szczególnych kategorii są wyłącznie następujące dane: ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, a także dane genetyczne bądź biometryczne umożliwiające jednoznaczne zidentyfikowanie osoby fizycznej lub dane dotyczące zdrowia, seksualności, orientacji seksualnej tej osoby.

Administrator może jednak – chcąc legalnie przetwarzać takie dane – powołać się na jedną z następujących przesłanek:

  1. wyraźna zgoda osoby, której dane dotyczą (chyba że prawo Unii lub prawo państwa członkowskiego przewiduje, iż osoba, której dane dotyczą, nie może uchylić zakazu przetwarzania danych osobowych szczególnych kategorii),
  2. niezbędność przetwarzania do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora bądź osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego, przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą (chodzi więc o przetwarzanie danych wynikających np. ze stosunku pracy),
  3. niezbędność przetwarzania do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody (przy tej przesłance konieczne jest dodatkowo, aby dana osoba była niezdolna do wyrażenia zgody, np. jest ona nieprzytomna),
  4. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundacje, stowarzyszenia lub inne niezarobkowe podmioty o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tych podmiotów lub osób utrzymujących z nimi stałe kontakty w związku z ich celami oraz że dane osobowe nie są ujawniane poza tymi podmiotami bez zgody osób, których dane dotyczą,
  5. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą,
  6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy,
  7. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego,
  8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem odpowiednich warunków i zabezpieczeń,
  9. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego,
  10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, na podstawie prawa Unii lub prawa państwa członkowskiego.

Jeżeli więc administrator nie może powołać się na jedną ze wskazanych wyżej przesłanek (niebędącej wyraźną zgodą) – które, jak widać, są precyzyjnie określone w odniesieniu do danych osobowych szczególnych kategorii – wówczas musi otrzymać właśnie wyraźną zgodę na przetwarzanie tych danych.

Jeżeli chodzi o tzw. dane karne, mogą one być przetwarzane wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego, przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą (istnieje przepis prawa, na który administrator może się powołać).

Znalezienie właściwej podstawy prawnej przetwarzania danych wymaga więc analizy wszystkich powołanych wyżej przesłanek, biorąc oczywiście za punkt wyjścia kategorię przetwarzanych danych.