Najczęściej występujące błędy w określaniu podstawy prawnej

Wskazanie i sformułowanie prawidłowej podstawy prawnej przetwarzania danych osobowych jest jednym z zasadniczych zadań administratora. Administrator musi bowiem dbać o przetwarzanie danych osobowych zgodnie z prawem, aby wykazać spełnienie zasady legalności.

Najczęstsze błędy w określaniu podstawy prawnej:

1. Niepotrzebne uzyskiwanie zgody na przetwarzanie danych w sytuacji, gdy istnieje inna podstawa prawna przetwarzania

Nie można utożsamiać legalnego przetwarzania danych osobowych z posiadaniem zgody na ich przetwarzanie. Zgoda jest tylko jedną z kilku możliwych przesłanek, na podstawie których administrator wykaże, iż dane przetwarza legalnie. Co więcej, pobieranie zgody w sytuacji, gdy istnieje inna przesłanka legitymizująca do przetwarzania danych, jest praktyką błędną, którą organ nadzorczy może zakwestionować.

2. Umieszczenie zgody na przetwarzanie danych w treści umowy

Jeżeli dane osobowe są potrzebne administratorowi do wykonania umowy, samo zawarcie umowy jest wystarczającą przesłanką do ich przetwarzania i nie należy pobierać odrębnej zgody na przetwarzanie danych. Nie można więc wpisywać w treści umowy, iż dana osoba wyraża zgodę na przetwarzanie jej danych w celu realizacji umowy.

Nie można również pobierać zgody na przetwarzanie danych w sytuacji, gdy chcemy dochodzić roszczeń z tytułu zawartej umowy. Wówczas przesłanką uprawniającą do legalnego przetwarzania danych będzie uzasadnionyinteres administratora.

3. Brak konkretności uzyskiwanej zgody

Jeżeli już administrator uznaje, iż musi dysponować zgodą podmiotu na przetwarzanie jego danych, wówczas należy pamiętać, aby zgoda określała konkretnie cel przetwarzania. Zgoda zbyt ogólna nie będzie zgodą udzieloną prawidłowo, a co za tym idzie, będzie ona bezskuteczna i nie będzie podstawy prawnej przetwarzania danych przez administratora.

4. Brak dookreślenia obowiązku prawnego ciążącego na administratorze bądź zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej

Nie wystarczy samo powołanie się przez administratora na art. 6 ust. 1 lit. c bądź e RODO. Konieczne jest doprecyzowanie przez administratora i wskazanie, jaki konkretnie przepis prawa (krajowego bądź unijnego) nakłada na administratora obowiązek prawny bądź zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej.

5. Odrzucenie przez inne podmioty niż organy administracji możliwości posłużenia się przesłanką wskazaną w art. 6 ust. 1 lit. c bądź e RODO

Przesłanki wskazane w art. 6 ust. 1 lit. c, e RODO nie znajdą zastosowania tylko do administratorów będących organami administracji, ale do każdego podmiotu, który musi wypełnić nałożony na niego obowiązek prawny bądź któremu powierzono wykonanie zadania publicznego, bądź delegowano na niego uprawnienia władzy publicznej.

6. Przetwarzanie danych osoby trzeciej w związku z wykonywaniem umowy, której ta osoba nie jest stroną, na podstawie art. 6 ust. 1 lit. b RODO

Nie można powoływać się na przesłankę wskazaną w art. 6 ust. 1 lit. b RODO w sytuacji, gdy przetwarzane są dane osobowe osoby trzeciej, a więc takiej, która umowy nie zawierała. Należy wówczas poszukać innej podstawy przetwarzania danych tej osoby trzeciej (najczęściej będzie to uzasadniony interes administratora danych).

7. Posłużenie się przesłanką uzasadnionego interesu przez organy publiczne

Z przesłanki uzasadnionego interesu nie mogą korzystać organy publiczne w ramach realizacji swoich zadań. Organy te, w przypadku przetwarzania danych w ramach realizacji swoich zadań, powinny szukać podstawy przetwarzania danych w art. 6 ust. 1 lit. c, e RODO.

8. Brak możliwości fizycznej lub prawnej wyrażenia zgody w przypadku powoływania się na ochronę żywotnych interesów w przypadku przetwarzania danych szczególnych kategorii

Powołanie się na przesłankę ochrony żywotnych interesów w przypadku przetwarzania przez administratora danych szczególnych kategorii wymaga dodatkowo niemożliwości fizycznej lub prawnej wyrażenia zgody przez taką osobę. Będą to więc sytuacje wyjątkowe (np. utrata przytomności).

9. Zmiana podstawy prawnej przetwarzania danych w trakcie przetwarzania

Nie powinno się zmieniać podstawy prawnej przetwarzania danych w trakcie już dokonywanego przetwarzania danych. Należy więc poprawnie już na początku wybrać podstawę legalnego przetwarzania danych, a w szczególności zastanowić się, czy zgoda w istocie jest niezbędna do przetwarzania, skoro jej wycofanie będzie oznaczało konieczność zaprzestania przetwarzania danych.