Zauważyć można, że w następstwie wejścia w życie RODO wzrosła liczba przypadków, gdy administratorzy pytają podmioty danych o zgodę na przetwarzanie tych danych osobowych. Tymczasem nie zawsze takie zapytanie jest konieczne. Przetwarzanie danych osobowych może nastąpić także na innych podstawach prawnych. Kiedy więc nie obejdzie się bez uzyskania zgody na przetwarzanie danych? Poznaj podstawy przetwarzania zwykłych danych osobowych.
Z artykułu dowiesz się w szczególności:
Zgoda na przetwarzanie danych osobowych to nie jedyna podstawa prawna ich przetwarzania – RODO przewiduje bowiem wiele odrębnych przesłanek przetwarzania zarówno w przypadku danych osobowych zwykłych jak i szczególnej kategorii.
|
Podstawa przetwarzania zwykłych danych osobowych |
Objaśnienie |
|
niezbędność przetwarzania do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy |
Przetwarzanie danych nie wymaga zgody osoby, której te dane dotyczą, jeżeli następuje w celu realizacji obowiązków i uprawnień potrzebnych do wykonania tej umowy (mogą one wynikać z samej umowy lub z załączników np. OWU). Dlatego zbędne jest wprowadzanie klauzuli zgody do treści umowy, gdy zgoda ta ma obejmować przetwarzanie danych drugiej jej strony oraz na cele związane z jej wykonaniem. Podjęciem działań na żądanie podmiotu danych przed zawarciem umowy są np.:
Gdy zatem konkretna osoba zwraca się do administratora z prośbą o przesłanie oferty, bądź udzielenie odpowiedzi na pytania związane z oferowaną przez nas usługą lub towarem, czy też o przesłanie wzoru umowy, itp. to administrator nie musi odbierać jej zgody na wykorzystanie danych osobowych w celu związanym z jej żądaniem. Z drugiej strony przesłanka ta nie może być stosowana, gdy z inicjatywą wychodzi administrator danych osobowych, a nie osoba, której dane dotyczą. |
|
niezbędność przetwarzania do wypełnienia obowiązku prawnego ciążącego na administratorze |
Obowiązek prawny musi wynikać z prawa unijnego lub krajowego. Podstawa prawna musi określać cel przetwarzania. Tylko taki przepis uprawni do przetwarzania danych. Musimy więc odwołać się nie tylko do RODO ale także do innego przepisu unijnego lub krajowego. Przykładem jest tu obowiązek:
|
|
niezbędność przetwarzania do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej |
Należy zwrócić uwagę na szczególną doniosłość tego warunku ze względu na okoliczności, które legalizuje. Chodzi tu przede wszystkim o przypadki ochrony życia i zdrowia osoby, której dane dotyczą lub innej osoby (motyw 46 preambuły RODO). Żywotny interes innej osoby fizycznej powinien być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie można oprzeć na innej podstawie prawnej. Jest to więc ostateczność. Przykład. W następstwie wypadku komunikacyjnego przetwarzanie danych osobowych, która ucierpiała w wypadku jest konieczne, aby ochronić jej zdrowie, a może nawet życie. W tej sytuacji przetwarzanie musi nastąpić niezwłocznie, jako że najważniejszą rolę odgrywa wiedza i czas. |
|
niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi |
W tym przypadku podstawa prawna także musi być w prawie unijnym lub krajowym i określać cel przetwarzania. |
|
niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią |
Nie można powołać się na tę podstawę, jeżeli nadrzędny charakter wobec wskazanych interesów administratora lub osoby trzeciej mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Podstawa ta nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. Jak rozumieć mało precyzyjne sformułowanie „prawnie uzasadniony interes”. Jest to m.in.:
|
Inaczej sformułowano przesłanki przetwarzania danych szczególnej kategorii. Przypomnijmy, że są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych genetyczne, biometryczne, dane o stanie zdrowia, seksualności lub orientacji seksualnej, a także dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa. Praktyczną analizę przesłanek przetwarzania danych wrażliwych znajdziesz tutaj>>
Jeżeli żadna z przesłanek przetwarzania danych osobowych nie może zostać w danym przypadku zastosowana, wówczas nie pozostaje nic innego jak uzyskanie zgody podmiotu danych. Jakie warunki powinna spełniać taka zgoda?
Zgoda podmiotu danych legalizuje też przetwarzanie danych szczególnej kategorii. Zgoda ta powinna być wówczas wyraźna i udzielona na przetwarzanie danych osobowych w jednym lub kilku konkretnych celach. Więcej na temat zgody na przetwarzanie danych szczególnej kategorii przeczytasz tutaj>>
Warto przeanalizować dwie szczególne aczkolwiek popularne przypadki, w których nie obejdzie się bez zgody na przetwarzanie danych osobowych. Pierwsza z nich jest związana z rekrutacją pracowników.
Zgodnie art. 221 Kodeksu pracy (w obecnym brzmieniu), pracodawca może żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
W tym zakresie nie ma potrzeby pozyskiwania zgody kandydata do zatrudnienia na przetwarzanie danych osobowych. Jeśli jednak administrator danych osobowych żąda od kandydata przesłania dodatkowych danych osobowych (niewymienionych powyżej), wówczas co do zasady uzyskanie takiej zgody będzie konieczne. Ewentualnie administrator może oprzeć się o przesłankę realizacji prawnie uzasadnionego interesu administratora danych, ale wówczas musi być w stanie wykazać, że żądane dane osobowe są niezbędne do prawidłowego przeprowadzenia procesu rekrutacji.
Należy mieć na względzie, że w przypadku korzystania przez administratora danych z przesłanki realizacji uzasadnionego interesu, podmiotowi danych przysługuje prawo wniesienia sprzeciwu. Teoretycznie więc istnieje ryzyko sporu po między administratorem i osobą, której dane dotyczą. Z tej perspektywy wygodniejszym rozwiązaniem wydaje się uzyskanie zgody podmiotu danych na ich przetwarzanie, gdyż w takim przypadku sprzeciw nie będzie przysługiwał.
Drugim przypadkiem jest przetwarzanie danych w związku z marketingiem bezpośredni własnych towarów lub usług administratora. Dane te można przetwarzać w ramach realizacji uzasadnionego interesu administratora. Niezależnie od tego istnieje konieczność uzyskania zgody z uwagi na przepisy szczególne. Otóż ustawa o świadczeniu usług drogą elektroniczną zakazuje przesyłania niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Co istotne, informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. Podobnie ustawa Prawo telekomunikacyjne nie pozwala na używanie telekomunikacyjnych urządzeń końcowych (np. telefon) i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.
Samo przetwarzanie danych osobowych na cel marketingowy (np. poprzez stworzenie bazy danych klientów) nie wymaga zgody podmiotów danych. Zgoda jest już jednak potrzebna do wysłania informacji handlowej, bądź reklamy.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
