Dane osobowe trzeba przetwarzać uczciwie i zgodnie z prawem, w konkretnym, prawnie uzasadnionym celu. Przetwarzanie danych osobowych jest dozwolone, kiedy ma się do tego przynajmniej jedną podstawę prawną przetwarzania. Administrator lub podmiot przetwarzający muszą wykazać, że dysponują odpowiednią podstawą przetwarzania danych osobowych. Jest to podstawowy obowiązek wynikający z tzw. zasady rozliczalności.

Podstawy prawna danych osobowych zwykłych (art. 6 RODO):

  1. Zgoda osoby, której dane dotyczą
    Zgoda na przetwarzanie danych osobowych jest wyraźnym działaniem, w którym osoba, której dane dotyczą swobodnie i konkretnie wyraża zgodę na przetwarzanie swoich danych osobowych. Zgoda na przetwarzanie danych musi być dobrowolna, konkretna, świadoma i jednoznaczna. Zapytanie o zgodę musi być wyrażone jasnym i prostym językiem. Zgoda musi być wyrażona w formie działania potwierdzającego, np. zaznaczenie pola wyboru na stronie internetowej.

    Należy pamiętać, że wycofanie zgody w RODO musi być tak samo łatwe, jak jej udzielenie (art. 7 ust. 3 RODO). Boleśnie przekonała się o tym spółka ClicQuickNow zajmująca się prowadzeniem działań marketingowych, na którą Prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości 201.000 zł. Powodem tak dotkliwej kary było przede wszystkim utrudnienie prawa do wycofania zgody na przetwarzanie danych osobowych. Według organu nadzorczego – Urzędu Ochrony Danych Osobowych do wycofania zgody stosowane były skomplikowane rozwiązania techniczne i organizacyjne. Używany mechanizm, zamiast działać automatycznie, po uruchomieniu linku przesyłał dodatkowe komunikaty do osoby zgłaszającej żądanie, np. wymagając podania przyczyny wycofania zgody.
  2. Przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dane dotyczą lub do podjęcia działań poprzedzających zawarcie umowy, na żądanie tej osoby. Mamy z tym do czynienia, kiedy dane osobowe są niezbędne do zawarcia umowy pomiędzy administratorem danych a podmiotem danych.
  3. Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Mamy z tym przetwarzaniem do czynienia, kiedy administrator danych musi przetwarzać dane osobowe w celu realizacji obowiązków wynikających z przepisu prawa, np. prowadzenie akt osobowych pracownika.
  4. Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą. Z taki przetwarzaniem mamy do czynienia, kiedy zagrożone jest zdrowie i życie i w przeciwdziałaniu zagrożeniu niezbędne jest wykorzystanie danych osobowych.
  5. Przetwarzanie niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi danych. Z takim przetwarzaniem mamy do czynienia, kiedy przetwarzanie służy celom statutowym lub uprawnieniniom nadawanym władzy publicznej.
  6. Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Z takim przetwarzaniem mamy do czynienia, kiedy przetwarzanie danych jest niezbędne do zabezpieczenia interesów, które są „prawnie uzasadnione”, a więc mają swoją podstawę w przepisie prawa.

Podstawy prawne danych osobowych szczególnych kategorii (art. 9 RODO):

  1. Wyraźna zgoda osoby, której dane dotyczą.
  2. Przetwarzanie danych jest niezbędne do wykonania zdań związanych z zatrudnieniem, ubezpieczeniem społecznym pracowników.
  3. Przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy.
  4. Przetwarzanie danych jest niezbędne w celu dochodzenia praw przed sądem.