Każdy, kto przetwarza dane osobowe musi mieć jakąś podstawę prawną przetwarzania. ROOD daje kilka takich podstaw, w zależności od tego, czy mamy do czynienia z danymi zwykłymi czy szczególnych kategorii.
Przetwarzanie danych osobowych zgodnie z RODO
Przetwarzanie danych osobowych na podstawie Ogólnego rozporządzenia o ochronie danych osobowych RODO odbywa się na dwóch płaszczyznach.
- Pierwsza to dane, mówiąc potocznie - zwykłe. Są to dane, którymi dysponujemy w normalnych relacjach gospodarczo-społecznych. Do tej kategorii zalicza się między innymi: imię, nazwisko, adres, dane wynikające z ewidencji ludności czy numeru dokumentów. Dane zwykle podajemy na przykład w przypadku zakupów online czy podpisywania różnego rodzaju umów.
- Druga płaszczyzna przetwarzania danych osobowych to dane szczególnie chronione – tak zwane wrażliwe. Do tej grupy należą m.in. przede wszystkim informacje o naszym stanie zdrowia, ale nie tylko. Wszelkie informacje dotyczące naszych poglądów politycznych, przynależności do grup wyznaniowych, czy dane biometryczne. Dla potrzeb ułatwienia wyliczeń do danych szczególnych można zaliczyć informacje dotyczące wyroków. Chociaż te zostały ujęte osobno w RODO.
Przetwarzanie danych osobowych zwykłych
Przetwarzanie danych osobowych na podstawie ZGODY (art. 6 ust. 1 lit a RODO)
Artykuł 6 RODO wskazuje w ustępie 1 punktu od „a” do „f”, podstawy przetwarzania danych osobowych. Pierwsza litera „a” dotyczy przetwarzania na podstawie zgody.
Na podstawie tzw. „zgody” dane mogą być przetwarzanie w zakresie jej wyrażenia do konkretnego celu. Oznacza to, że to od nas zależy czy się z tym zgadzamy czy nie. Zgodę możemy wycofać w każdej chwili, a administrator danych osobowych (ADO) posiada wtedy obowiązek natychmiastowego zaprzestania przetwarzania danych.
Dla osoby, której dane dotyczą jest to najbardziej komfortowa sytuacja, ponieważ może i równocześnie nie musi wyrazić zgody na przetwarzanie jej danych. Z kolei dla administratora już nie. Ma to związek z sytuacją, w której osoba wycofuje zgodę a ADO musi zaprzestać procesów przetwarzania. Nawet jeśli poniósł z przetwarzaniem danych pewne koszty dostarczania usługi itp. nie może obciążyć nimi osoby zainteresowanej.
Zgoda na przetwarzanie jest obecnie traktowana jako zamiennik środka płatniczego, ma ona nie raz swoją cenę. ADO nie może nie podpisać umowy na dostarczenie jakieś usługi w przypadku niewyrażenia zgody.
Przykład: Operator telekomunikacyjny podpisuje z osobą fizyczną umowę na dostarczanie Internetu. Przetwarzanie danych odbywa się na podstawie umowy. Jednak istnieje możliwość obniżenia kwoty abonamentu, jeśli osoba wyrazi zgody marketingowe. Zwykle kwota wynosi ok 5 zł brutto miesięcznie. Osoba może się na to nie zgodzić i będzie płaciła standardową opłatę, jednak większość ludzi wyraża takie zgody. Tym samym wyceniają swoją prywatność i czas potrzebny do przeprowadzenia rozmowy w sprawie jakieś oferty czy odczytania maila na pięć złotych miesięcznie.
Taka zgoda może zostać odwołana w każdym czasie, a operator będzie miał obowiązek zaprzestania przetwarzania danych w celach marketingowych. Automatycznie wzrośnie również wysokość kwoty abonamentowej.
Administrator dla swojego bezpieczeństwa powinien dążyć do przetwarzania danych na innej podstawie niż zgoda. Oczywiście jest to podstawa zgodna z prawem, tak jak pozostałe. Jednak z punktu widzenia ADO zobowiązuje go do działań, które będzie musiał zaprzestać w każdej chwili, jeśli tylko osoba, której dane dotyczą wycofa się z wyrażenia zgody.
Przetwarzanie danych osobowych na podstawie UMOWY (art. 6 ust. 1 lit b RODO)
Przetwarzanie danych osobowych na podstawie umowy. Początkowo, przed wejściem w życie przepisów RODO wiele osób miało w związku z tym wątpliwości. Wynikało to z tego, że rynek obawiał się, że przetwarzanie danych będzie możliwe jedynie po zawarciu umowy, a co z przetwarzaniem w celu jej zawarcia? Dotyczyło to przede wszystkim czynności pomiędzy przedsiębiorcami, który delegowali do negocjacji czy udzielali pełnomocnictw pracownikom.
Przepisy Rozporządzenia wskazują wprost, iż można przetwarzać dane osobowe w celu wykonania umowy, jak również do podjęcia działań aby ją zawrzeć. Logicznym jest, że ADO musi przetwarzać dane osoby aby np. przygotować wzór umowy przed jej podpisaniem.
W czasie trwania umowy ADO, co oczywiste, posiada podstawę prawną do przetwarzania danych. Nie może jednak przetwarzać ich w innym celu niż ten wskazany w treści umowy.
Przykład: Administrator świadczy na naszą rzecz usługę. Aby ją wykonywać musi się z nami kontaktować. Nie może jednak kontaktować się w celu propozycji przedłużenia umowy, czy przedstawienia ofert.
Co jeśli osoba nie chce podać danych wymaganych w umowie, a wynikających z zwykłych czynności prawnych? Wtedy taka umowa nie jest po porostu zawierana. Nie można „podpisać” umowy z osobą, o której nic nie wiemy.
Kolejną kwestią jest moment wygaśnięcia umowy. Ado w takiej sytuacji nadal podsiada podstawę do przetwarzania danych, jednak zmieni się ona w literę „f” – o czym później przy okazji omawiania tejże podstawy.
Przetwarzanie danych osobowych na podstawie PRZEPISÓW PRAWA (art. 6 ust. 1 lit c RODO)
Przetwarzanie na podstawie obowiązku prawnego ciążącego na administratorze. Czyli mówiąc prościej przetwarzanie na podstawie przepisu prawa. W owej podstawie administrator ma obowiązek przetwarzać dane osoby fizycznej, ponieważ obliguje go do tego konkretny przepis prawa. Dochodzi do sytuacji, w której oprócz danych wynikających z konieczności realizacji umowy ADO przetwarza dodatkowo inne kategorie danych.
Na co dzień spotykanie jest to w sytuacji umowy o pracę. Oprócz danych niezbędnych do zawarcia umowy pracodawca przetwarza dane wynikające z Kodeksu pracy oraz inne informacje o pracowniku, niezbędne do realizacji obowiązków emerytalnych czy podatkowych.
Przetwarzanie danych osobowych w celu OCHRONY ŻYWOTNYCH INTERESÓW (art. 6 ust. 1 lit d RODO)
Co to jest żywotny interes osoby fizycznej? Jest to nic innego jak jej życie i zdrowie. Nie ma wartości większej i cenniejszej niż życie i zdrowie człowieka. Ochrona danych osobowych wynikająca z RODO nie może być ponad tymi wartościami. Dlatego w sytuacji zagrożenia życia czy zdrowia osoby, której dane dotyczą lub innej osoby z niej związanej, można przetwarzać jej dane jeśli jest to niezbędne do jej ochrony czy wręcz ratowania.
Należy pamiętać, iż ten punkt dotyczy życia i zdrowia. Nie można powoływać się na niego w przypadku innych potrzeb ochrony jak np. monitoring.
Przykład: W sytuacji wypadku i złego stanu zdrowia pokrzywdzonej osoby można uzyskać informacje od osób trzecich lub w miarę możliwości instytucji,aby powiadomić najbliższych pokrzywdzonej o zdarzeniu.
Czy ten przepis jest wykorzystywany? Oczywiście! Początek pandemii Covid 19 wymusił przetwarzanie danych osób fizycznych bez podstaw prawnych zawartych w krajowych przepisach. Legislacja nie nadążała za szybko postępującymi wzrostami zakażeń, a pomimo tego obywatele byli zobowiązani do wypełniania ankiet, oświadczeń itp. Miało to na celu zwalczanie epidemii, a więc ochronę ich życia i zdrowia.
Mówiąc kolokwialnie aż strach pomyśleć jak wyglądała by sytuacja z prawnego punktu widzenia, gdyby europejski prawodawca nie zawarł tej regulacji w przepisach RODO.
Przetwarzanie danych osobowych w celu realizacji ZADANIA PUBLICZNEGO (art. 6 ust. 1 lit e RODO)
Aby rozpocząć omawianie litery „E” należy powrócić na chwilę do litery „C”. W przybliżonej wcześniej podstawie prawnej, przetwarzanie danych osobowych odbywało się na podstawie prawa. Przepis jasno wskazywał na możliwość przetwarzania danych osobowych przez administratora w danym zakresie. Dotyczyło to również administracji publicznej. Litera „e” jest niejako uzupełnieniem powyżej wskazanej podstawy. Dlaczego?
Ponieważ administracja, co gwarantuje konstytucja musi działać na podstawie i granicach prawa. Jednak nie zawsze ustawodawca jest w stanie przewidzieć potrzebę przetwarzania danych osobowych w zadaniach realizowanych przez administrację. Dlatego zdecydowano się, na udzielenie podstawy prawnej przetwarzania danych osobowych, w której przepisy ustaw szczególnych nie wskazuje wprost na taką możliwość ale jest to niezbędne do wykonania zadania władzy administracyjnej. Co najważniejsze zadanie te mają podstawy prawne w ustawach dotyczących organów administracji.
Przykład: Gmina zleca prywatnej spółce, wyłonionej w drodze przetargu realizację zadania, do której jest zobowiązana przepisami ustawy o samorządzie gminnym. Takim zadaniem może być np. wywóz śmieci. Firma obsługująca wywóz odpadów jest zobowiązana do przetwarzania danych osobowych mieszkańców, przekazanych jej przez gminę. Przetwarzanie odbywa się w celu realizacji usługi tj. czy dany „adres” ma podpisaną umowę na wywóz śmieci czy też nie.
Przetwarzanie danych osobowych w celu realizacji PRAWNIE UZASADNIONEGO INTERESU (art. 6 ust. 1 lit f)
Literka „F”, czyli litera tak powszechnie lubiana przez wszystkich ADO, od czasu wejścia w życie RODO. Równocześnie podstawa nadużywana przez administratorów oraz nie zrozumiana przez niektóre osoby (często dłużników).
Co to jest prawnie uzasadniony interes ADO. Prawnie uzasadnionym interesem jest działanie w celu realizacji swoich praw przez administratora. Prawnie uzasadnionym interesem jest również realizacja zadań mających na celu zwiększenia bezpieczeństwa ADO. Nie raz niestety administratorzy nie rozumieją tej podstawy i w przypadku niechęci uzyskania zgody na przetwarzanie danych dokonują przetwarzania tłumacząc działanie literą „F”.
Prawnie uzasadniony interes administratora nie może wpływać na podstawowe prawa i wolności osób, których dane dotyczą! Nie można przetwarzać danych „na wyrost”, tłumacząc się sytuacją „a może kiedyś się przydadzą”. Prawnie uzasadniony interes musi posiadać podstawę. Nie chodzi tu o bezpośrednią podstawę prawną ale wynikającą czy to z normalnego życia społeczo-gospodarczego czy też sytuacji potwierdzonych orzeczeniami sądowymi.
Przykład 1: ADO po wygaśnięciu umowy nie jest zobowiązany do natychmiastowego usunięcia danych kontrahenta. Przepisy Kodeksu cywilnego pozwalają stroną na dochodzenie roszczeń jeszcze w okresie do 5 lat. Tym samym administrator aby uchronić się przed możliwymi przyszłymi zarzutami musi przetwarzać przez ten okres dane osobowe.
Przykład 2: Osoba zawiera umowę, w której zobowiązuje się do płacenia abonamentu. Podmiot nie jest w stanie wyegzekwować należności i po bezskutecznych próbach uzyskania zapłaty odsprzedaje dług firmie windykacyjnej. Tym samym dokonuje się tzw. cesja prawa do egzekwowania długu. Firma windykacyjna musi uzyskać dane osobowe dłużnika aby móc dochodzić roszczeń. Cesja zobowiązań oraz dochodzenie roszczeń wynika z przepisów Kodeksu cywilnego oraz zasad życia społeczno-gospodarczego.
Przykład 3: RODO ani inne przepisy krajowe nie wskazują wprost czy ADO może zamontować monitoring. Jednak ochrona mienia oraz zapewnienie bezpieczeństwa np. pracowników jest przesłanką, pozwalającą na przetwarzanie danych osobowych w celu ochrony interesu prawnego.
Przetwarzanie szczególnych kategorii danych
Drugą kategorią danych osobowych w świetle przepisów RODO są szczególne kategorie danych tzw. dane wrażliwe. O ich istocie wspomniane zostało na początku. RODO szczególny nacisk kładzie na ochronę danych wymienionych w kategorii „wrażliwe”. Ma to bezpośredni związek z ochroną prywatności obywateli UE. Nikt nie może żądać bez podstawy prawnej lub naszej zgody informacji dotyczących naszego stanu zdrowia, czy poglądów politycznych czy też religijnych.
Dlatego przetwarzanie danych wrażliwych objęte jest szczególną ochroną i możliwe jest tylko w kilku przypadkach.
Przetwarzanie danych osobowych na podstawie ZGODY (art. 9 ust. 2 lit. a RODO)
Również na podstawie zgody ADO może przetwarzać dane „wrażliwe”. Jeśli tylko osoba, której dane dotyczą wyrazi na to zgodę możliwe jest ich przetwarzanie. Nie można jednak żądać uzyskania danych wrażliwych na podstawie zgody pod pretekstem niedostarczenia np. „usługi”, jeśli nie jest to konieczne do jej realizacji.
Przykład 1: Aby zawrzeć umowę ubezpieczenia zdrowotnego należy wypełnić ankietę dotyczącą stanu zdrowia. Firma realizująca usługę ubezpieczenia czy pakietu medycznego musi posiadać informację o naszym stanie zdrowia aby realizować usługę.
Przykład 2: Przed wejściem w życie przepisów RODO niektóre sieci siłowni zmuszały klientów do przekazania danych biometrycznych w postaci odcisku dłoni. Tłumaczyły się tym, że nie używają tradycyjnych czy cyfrowych karnetów, a wszelkie informacje o osobie są przypisane do jej informacji biometrycznych. Organ wielokrotnie kontrolował oraz wzywał wspomniane firmy do zaprzestania praktyk, ponieważ istnieje inny sposób na weryfikację klienta (choćby cyfrowy karnet w smartfonie).
Jeśli osoba sama wyraża zgodę na przetwarzanie jej danych wrażliwych ADO może dokonać takiej czynności. Konieczne jest jednak aby udzielona zgoda była ściśle i precyzyjnie określona. Oznacza to, że osoba, której dane dotyczą musi mieć czytelną informację do czego zostaną wykorzystane jej dane. ADO nie ma prawa przetwarzania ponad cel określony w zgodzie.
Możliwe jest wyrażenie zgody do kilku celów jednocześnie, jednak osoba udzielająca jej musi posiadać wybór. Oznacza to, że jeśli wybierze możliwość „a” może nie zgodzić się na przetwarzanie w celu „b” czy również „c”.
Przetwarzanie danych osobowych na podstawie PRZEPISÓW PRAWA (art. 9 ust. 2 lit. b RODO)
Na tej podstawie, możliwe jest przetwarzanie danych „wrażliwych”. Przepis art. 9 ust. 2 lit. b, jasno wskazuje, iż jeśli z przepisów krajowych wynika konieczność zabezpieczenia osobie fizycznej spraw socjalnych czy ochrony socjalnej oraz jeśli przetwarzanie jest wynikiem przepisów prawa pracy, ADO ma obowiązek przetwarzać takie dane. Przetwarzanie odbywa się oczywiście w granicach przypisanych ustawowo. Oczywiście m.in. pracodawca posiada obowiązek przetwarzania danych również szerszym zakresie, jak np. na podstawie ww. przepisu lit. „H”.
Przykład: Pracodawca posiada obowiązek przed dopuszczeniem pracownika do pracy delegować go do wykonania badań w tzw. medycynie pracy. Tym samym, po uzyskaniu wyników i zaświadczeń lekarskich będzie przetwarzał dane wrażliwe pracownika.
Tak więc przetwarzanie danych osobowych na podstawie przepisów prawa wskazuje wprost, już w samym stwierdzeniu, iż musi ono wynikać z przepisów ogólnie obowiązujących. Takimi przepisami są oczywiście ustawy, ale również rozporządzenia. Administrator nie może przetwarzać danych nadmiarowo, jeśli zakres nie został wprost określony w przepisach.
Przykład: Skan dowodu osobistego. Zdarzało i niestety nadal zdarza się, że przedsiębiorcy skanują dowód osobisty. Oczywiście mają prawo do weryfikacji danych, poprzez ich kopię. Jednak tymi danymi są dane tzw. podstawowe, a więc imię, nazwisko, numer PESEL czy dowodu. Przedsiębiorcy nie mają prawa przetwarzać innych informacji, taki jak np. zdjęcie, jeśli nie wynika to z przepisów prawa.
Jedynie banki podsiadają podstawę prawną do kopiowania całości dowodu osobistego. Wynika ona z przepisu 112b prawa bankowego, stanowiącego, że banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych.
Powyższa treść dotyczy jedynie BANKÓW, wszelkiego rodzaju podmioty pożyczkowe typu chwilówki, szybka kasa itp. nie posiadają podstaw do kopiowania dokumentów tożsamości.
Mówiąc krótko prawodawstwo krajowe dopuszcza i obliguje wręcz ADO do takiego przetwarzania. Przykład to np. pracodawca przetwarzający wyniki badań pracowniczych.
Wymogiem przepisów RODO jest to aby administrator danych osobowych dołożył wszelkich starań aby możliwie najlepiej zabezpieczyć przetwarzanie danych wrażliwych i zminimalizować ryzyko ich wycieku.
Sądy
Na temat tej podstawy nie ma chyba za bardzo sensu się rozpisywać. Wymiar sprawiedliwości musi przetwarzać dane o wyrokach czy inne dane wrażliwe, jeśli są niezbędnie do prowadzenia postępowań.
Profilaktyka zdrowotna
Podobnie, jak wyżej. Przychodnie i wszelkie ośrodki zdrowia, co logiczne, muszą przetwarzać dane wrażliwe, aby móc świadczyć usługi, do których zostały powołane. Nie jest możliwe nieudzielenie lekarzowi informacji o tym co nam dolega.