15 sty Dane osobowe – podstawy przetwarzania danych na gruncie RODO

RODO to rewolucja, jednak opiera się na dotychczasowych, znanych od lat podstawach. W zakresie podstaw przetwarzania danych osobowych, ogólne rozporządzenie o ochronie danych kontynuuje wcześniejsze wątki, nie wprowadzając istotnych zmian w tym obszarze.

Z perspektywy przedsiębiorcy warto jednak zauważyć, że brzmienie RODO sugeruje możliwość bardziej liberalnej niż dotychczas interpretacji. Daje to szanse na bardziej przyjazne podejście w stosowaniu prawa – co będzie jednak w dużej mierze zależne od praktyki organów.

Warto jednocześnie pamiętać, że odrębne są podstawy przetwarzania danych ‘zwykłych’ a inne – danych ‘wrażliwych’. Poniżej krótko przedstawiamy na jakich podstawach dopuszczalne jest przetwarzanie ‘zwykłych’ danych osobowych. O danych wrażliwych – już wkrótce.

Zgodnie z RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; np. zgoda na przetwarzanie danych osobowych wyrażana przez kandydata na stanowisko pracy dla celów rekrutacji; zgoda na przetwarzanie danych osobowych klienta po wykonaniu umowy w celu uzyskania opinii o przeprowadzonej transakcji;
2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; np. przetwarzanie danych adresowych osoby zamawiającej on-line produkt z dostawą;
3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; np. prowadzenie przez pracodawcę dokumentacji kadrowo-płacowej;
4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; np. przetwarzanie danych osobowych rannego w wypadku w celu skontaktowania się z jego osobami bliskimi;
5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; np. prowadzenie rejestru PESEL;
6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (z zastrzeżonymi w RODO wyjątkami); np. prawnie uzasadnionym celem jest najczęściej przetwarzanie danych osobowych w celu marketingu bezpośredniego czy w celu dochodzenia roszczeń.

Podstawy przetwarzania są więc analogiczne jak dotychczas, jednak diabeł tkwi w szczegółach. RODO – zasadniczo kontynuując dotychczasowe reguły – pozwala na nieco bardziej liberalne podejście w ich interpretacji. Przede wszystkim, odnosząc się do wybranych podstaw przetwarzania danych w oparciu o żywotne / prawnie uzasadnione interesy, RODO wprost wspomina cele realizowane przez osobę trzecią.

Bezpośrednie odniesienie w przepisach do uzasadnionych interesów szeroko pojętych osób trzecich może w praktyce pozwolić na powoływanie ich jako podstawy przetwarzania danych. Jest to szczególnie istotne, ponieważ w praktyce jedną z najczęściej wykorzystywanych podstaw przetwarzania danych jest właśnie „prawnie uzasadniony interes”.

Przykładowo – dotychczas jednoznacznie przyjmowane było, że administrator danych może bez uzyskiwania zgody przetwarzać dane osobowe w celu marketingu bezpośredniego własnych usług, np. wysyłając papierowe broszury marketingowe reklamującego jego produkty i usługi (podczas gdy na przetwarzanie w celu marketingu usług osób trzecich, wymagana była zgoda osoby, której dane dotyczą). Bazując na RODO, możliwa jest jednak szersza interpretacja, pozwalająca by administrator powoływał jako ‘prawnie uzasadniony cel’ również marketing usług osób trzecich.

Czy tak będą interpretowane przepisy w praktyce, zależy w dużej mierze od przyszłego podejścia Prezesa Urzędu Ochrony Danych (który przejmie obecne kompetencje Generalnego Inspektora Ochrony Danych Osobowych). Warto jednak brać pod uwagę tę możliwość – pamiętając jednocześnie, że nadrzędny charakter wobec interesów administratora / osoby trzeciej, mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.