Jakie są podstawy prawne przetwarzania danych osobowych zgodne z RODO, czyli czy na przetwarzanie danych osobowych zawsze potrzebna jest zgoda?

Często można spotkać się z błędnym przekonaniem, że RODO zawsze wymaga od nas uzyskania zgody na przetwarzanie danych osobowych. Tymczasem zgoda jest jedynie jedną z możliwych podstaw zgodnego z RODO przetwarzania danych osobowych (i nie koniecznie najlepszą – o czym dalej). Aby przetwarzanie było zgodne z prawem musi opierać się na jednej z niżej wymienionych podstaw. Zawsze gdy planujemy przetwarzać dane osobowe powinniśmy zastanowić się która z niżej wskazanych podstaw znajdzie zastosowanie. Podstawa prawna przetwarzania jest również jedną z informacji, którą administrator danych osobowych powinien przekazać osobie, której dane dotyczą w ramach obciążającego go obowiązku informacyjnego.

Podstawy przetwarzania danych osobowych

Przetwarzanie jest zgodne z prawem, gdy spełniony jest co najmniej jeden z poniższych warunków:

1. Mamy zgodę osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO),
2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (art. 6 ust. 1 lit. b RODO)
3. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. (art. 6 ust. 1 lit. f RODO)

co do zasady będzie to właściwa podstawa między innymi w przypadku stosowania monitoringu oraz do celów marketingu bezpośredniego w relacjach z klientami, a także do dochodzenia roszczeń i obrony przed roszczeniami.

4. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO);

Obowiązek ten może np. polegać na obowiązku wystawienia i właściwego rozliczenia faktury i prowadzenia ksiąg rachunkowych.

5. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 6 ust. 1 lit. d RODO);

podstawa ta powinna być rozumiana wąsko i dotyczy kwestii życia i śmierci lub co najmniej zagrożeń, które stwarzają ryzyko urazu lub innej szkody dla zdrowia danej osoby

6. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO);

Przetwarzanie danych wrażliwych

Przetwarzanie danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa, oprócz tego, że musi mieć jedną z wyżej wskazanych podstaw, to wolno go dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych.

W przypadku danych szczególnych kategorii to jest danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz danych genetycznych, biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej, ogólną zasadą jest, że ich przetwarzanie jest zakazane.

Można je jednak przetwarzać, jeżeli spełniony jest jeden z poniższych warunków:

Podstawy przetwarzania danych osobowych szczególnych kategorii np. dotyczących zdrowia, przekonań religijnych czy seksualności:

1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu przetwarzania (art. 9 ust. 2 lit. a RODO);
2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. b RODO);
3. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody (art. 9 ust. 2 lit. c RODO);
4. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą (art. 9 ust. 2 lit. d RODO);
5. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą (art. 9 ust. 2 lit. e RODO);
6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy (art. 9 ust. 2 lit. f RODO);
7. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. g RODO);
8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem, że są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe. (art. 9 ust. 2 lit. h, art. 9 ust. 3 RODO);
9. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową (art. 9 ust. 2 lit. i RODO);
10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. j RODO);

Dlaczego zgoda nie zawsze jest najlepszą podstawą przetwarzania danych osobowych?

Niekiedy można spotkać się z podejściem polegającym na zbieraniu zgód na przetwarzanie danych osobowych niejako „na wszelki wypadek”, niezależnie od tego, czy istnieje inna podstawa przetwarzania danych osobowych. Takie działanie jest jednak niewłaściwe. Należy przede wszystkim pamiętać, że zgoda może być w każdej chwili cofnięta. Choć cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem, co do zasady obliguje ono administratora do zaprzestania przetwarzania danych i ich usunięcia. Wprawdzie osoba, której dane dotyczą nie może żądać ich usunięcia mimo cofnięcia zgody, jeśli istnieje inna podstawa prawna przetwarzania, a administrator nie będzie musiał ich usunąć w szczególności gdy przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń, jednak w takich przypadkach obowiązek informacyjny będzie najprawdopodobniej zrealizowany niewłaściwie, w związku z tym, że nie zostanie wskazana właściwa podstawa prawna przetwarzania danych osobowych, a osoba, której dane dotyczą zostanie wprowadzona w błąd co do faktycznych skutków cofnięcia zgody oraz nie zostanie zachowana przejrzystość. Należy zaś pamiętać, że obowiązek informacyjny administratora względem osoby, której dane dotyczą jest jednym z podstawowych wymogów RODO, z którego realizacji administrator powinien móc się rozliczyć.