RODO... i co dalej?

10 marca 2018

Kategorie

Tagi

RODO… i co dalej?

Rosnąca świadomość społeczeństwa dotycząca ochrony prywatności, a także widmo zbliżającej się „godziny zero” – tj 25 maja 2018 r., sprawia, że temat ochrony danych osobowych jest teraz jednym z najczęściej poruszanych przez naszych Klientów.

W dniu 25 maja 2018 r. wchodzi w życie rozporządzenie Parlamentu Europejskiego i Rady nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (określane jako „RODO”).

Ten powszechnie obowiązujący akt prawny wprowadza jednolite regulacje dotyczące ochrony danych osobowych w całej Unii Europejskiej. Wiele osób podkreśla jak bardzo rewolucyjne są to zmiany, a my na przekór powiemy, że szczególnie znamienne one są dla tych, którzy do tej pory traktowali kwestię ochrony danych osobowych jako temat poboczny. Jeżeli w danej firmie brak jest obecnie jakichkolwiek procedur dotyczących przetwarzania danych osobowych, to z pewnością już czas, aby przedsięwziąć odpowiednie kroki. Widmo wielomilionowych sankcji, jakie przewiduje RODO sprawi, że ochrona danych osobowych, odpowiednie zabezpieczenia, wewnętrzne regulacje stanie się częścią każdej organizacji, która dane osobowe przetwarza.

Dziś rozpoczynamy cykl artykułów o ochronie danych osobowych od kwestii podstawowej, przesłanek przetwarzania danych osobowych według RODO.

Przesłanki przetwarzania danych osobowych

Zgodnie z art. 6 ust. 1 RODO, przetwarzanie jest zgodne z prawem, gdy:

osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

Jeżeli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator jest obowiązany wykazać, że zgoda wyrażona jest świadomie i osobie jest znany zakres tej zgody. Jak stanowi Motyw 42 RODO oświadczenie o wyrażeniu zgody powinno mieć łatwą i zrozumiałą formę, nie powinno zawierać nieuczciwych warunków. Osoba, której dane dotyczą powinna znać tożsamość administratora oraz cele przetwarzania. Wyrażenia zgody nie należy uznawać za dobrowolne, jeśli osoba, której dane dotyczą w rzeczywistości nie ma wolnego wyboru oraz nie może odmówić ani wycofać zgody bez negatywnych konsekwencji. Tu na pewno należałoby się zastanowić nad legalnością zgód wymaganych nierzadko przez pracodawcę, np. na umieszczenie zdjęcia pracownika na stronie internetowej.

Co istotne, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna. (Motyw 43 RODO)

przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

Przetwarzanie powinno być zgodne z prawem, jeśli jest ono niezbędne w związku z zawarciem lub zamiarem zawarcia umowy.

przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

Szersze wyjaśnienie znaczenia tej przesłanki legalności przetwarzania znajdziemy w motywie 45, który stanowi, że jeżeli przetwarzanie odbywa się w celu wypełnienia obowiązku prawnego, któremu podlega administrator, lub jeżeli jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, podstawę przetwarzania powinno stanowić prawo Unii lub prawo państwa członkowskiego. Niniejsze rozporządzenie nie nakłada wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne. Wystarczyć może to, że dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator, lub że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej.

Prawo Unii lub prawo państwa członkowskiego powinno określać także cel przetwarzania. Ponadto prawo to może doprecyzowywać ogólne warunki określone w niniejszym rozporządzeniu dotyczące zgodności przetwarzania z prawem, określać sposoby wskazywania administratora, rodzaj danych osobowych podlegających przetwarzaniu, osoby, których dane dotyczą, podmioty, którym można ujawniać dane osobowe, ograniczenia celu, okres przechowywania oraz inne środki zapewniające zgodność z prawem i rzetelność przetwarzania. Prawo Unii lub prawo państwa członkowskiego powinno określać także, czy administratorem wykonującym zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powinien być organ publiczny czy inna osoba fizyczna lub prawna podlegająca prawu publicznemu lub prawu prywatnemu, na przykład zrzeszenie zawodowe, jeżeli uzasadnia to interes publiczny, w tym cele zdrowotne, takie jak zdrowie publiczne, ochrona socjalna oraz zarządzanie usługami opieki zdrowotnej.

przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

Żywotne interesy, to interesy o dużym znaczeniu takie jak np. zdrowie, życie. Warto podkreśić, że ta przesłanka ma charakter niejako pomocniczy, żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej. Niektóre rodzaje przetwarzania mogą służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka

przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

Jeżeli przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, prawo Unii lub prawo państwa członkowskiego mogą określać i precyzować zadania i cele, w których dalsze przetwarzanie po- winno być uznawane za zgodne z prawem i z pierwotnymi celami. Dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych powinny być uznawane za operacje przetwarzania zgodne z prawem i z pierwotnymi celami.

Podstawa prawna przetwarzania danych osobowych przewidziana prawem Unii lub prawem państwa członkowskiego może być również podstawą prawną dalszego przetwarzania. Aby ustalić, czy cel dalszego przetwarzania danych osobowych jest zgodny z celem, w którym dane te zostały pierwotnie zebrane, administrator – po spełnieniu wszystkich wymogów warunkujących zgodność pierwotnego przetwarzania z prawem – powinien uwzględnić między innymi: wszelkie powiązania pomiędzy tymi celami a celami zamierzonego dalszego przetwarzania; kontekst, w którym dane osobowe zostały zebrane, w szczególności rozsądne przesłanki pozwalające osobom, których dane dotyczą, oczekiwać dalszego wykorzystania danych oparte na rodzaju ich powiązania z administratorem; charakter danych osobowych; konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą; oraz istnienie odpowiednich zabezpieczeń zarówno podczas pierwotnej, jak i zamierzonej operacji dalszego przetwarzania. (Motyw 50 RODO)

przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni ro- dzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu.

Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania. Ponieważ dla organów publicznych podstawę prawną przetwarzania danych osobowych powinien określić ustawodawca, prawnie uzasadniony interes administratora nie powinien mieć zastosowania jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. Prawnie uzasadnionym interesem administratora, którego sprawa dotyczy, jest również przetwarzanie danych osobowych bezwzględnie niezbędne do zapobiegania oszustwom. Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarza- nie danych osobowych do celów marketingu bezpośredniego. (m.47)

Zrozumienie wielu przepisów to nie lada wyzwanie, dlatego jeśli chcesz mieć pewność, że wszystko zostało przeprowadzone tak jak powinno – skontaktuj się z nami – w pełni profesjonalnie pełnimy obowiązki radców prawnych. Wrocław i online, czyli stacjonarnie lub zdalnie niezależnie od tego gdzie aktualnie przebywasz.

Oceń wpis

Przeczytaj także:

Zmiana wysokości alimentów

Podział majątku po rozwodzie czy przed nim?

Czy rodzice mogą dysponować majątkiem swojego dziecka?

Odpowiedzialność członka zarządu wobec spółki

Czy nadużycie zwolnienia lekarskiego jest ciężkim naruszeniem podstawowych obowiązków pracowniczych?