W poprzedniej publikacji na blogu (całość publikacji o danych osobowych znajdziecie Państwo kilkając tu), omówiłam zgodę jako przesłankę do przetwarzania danych. RODO, czyli wskazane w tytule Rozporządzenie, zawiera jednak cały katalog podstaw do przetwarzania danych osobowych. Każda z podstaw tam wymienionych ma charakter samoistny, co oznacza, że wystąpienie jednej z nich już upoważnia do przetwarzania danych osobowych. Przyjrzyjmy się temu katalogowi i porównajmy do dotychczasowej regulacji (art. 23 ustawy o ochronie danych osobowych).
Zgodnie z art. 6 akapit 1 RODO, zatytułowanym „Zgodność przetwarzania z prawem”:
Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Obecnie pomijamy kwestię zgody, którą już omówiłam tu (klik). Podstawa b) (związane z umową…) jest identyczna z dotychczasową regulacją, więc zastosowanie do niej mieć też będą dotychczasowe orzeczenia i piśmiennictwo. Z pkt c) zniknęła realizacja uprawnienia, która dotychczas była w przepisach. Pojawił się za to nowy pkt d) dotyczący przetwarzania niezbędnego dla ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej. Inaczej nieco mamy też sformułowaną podstawę e), która będzie wymagała odwołania się do konkretnego przepisu prawa, by przetwarzający mógł nią legitymizować swoją działalność. Oczywiście najczęściej podstawa ta dotyczyć będzie organów. Dość dużą zmianę przeszła ostatnia podstawa przetwarzania danych z pkt f), która nakazuje „ważenie” interesów administratora lub osoby trzeciej z interesami osoby, której dane dotyczą i jej podstawowymi prawami i wolnościami, z uwzględnieniem szczególnej ochrony dziecka. W dotychczas obowiązującej ustawie o ochronie danych osobowych mowa była o braku naruszenia praw i wolności osoby której dane dotyczą. Czy w praktyce wpłynie to istotnie na zmianę postrzegania i interpretowania tej podstawy? Myślę, że jakiegoś znaczącego przełomu nie będzie. Przykładem, kiedy takie ważenie interesów może być miejsce jest uprawnienie wierzyciela do dochodzenia wierzytelności (również poprzez jej zbycie do firmy windykacyjnej) versus ochrona danych osobowych dłużnika. Większą wagę ma jednak dochodzenie wierzytelności, gdyż udzielenie ochrony dłużnikowi pogwałciłoby prawo wierzyciela do windykacji.
Jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1, administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane – bierze pod uwagę między innymi: a) wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania; b)kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem; c) charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa zgodnie z art. 10; d) ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą; e) istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.
Zgodnie z art. 6 akapit 1 RODO, zatytułowanym „Zgodność przetwarzania z prawem”:
Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Obecnie pomijamy kwestię zgody, którą już omówiłam tu (klik). Podstawa b) (związane z umową…) jest identyczna z dotychczasową regulacją, więc zastosowanie do niej mieć też będą dotychczasowe orzeczenia i piśmiennictwo. Z pkt c) zniknęła realizacja uprawnienia, która dotychczas była w przepisach. Pojawił się za to nowy pkt d) dotyczący przetwarzania niezbędnego dla ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej. Inaczej nieco mamy też sformułowaną podstawę e), która będzie wymagała odwołania się do konkretnego przepisu prawa, by przetwarzający mógł nią legitymizować swoją działalność. Oczywiście najczęściej podstawa ta dotyczyć będzie organów. Dość dużą zmianę przeszła ostatnia podstawa przetwarzania danych z pkt f), która nakazuje „ważenie” interesów administratora lub osoby trzeciej z interesami osoby, której dane dotyczą i jej podstawowymi prawami i wolnościami, z uwzględnieniem szczególnej ochrony dziecka. W dotychczas obowiązującej ustawie o ochronie danych osobowych mowa była o braku naruszenia praw i wolności osoby której dane dotyczą. Czy w praktyce wpłynie to istotnie na zmianę postrzegania i interpretowania tej podstawy? Myślę, że jakiegoś znaczącego przełomu nie będzie. Przykładem, kiedy takie ważenie interesów może być miejsce jest uprawnienie wierzyciela do dochodzenia wierzytelności (również poprzez jej zbycie do firmy windykacyjnej) versus ochrona danych osobowych dłużnika. Większą wagę ma jednak dochodzenie wierzytelności, gdyż udzielenie ochrony dłużnikowi pogwałciłoby prawo wierzyciela do windykacji.
Jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1, administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane – bierze pod uwagę między innymi: a) wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania; b)kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem; c) charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa zgodnie z art. 10; d) ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą; e) istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.
Aleksandra Dalecka
adwokat
Brak komentarzy:
Prześlij komentarz
Prosimy o pozostawienie komentarza w temacie posta. Jesteśmy wdzięczni za Państwa opinie.
W tym miejscu nie udzielamy indywidualnych porad prawnych. Jeśli jesteście Państwo zainteresowani pomocą prawną, prosimy o mailowy (blog@zdanowiczlegal.pl) lub telefoniczny (+22 525 84 44) kontakt z Kancelarią. Koszt pomocy prawnej uzależniony jest od stopnia skomplikowania, charakteru sprawy i nakładu pracy prawnika. Udzielamy także e-porady.
Posty są aktualne w dniu ich publikacji. Nie odpowiadamy za późniejsze zmiany prawa.