6 podstaw prawnych przetwarzania danych osobowych zwykłych w firmie
- Czym są podstawy przetwarzania danych osobowych i gdzie ich szukać?
- Kiedy możesz przetwarzać dane osobowe zwykłe (art. 6 ust. 1)
- Przetwarzanie na podstawie zgody
- Przetwarzanie niezbędne do wykonania umowy
- Przetwarzanie niezbędne do spełnienia obowiązku prawnego administratora
- Przetwarzanie niezbędne do ochrony żywotnych interesów
- Przetwarzanie niezbędne do wykonania zadania realizowanego w interesie publicznym
- Przetwarzanie zgodnie z prawnie uzasadnionym interesem Administratora
- O czym musisz pamiętać
Prowadzisz działania marketingowe w swojej firmie? Kontaktujesz się z klientami? A możesz masz własny sklep online lub stronę www? Jeśli chociaż na jedno pytanie odpowiedź brzmi „tak”, musisz wiedzieć więcej na temat przepisów RODO. Jednym z niezwykle istotnych zagadnień jest kwestia podstaw przetwarzania danych, dziś wyróżniamy ich 6. Czy znasz je wszystkie? W tym artykule krok po kroku przeprowadzę Cię po dostępnych opcjach, a to pomoże Ci spełnić obowiązki wynikające z rozporządzenia. Sprawdź!
Czym są podstawy przetwarzania danych osobowych i gdzie ich szukać?
Zasady dotyczące przetwarzania danych osobowych są określone w Rozporządzeniu o Ochronie Danych Osobowych, a proces ich przetwarzania będzie legalny tylko wtedy, gdy spełnisz odpowiednie warunki. Rozporządzenie określa dwie główne zasady:
- przetwarzanie danych standardowych jest dozwolone, o ile spełniona jest przynajmniej jedna z podstaw wymienionych w art. 6 ust. 1 RODO;
- istnieje generalny zakaz przetwarzania danych szczególnie wrażliwych, chyba że występują wyjątki określone w art. 9 ust. 2 RODO.
Zgodnie z art. 9 ust. 1 RODO dane wrażliwe obejmują informacje ujawniające:
- pochodzenie etniczne lub rasowe,
- poglądy polityczne,
- przekonania religijne lub filozoficzne,
- przynależność do organizacji zawodowych, dane genetyczne,
- dane biometryczne wykorzystywane do jednoznacznego zidentyfikowania osoby,
- informacje o zdrowiu,
- informacje dotyczące życia seksualnego lub orientacji seksualnej.
Powyższe ograniczenia w przetwarzaniu danych osobowych, określone w RODO, nie mają zastosowania do osób fizycznych przetwarzających dane w celach osobistych, np. przechowywanie adresów e-mail w prywatnej skrzynce pocztowej.
Kiedy możesz przetwarzać dane osobowe zwykłe (art. 6 ust. 1)
Możesz przetwarzać dane standardowe, o ile spełnisz przynajmniej jedną z 6 podstaw:
a) Dysponujesz zgodą osoby, której dane dotyczą, na przetwarzanie danych w określonym celu, np. zgoda na otrzymywanie newslettera.
b) Realizujesz umowę lub działania przygotowawcze do jej zawarcia, a przetwarzanie danych osoby stron umowy jest konieczne, np. potrzebujesz imienia, nazwiska i adresu do wysyłki zakupionego produktu.
c) Przetwarzasz dane, ponieważ jest to wymagane przez obowiązujące przepisy prawa, np. prawo podatkowe nakazuje przechowywanie faktur i innych dokumentów zawierających dane osobowe przez określony okres po zakupie lub sprzedaży.
d) Przetwarzasz dane, ponieważ jest to kluczowe dla ochrony interesów osoby, której dane dotyczą, lub innej osoby fizycznej, np. dla celów windykacji należności bez konieczności uzyskania zgody dłużnika.
e) Przetwarzasz dane, ponieważ jest to niezbędne do realizacji zadań publicznych, np. organy administracji nie wymagają zgody na przetwarzanie danych przy wydawaniu decyzji o przyznaniu świadczeń.
f) Przetwarzasz dane, ponieważ cele, dla których to robisz, uzasadniają takie działanie i nie naruszają prawa osób fizycznych do prywatności, np. w celach ochrony budynku / pomieszczenia zamontowany został monitoring rejestrujący numery rejestracyjne pojazdów i wizerunki osób.
Każda z tych podstaw może wystarczyć indywidualnie, co oznacza, że jeśli spełnisz (jako Administrator Danych) tylko jedną z nich, to wypełnisz zasady legalności przetwarzania danych. Możliwe jest też, że kilka z nich wystąpi równocześnie, ale pamiętaj, że są one równorzędne i żadna nie przeważa nad inną. Przyjrzyjmy się teraz każdej z podstaw.
Przetwarzanie na podstawie zgody
Artykuł 6 ust. 1 lit. a - Osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.
Wyrażenie zgody jest jedną z najczęściej używanych podstaw przetwarzania. Często np. udzielamy zgody na wysyłkę oferty handlowej czy newslettera. Samo wyrażenie zgody zgodnie z RODO jest oparte na systemie opt-in, czyli wymaga określonej aktywności osoby, która tę zgodę ma wyrazić np. w jakimś formularzu zaznacza checkbox.
Niedopuszczalne są zatem wszelkie modele opt-out, czyli domyślnie zaznaczone okienka zgód lub udzielenie zgody poprzez akceptację regulaminu usługi, w ramach którego jest wpisana.
Kluczowym aspektem udzielenia zgody jest jej wyraźne oddzielenie od innych informacji, co umożliwia jej jednoznaczne rozpoznanie. Ma to znaczenie szczególnie w sytuacjach, gdy na jednej stronie lub w jednym dokumencie pozyskujesz jest wiele zgód.
Jako Administrator masz obowiązek umożliwić również cofnięcie zgody. Jest to prawo osoby, której dane dotyczą. Co więcej, może z tego prawa skorzystać w dowolnym momencie. Dlatego cofnięcie zgody powinno być równie proste, jak jej udzielenie. Jak to wygląda w praktyce? Jeśli np. zgoda była pozyskana przez zaznaczenie checkboxa przy zapisywaniu się na newsletter, jej wycofanie powinno być możliwe poprzez link umieszczony w stopce otrzymywanych e-maili. Jednocześnie po wycofaniu zgody, gdy nie posiadasz innej podstawy przetwarzania danych, dalsze ich przetwarzanie jest niedozwolone.
Pamiętaj, że korzystanie ze zgody jako podstawy przetwarzania nie zwalnia Cię z obowiązku przestrzegania innych zasad określonych w art. 5 ust. 1 RODO, takich jak:
- rzetelność,
- przejrzystość,
- ograniczenie celu,
- minimalizacja danych oraz ich poprawność.
Zgoda nie powinna być udzielana, jeśli jest nieadekwatna lub nadmierna w stosunku do celu, dla którego dane zbierasz.
Przetwarzanie niezbędne do wykonania umowy
Artykuł 6 ust. 1 lit. b - Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Drugą najczęściej wykorzystywaną podstawą prawną jest przetwarzanie danych osobowych niezbędne do wykonania umowy. Tę podstawę można rozłożyć na dwie główne kategorie:
a)Przetwarzanie danych w celu podjęcia działań przed zawarciem umowy.
W życiu gospodarczym często zdarza się, że strony wymieniają informacje jeszcze przed sfinalizowaniem umowy. To etap nawiązywania relacji, ustalania szczegółów współpracy i formułowania warunków, które zostaną później podpisane lub zaakceptowane. Zakres przekazywanych danych różni się w zależności od typu umowy oraz charakteru relacji między stronami. RODO nie określa konkretnej formy, w jakiej powinno nastąpić żądanie podjęcia działań przed zawarciem umowy, co oznacza, że może ono przyjąć formę elektroniczną, pisemną czy bezpośrednią.
b)Przetwarzanie danych w celu wykonania umowy.
Ta podstawa ma miejsce, gdy:
- umowa jest zawarta bezpośrednio z osobą, której dane dotyczą;
- bez przetwarzania danych osobowych tej osoby niemożliwe jest prawidłowe wykonanie umowy (przetwarzanie jest niezbędne);
- dane osobowe są przetwarzane wyłącznie w celu realizacji umowy.
W przeciwieństwie do przetwarzania opartego na zgodzie korzystanie z podstawy konieczności wykonania umowy ogranicza się tylko do zwykłych danych osobowych, bez danych wrażliwych - nie możesz ich przetwarzać na tej podstawie do wykonania umowy.
Istotne jest również to, jak długo dane mogą być przetwarzane na tej podstawie. Skoro przetwarzanie jest niezbędne do wykonania umowy, możesz je przetwarzać tak długo, jak obowiązuje umowa łącząca Cię z podmiotem danych.
W praktyce rynkowej często zdarza się, że Administrator musi współpracować z podmiotami trzecimi w celu realizacji obowiązków wynikających z umowy, np. zleca część prac podwykonawcom, a tym samym musi im przekazać lub powierzyć część danych, które otrzymał. RODO określa dwie podstawy prawne dla przekazywania danych osobowych tym podmiotom:
- Udostępniasz dane innemu Administratorowi Danych Osobowych.
Sytuacja ma miejsce, gdy dane są przekazywane między podmiotami pełniącymi rolę administratora danych. Przykład? Usługi kurierskie - Administrator, któremu dane przekazujesz, ma własne cele i podstawy prawne do ich przetwarzania.
- Powierzasz przetwarzanie danych osobowych Podmiotowi Przetwarzającemu.
Może się zdarzyć tak, że dane przekażesz podmiotom, które będą je przetwarzać w imieniu i na rzecz Administratora (czyli Ciebie) np. przy zleceniu usług księgowych. Warunkiem legalnego przetwarzania w takim przypadku jest zawarcie umowy o powierzenie przetwarzania danych.
Przetwarzanie niezbędne do spełnienia obowiązku prawnego administratora
Artykuł 6 ust. 1 lit. c - Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
Czyli obowiązek przetwarzania danych osobowych, do którego zobowiązuje Cię konkretny przepis prawa, a najbardziej oczywistym przykładem jest przetwarzanie danych związanych z umową o pracę. Jako pracodawca lub pracodawczyni przetwarzasz nie tylko dane niezbędne do zawarcia umowy, ale także te wymagane przez Kodeks pracy oraz dodatkowe informacje o pracowniku, które są konieczne do wypełnienia obowiązków emerytalnych i podatkowych.
Przetwarzanie niezbędne do ochrony żywotnych interesów
Artykuł 6 ust. 1 lit. d - Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej
Przykładem zastosowania tej podstawy może być szpital, w którym leczony jest pacjent po wypadku drogowym. Szpital nie potrzebuje zgody na wykorzystanie danych z jego dowodu tożsamości. Bez niej może np. sprawdzić, czy w bazie danych szpitala znajduje się wcześniejsza dokumentacja medyczna pacjenta (np. alergie na określone leki) lub skontaktować się z jego rodziną.
Przetwarzanie niezbędne do wykonania zadania realizowanego w interesie publicznym
Artykuł 6 ust. 1 lit. e - Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
Kolejna podstawa prawna, ale rzadko stosowana w praktyce rynkowej (głównie korzystają z niej organy władzy publicznej lub inne podmioty, które realizują zadania w interesie publicznym). W obrocie gospodarczym, gdzie występują prywatne działalności, możesz się spotkać z przetwarzaniem danych na tej podstawie np. w stowarzyszeniach zawodowych, takich jak izba lekarska, mogą one korzystać z tej podstawy do przeprowadzania postępowań dyscyplinarnych wobec swoich członków.
Przetwarzanie zgodnie z prawnie uzasadnionym interesem Administratora
Artykuł 6 ust. 1 lit. f - Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.
Ostatnią podstawą przetwarzania danych osobowych określoną w RODO jest przetwarzanie konieczne do realizacji prawnie uzasadnionych interesów administratora danych. Ponieważ RODO nie definiuje szczegółowo, co rozumie się pod pojęciem „prawnie uzasadniony interes”, zakres tej podstawy jest szeroki i wymaga ostrożnego podejścia.
Podczas oceny możliwości przetwarzania danych na tej podstawie, musisz przeprowadzić tzw. Test równowagi , który porównuje Twoje interesy jako administratora z interesami oraz podstawowymi prawami i wolnościami osób, których dane dotyczą. Dane osobowe nie mogą być przetwarzane w ramach prawnie uzasadnionych interesów, jeśli interesy lub prawa i wolności tych osób mają charakter nadrzędny i wymagają ochrony danych osobowych. Przykładem zastosowania tej podstawy może być przetwarzanie danych w celu zapewnienia bezpieczeństwa sieci i informacji, np. przez tworzenie kopii zapasowych.
Innym spotykanym przykładem jest przetwarzanie danych w celach marketingowych. Chociaż wielu ekspertów rynkowych zaleca uzyskanie zgody na przetwarzanie danych w celach marketingowych, motyw 47 RODO wskazuje, że marketing bezpośredni może być traktowany jako prawnie uzasadniony interes administratora. Ten przypadek pokazuje właśnie element ostrożnego podejścia, ponieważ Ty jako administrator, zawsze masz obowiązek przeprowadzenia analizy, czy w danym przypadku zastosowanie tej podstawy jest możliwe i uzasadnione.
O czym musisz pamiętać
Gdy przetwarzasz dane osobowe i jesteś Administratorem Danych Osobowych, musisz zadbać o to, aby właściwe ustalić podstawę prawną ich przetwarzania w celu zapewnienia zgodności z przepisami. Przed rozpoczęciem przetwarzania danych zbadaj dokładnie, czy istnieją specyficzne przepisy prawne, które mogą stanowić samodzielną podstawę do ich przetwarzania. W swojej analizie weź pod uwagę również inne warunki określone w art. 6 RODO, ponieważ uzyskanie zgody nie zawsze jest najlepszym wyborem i powinno być traktowane jako środek ostatniej szansy, jeśli nie istnieje inna podstawa do przetwarzania danych. Pamiętaj też, że zgoda może być cofnięta przez osobę, która jej udzieliła, w każdej chwili, co w dłużej perspektywie może być przeszkodą w przetwarzaniu jej danych i realizacji Twoich celów biznesowych.
Źródła:
https://uodo.gov.pl
https://commission.europa.eu
https://archiwum.uodo.gov.pl
Polecamy
- Autorskie prawa majątkowe – pojęcie, czas ochrony, zbywalnośćczas czytania5minuty15.01.2024Autorskie prawa majątkowe to sposób na zabezpieczenie interesów twórcy. W jaki sposób chronią prawa autorskie i przez jaki czas? Opowiadamy!
- Przetwarzanie danych osobowych poza Europejskim Okręgiem Gospodarczym (EOG) – obowiązki przedsiębiorcyczas czytania10minuty08.03.2024Dowiedz się, czym różni się państwo w ramach EOG od tego spoza niej. Czym są standardowe klauzule umowne, a także państwa adekwatne według Komisji Europejskiej.
- RODO na stronie internetowej – co należy wiedzieć o obowiązku informacyjnym?czas czytania5minutyartykuł zawiera załącznik05.07.2023Masz własną stronę internetową? Odkryj swoje obowiązki prawne jako administratora danych.5min
- Dyrektywa Omnibus, czyli obowiązek informowania o cenach. Jak wygląda w praktyce?czas czytania8minuty04.07.2023Zajmujesz się sprzedażą? W takim razie musisz działać zgodnie z nowymi przepisami. Sprawdź, co trzeba o nich wiedzieć!
- Zgoda na przetwarzanie danych osobowych w celach marketingu bezpośredniego – czy zawsze jest konieczna?czas czytania7minuty08.11.2023Czy taka zgoda zawsze jest niezbędna? I jakie wymagania musi spełnić administrator, żeby przetwarzać dane osobowe zgodnie z prawem? Na te i inne pytania odpowiedzi znajdziesz w tekście.
- Ochrona danych osobowych – o tych kwestiach nie zapomnij w 2023 rokuczas czytania3minutyartykuł zawiera załącznik03.01.2023Z danymi osobowymi masz kontakt w wielu sytuacjach. Sprawdź, na co przede wszystkim zwrócić uwagę w nowym roku!3min