Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

RODO a legalność przetwarzania danych osobowych

Jedną z podstawowych zasad przetwarzania danych osobowych stanowi zasada legalności. Sprowadza się ona do tego, że aby móc zgodnie z prawem przetwarzać dane osobowe, administrator powinien dysponować tzw. przesłanką legalizującą to przetwarzanie.

Zarówno obecna ustawa o ochronie danych osobowych (UODO), jak i ogólne rozporządzenie o ochronie danych osobowych (RODO), wskazują przypadki, czynności lub zdarzenia, których spełnienie legalizuje proces przetwarzania informacji. I właśnie tym przypadkom, czynnościom i zdarzeniom, poświęcony jest niniejszy artykuł stanowiący kolejną część cyklu naszych publikacji dotyczących RODO.

 Jest to czwarta część naszego cyklu. Zobacz również poprzednie artykuły:

Przetwarzanie danych osobowych

Mówiąc o przesłankach legalności przetwarzania danych osobowych, należy na samym początku zastanowić się nad tym, co w ogóle kryje się pod pojęciem przetwarzania danych. Czy samo przechowywanie zamkniętej koperty z CV będzie przetwarzaniem danych? Czy dopiero po otworzeniu koperty i zapoznaniu się z treścią dokumentu, możemy mówić, że miała miejsce czynność przetwarzania danych? Co w sytuacji, kiedy po prostu niszczymy wydruki lub pliki zawierające dane osobowe? Czy wówczas również powinniśmy przestrzegać zasad przetwarzania danych osobowych i dysponować przesłanką legalizującą?

Spójrzmy na definicję przetwarzania danych osobowych na gruncie UODO i RODO.

UODO RODO
art. 7 pkt 2

Ilekroć w ustawie jest mowa o:

2) przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;

art. 4 pkt 2

Na użytek niniejszego rozporządzenia:

2) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

Definicja przetwarzania danych na gruncie RODO, w praktyce nie różni się od obecnie funkcjonującej definicji tego pojęcia.

To, co na pierwszy rzut oka da się zauważyć to to, że w RODO znacznie rozbudowano przykładowy katalog operacji, które uznamy za przetwarzanie danych. Przyczyna tego jest prosta – w miarę rozwoju nowych technologii, pojawia się coraz więcej czynności, które możemy wykonywać na danych. Należy zwrócić uwagę, że w obu przypadkach, wyliczenie ma charakter przykładowy i jeżeli w naszej organizacji zidentyfikujemy inną czynność dokonywaną na danych, niż te wymienione w UODO lub w RODO, nie będzie oznaczało to, że nie będzie ona miała charakteru przetwarzania danych.

Chcesz być RODO Ready?

Zapraszamy na praktyczne szkolenie poświęcone tematyce nowego Rozporządzenia.
  • Termin: 23.08.2017
  • Miejsce: Warszawa
  • Czas: 8 godzin
  • Cena: 750 zł netto
Więcej o szkoleniu

Podstawy przetwarzania danych zwykłych

Przechodząc już stricte do tematu artykułu, analizę legalności przetwarzania danych na gruncie RODO, rozpoczniemy od warunków przetwarzania tzw. danych zwykłych. O tym, jakie informacje zaliczamy do tej kategorii danych osobowych, pisaliśmy w pierwszym artykule naszego cyklu – TUTAJ.

Zgodnie z art. 6 RODO, przetwarzanie jest zgodne z prawem, gdy:

  1. osoba, której dane dotyczą wyraziła na to zgodę;
  2. jest niezbędne do wykonania umowy lub podjęcia działań przed jej zawarciem;
  3. jest niezbędne do wypełnienia obowiązku prawnego;
  4. jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  5. jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej;
  6. jest niezbędne do celów wynikających z prawnie uzasadnionych interesów.

RODO przewiduje zatem sześć przypadków, kiedy możemy zgodnie z prawem przetwarzać tzw. dane zwykłe. Przyjrzyjmy się zatem bliżej każdemu z tych warunków, zestawiając go z obecnie obowiązującymi przesłankami przetwarzania danych na gruncie UODO.

 Z uwagi na to, że RODO wprowadza nowe, istotne wymogi dotyczące przetwarzania danych na podstawie zgody osoby, której dane dotyczą, tej tematyce poświęcony zostanie w całości następny z artykułów naszego cyklu. Z tego też powodu, ta przesłanka nie będzie omawiana w niniejszym artykule, a naszą analizę rozpoczynamy od drugiej z wymienionych wyżej podstaw.

Umowa

UODO RODO
art. 23 ust. 1 pkt 3)

  1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;

art. 6 ust. 1 pkt b)

  1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy (…):

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

Brzmienie przesłanki legalizującej przetwarzanie danych osobowych w związku z zawieraniem i wykonywaniem umowy, jest niemalże identyczne na gruncie RODO i UODO.

Zarówno polski jak i unijny prawodawca, wskazuje nam dwie sytuacje, które są związane z czynnościami dotyczącymi umów, a które legalizują proces przetwarzania danych.

Po pierwsze, przetwarzanie jest dopuszczalne, jeżeli jest konieczne do wykonania umowy, gdy osoba, której dane dotyczą, jest jej stroną. Na tę przesłankę możemy się powołać wyłącznie po zawarciu umowy. Przypadek ten nie powinien budzić żadnych wątpliwości. Legalizuje on m.in. przetwarzanie danych naszych klientów czy kontrahentów.

Po drugie, przetwarzanie danych jest legalne, gdy jest niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Oznacza to, że chęć zawarcia umowy powinna zostać w sposób jednoznaczny wyrażona przez osobę, której dane dotyczą. Ma to miejsce m.in. w przypadku kiedy dzwoni do nas potencjalny klient zainteresowany naszą ofertą i podaje nam swoje dane w celu przygotowania umowy i sfinalizowania np. zakupu. Należy zaznaczyć, że przesłanka ta z całą pewnością nie legalizuje, i na gruncie RODO również nie będzie legalizowała, wysyłki treści marketingowych do potencjalnych klientów.

Obowiązek prawny

UODO RODO
art. 23 ust. 1 pkt 2)

  1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;

art. 6 ust. 1 pkt b)

  1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy (…):

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

Zgodnie z obecnie obowiązującym stanem prawnym, każdy administrator danych, może szukać podstawy przetwarzania danych osobowych w przepisach prawa. To samo, choć w ograniczonym zakresie, będą mogli robić administratorzy po rozpoczęciu stosowania przepisów RODO.

Zgodnie z motywem 41 RODO, jeżeli w rozporządzeniu jest mowa o podstawie prawnej lub akcie prawnym, niekoniecznie wymaga to przyjęcia aktu prawnego przez parlament, z zastrzeżeniem wymogów wynikających z porządku konstytucyjnego danego państwa UE.

Oznacza to, że aktami prawnymi, do których odwołują się wskazane wyżej przepisy RODO, ale również obecnie i UODO, mogą być tylko źródła prawa wskazane w art. 87 ust. 1 Konstytucji RP. Artykuł ten wymienia jako źródła powszechnie obowiązującego prawa: Konstytucję, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia.

Wydaje się być zasadne, również w kontekście przesłanki określonej w RODO, wyłączenie z tego katalogu rozporządzeń, jako aktów mogących być źródłem obowiązku dopuszczającego przetwarzanie danych. Zgodnie bowiem z zasadą wyrażoną w art. 31 ust. 3 Konstytucji RP, ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być bowiem ustanawiane tylko w ustawie.

W zakresie tej przesłanki legalności, RODO wprowadza wydawałoby się niewielką, lecz mającą istotne znaczenie zmianę. Prawodawca unijny zrezygnował bowiem z legalizacji przetwarzania danych osobowych na podstawie uprawnienia wynikającego z przepisu prawa. Stanowiło to celowe działanie, które powoduje zawężenie przetwarzania danych na podstawie przepisów prawa wyłącznie w zakresie realizacji nałożonego na administratora danych obowiązku.

Co ciekawe, obecne brzmienie omawianej przesłanki legalności jest w znacznej mierze samodzielną inicjatywą polskiego ustawodawcy. Art. 7 pkt c) Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, a więc dyrektywy matki UODO, dopuszcza przypadki przetwarzania danych, gdy jest ono konieczne dla wykonania zobowiązania prawnego. Nie ma tam zatem mowy o realizacji uprawnienia, które pojawia się w jeszcze obowiązującej ustawie o ochronie danych osobowych.

Co taka zmiana oznacza w praktyce? Wszędzie tam, gdzie polski ustawodawca daje podmiotowi możliwość żądania podania danych osobowych, tj. posługuje się takimi pojęciami jak: może, ma prawo, oznacza, że dany podmiot jest do czegoś uprawniony. Tym samym, jeżeli teraz administrator opiera na takim przepisie przetwarzanie danych osobowych, po 25 maja 2018 r., podstawę tę utraci.

Przykładem takich przepisów są np. przepisy Kodeksu pracy. Art. 22(1) Kodeksu pracy, daje pracodawcy uprawnienie do żądania od osoby ubiegającej się o pracę, a następnie od pracownika, podania konkretnych kategorii danych osobowych. Tym samym, przepisy te nie nakładają na osobę, której dane dotyczą obowiązku podania tych danych, a na prawodawcę obowiązku ich zbierania.

Innym przykładem przepisów przewidujących uprawnienie do żądania podania informacji o charakterze danych osobowych, są np. przepisy Ustawy o systemie oświaty. Na podstawie art. 33 ust. 3 pkt 2 tej ustawy, przedstawiciele gmin mają prawo do wglądu w dokumentację prowadzoną przez placówki oświatowo-wychowawcze, w tym w dziennik zajęć zawierający dane osobowe dzieci, w ramach wykonywania przez gminę uprawnień nadzorczych.

Dla kontrastu, przepisem, który nakłada na administratora obowiązek przetwarzania danych osobowych, w postaci udostępnienia danych, będzie np. art. 14 ust. 5 ustawy o Policji, na podstawie którego, administrator danych jest obowiązany udostępnić dane osobowe policjantowi wskazanemu w imiennym upoważnieniu.

Tytaniczna praca czeka więc polskiego prawodawcę, w zakresie przejrzenia i znowelizowania aktów prawnych, które swą treścią wskazują administratorom danych uprawnienie przetwarzania danych, z którego po rozpoczęciu stosowania przepisów RODO nie będą oni mogli korzystać. Aby pokazać skalę tego przedsięwzięcia należy wspomnieć, że według zeszłorocznych szacunków Rządowego Centrum Legislacji, do przejrzenia w tym zakresie jest ok. 800 ustaw. Obecnie mówi się o ok. 400 aktach prawnych do poprawki.

Ochrona żywotnych interesów

UODO RODO
art. 23 ust. 3

3. Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a spełnienie warunku określonego w ust. 1 pkt 1 jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe.

art. 6 ust. 1 lit d)

  1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy (…):

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

Obecnie UODO nie wskazuje wprost ochrony żywotnych interesów, jako podstawy przetwarzania danych osobowych. Przewiduje jedynie wyłączenie z obowiązku uzyskania zgody osoby, której dane dotyczą, w sytuacji, gdy przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie zgody jest (przynajmniej czasowo) niemożliwe.

Czym są żywotne interesy? Zgodnie z tym co wskazuje się w literaturze, poprzez żywotne interesy należy rozumieć interesy o dużym znaczeniu, jak zdrowie, życie, nie wykluczając przy tym interesów majątkowych.

Wyłączenie obowiązku uzyskania zgody w takim wypadku musi mieć charakter czasowy i trwać tylko do czasu, aż staje się możliwe uzyskanie właściwego oświadczenia woli od tej osoby.

Tyle na gruncie UODO. Co natomiast o żywotnych interesach mówi RODO?

Zgodnie z motywem 46 RODO, przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą, lub innej osoby fizycznej. Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej. W takim wypadku stanowi on niejako awaryjną przesłankę przetwarzania, którą możemy zastosować wyłącznie w przypadku braku możliwości powołania się na pozostałe podstawy.

Jako przykłady takiego przetwarzania, podaje się przetwarzanie danych do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub nadzwyczajne sytuacje humanitarne, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka.

Interes publiczny

UODO RODO
art. 23 ust. 1 pkt 4)

  1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

art. 6 ust. 1 lit e)

  1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy (…):

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

Chociaż na pierwszy rzut oka zestawione obok siebie przesłanki znacznie się różnią w swoim literalnym brzmieniu, w praktyce ich zastosowanie pozostaje zbliżone.

Obecnie dobro publiczne utożsamiane jest z wykonywaniem zadań publicznych i już teraz wskazuje się, że na przesłankę zadań realizowanych dla dobra publicznego może powoływać się podmiot niepubliczny w przypadku realizacji zleconych mu zadań publicznych.

W takim rozumieniu ta przesłanka przetwarzania danych będzie funkcjonować również na gruncie RODO. W motywie 45 RODO wskazuje się, że przepisy prawa powinny określać w takich przypadkach czy administratorem wykonującym zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powinien być organ publiczny czy inna osoba fizyczna lub prawna podlegająca prawu publicznemu lub prawu prywatnemu. RODO podaje w tym zakresie przykłady zrzeszeń zawodowych, jeżeli przetwarzanie to uzasadnia interes publiczny, w tym cele zdrowotne, takie jak zdrowie publiczne, ochrona socjalna oraz zarządzanie usługami opieki zdrowotnej.

Prawnie uzasadnione interesy

UODO RODO
art. 23 ust. 1 pkt 4)

  1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą;

art. 23 ust. 4

  1. Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności:

1) marketing bezpośredni własnych produktów lub usług administratora danych;

2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

art. 6 ust. 1 lit. f)

  1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy (…):
  2. f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

Obecnie wskazane przez UODO prawnie usprawiedliwione cele, na gruncie RODO zostają zastąpione przez prawnie uzasadnione interesy administratora danych lub strony trzeciej.

Przez stronę trzecią należy rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe.

Zarówno obecnie, jak i na gruncie RODO, ograniczeniem przetwarzania danych na podstawie tej przesłanki, są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Cel, o którym mowa w UODO, jak i interes wskazany przez przepisy RODO, muszą być usprawiedliwione prawnie.

Czym są zatem te prawnie usprawiedliwione cele / uzasadnione interesy, o których mowa w przywoływanych przesłankach przetwarzania danych?

UODO, jako przykłady tych celów wskazuje: marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Do nie wymienionych w ustawie przykładów takich celów zaliczymy np. zagwarantowanie bezpieczeństwa siedziby administratora danych.

RODO w swoich motywach, podaje następujące przykłady prawnie uzasadnionych interesów:

– przetwarzanie w celach marketingu bezpośredniego lub zapobieganie oszustwom (motyw 47);

przekazywanie danych osobowych w ramach grupy przedsiębiorstw na potrzeby administracji wewnętrznej (motyw 48);

– przetwarzanie w celu zapewnienia bezpieczeństwa sieci i informacji, w tym zapobiegania nieautoryzowanemu dostępowi do sieci łączności elektronicznej i przeciwdziałania uszkodzeniu systemów komputerowych (motyw 49);

zgłaszanie potencjalnych czynów przestępczych lub zagrożeń bezpieczeństwa publicznego do właściwego organu (motyw 50).

Zestawiając ze sobą przypadki, kiedy mamy do czynienia z prawnie usprawiedliwionymi celami w rozumieniu UODO oraz przypadki, kiedy w grę wchodzą prawnie uzasadnione interesy, o których mowa w RODO, należy stwierdzić, że będą to te same przykłady aktywności administratora danych.

Jedyne novum, które w tym zakresie wprowadza RODO, to zakaz powoływania się na tę przesłankę przetwarzania przez organy publiczne, w zakresie, w jakim dokonują one przetwarzania danych w ramach realizacji swoich zadań.

Oznacza to, że organy publiczne, które obecnie powołują się na art. 23 ust. 1 pkt 5 UODO przy przetwarzaniu danych w ramach realizacji swoich zadań, po 25 maja 2018 r. stracą tę podstawę.

Przykładem w tym zakresie mogą być placówki edukacyjne i stosowany przez nie monitoring wizyjny. Obecnie, jeżeli w szkołach wyodrębnia się zbiór monitoring, jako podstawę przetwarzania danych  w nim zawartych, podaje się właśnie prawnie usprawiedliwiony cel – zagwarantowanie bezpieczeństwa uczniów i innych osób przebywających na terenie placówki.

Taką podstawę przetwarzania tych danych podaje również Generalny Inspektor w wydanych niedawno „Wytycznych GIODO dotyczących wykorzystania monitoringu wizyjnego w szkołach”.

Problem polega na tym, że zapewnienie bezpieczeństwa w placówce, jest zadaniem publicznym szkoły, wynikającym z Ustawy o systemie oświaty.

Czy oznacza to, że pod koniec maja 2018 r. z polskich szkół będą musiały zniknąć kamery? Niekoniecznie. W tym zakresie mamy dwa możliwe scenariusze.

Pierwszy z nich, to określenie przez polskiego ustawodawcę ram prawnych stosowania monitoringu. Wówczas spełnione zostaną postanowienia motywu 47 RODO, który wskazuje, że dla organów publicznych podstawę prawną przetwarzania danych osobowych powinien określić ustawodawca. Na tak bardzo potrzebną regulację kwestii związanych z nadzorem wizyjnym czekamy już ładnych parę lat. Niestety wydaje się mało prawdopodobne, że taka ustawa powstanie w przeciągu roku, który pozostał nam do stosowania RODO. Możliwe jednak, że polski prawodawca nas w tym zakresie pozytywnie zaskoczy.

Drugim scenariuszem, nieco mniej optymistycznym, jest pozostawienie sytuacji samej sobie i przymknięcie oka na to, że podmiotom publicznym zniknie jedna z podstaw przetwarzania danych. Wówczas m.in. szkołom, pozostanie szukanie innych przesłanek legalizujących wykorzystywanie kamer.

Najbliższą temu przetwarzaniu przesłanką wskazaną w RODO, będzie w takim wypadku wypełnienie obowiązku prawnego określonego w Ustawie o systemie oświaty w zakresie zapewnienia warunków działania szkoły lub placówki, w tym bezpiecznych i higienicznych warunków nauki, wychowania i opieki. Nie jest to jednak rozwiązanie nie budzące żadnych wątpliwości, jak i w obecnym brzmieniu powoływanej ustawy. Nie daje również gwarancji uznania tej przesłanki przez nowy organ nadzoru. Zwłaszcza w kontekście postanowień motywu 45 RODO, który wskazuje że uregulowanie prawne stanowiące podstawę przetwarzania danych powinno wprost wskazywać, że stanowi podstawę operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator, lub że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, a także określać cel przetwarzania. Ponadto prawo to może doprecyzowywać ogólne warunki dotyczące zgodności przetwarzania z prawem, określać sposoby wskazywania administratora, rodzaj danych osobowych podlegających przetwarzaniu, osoby, których dane dotyczą, podmioty, którym można ujawniać dane osobowe, ograniczenia celu, okres przechowywania oraz inne środki zapewniające zgodność z prawem i rzetelność przetwarzania.

Podstawy przetwarzania szczególnych kategorii danych osobowych

Zarówno UODO jak i RODO wyodrębnia pewne kategorie danych, których przetwarzanie co do zasady jest zakazane. W polskiej doktrynie, informacje te określa się mianem danych wrażliwych, natomiast RODO posługuje się pojęciem szczególnych kategorii danych osobowych.

Wyjątki od ogólnego zakazu przetwarzania tych kategorii danych obecnie wskazuje art. 27 ust. 2 UODO, natomiast od maja 2018 r. tych wyjątków należało będzie szukać w art. 9 ust. 2 RODO.

Poniżej prezentujemy zbiorcze porównanie przesłanek przetwarzania szczególnych kategorii danych wskazanych w UODO i RODO.

Przesłanki wskazane w UODO zestawiono z przesłankami odpowiadającymi im na gruncie RODO, stąd kolejność wskazanych przesłanek nie odpowiada tej rzeczywistej (zachowano jednak właściwą numerację i punktację).

UODO RODO
art. 27 ust. 2

2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli:

art. 9 ust. 2

2. Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:

1)  osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych; a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1
3)  przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora; c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych; d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
8)  przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą; e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
5)  przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem;

10)  przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym

f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
2)  przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony; g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
6)  przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie; b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;

h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;

7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych; i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
9)  jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone;

j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

Powyższe zestawienie pokazuje, że RODO nie wprowadza rewolucji w zakresie podstaw przetwarzania szczególnych kategorii danych osobowych.

Podobnie jak obecnie, zwiększona ochrona tej kategorii danych wynika z ich charakteru oraz tego, że kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności. Niemożliwym byłoby jednak całkowite zakazanie przetwarzania tych danych.

Wyjątki od zakazu przetwarzania szczególnych kategorii danych osobowych zarówno obecnie jak i na gruncie RODO sprowadzają się do przetwarzania tych danych m.in. w ramach prawa pracy, prawa zabezpieczenia społecznego, do celów bezpieczeństwa, monitorowania i ostrzegania zdrowotnego, zapobiegania chorobom zakaźnym i innym poważnym zagrożeniom zdrowotnym, w ramach ustalenia, dochodzenia lub obrony roszczeń w postępowaniu sądowym, administracyjnym lub też innym postępowaniu pozasądowym, czy też w ramach działalności jaką prowadzą związki wyznaniowe.

Podstawy przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa

Oprócz szczególnych kategorii danych osobowych, RODO wyodrębnia dane osobowe, które podlegają szczególnym warunkom przetwarzania. Do tych danych zaliczymy dane dotyczące wyroków skazujących i naruszeń prawa.

Zgodnie z art. 10 RODO przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa, wolno dokonywać wyłącznie:

  • pod nadzorem władz publicznych lub
  • jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą.

W obecnie obowiązujących przepisach, brak jest odpowiednika tego przepisu RODO. UODO zalicza bowiem wyroki skazujące do danych wrażliwych, a podstawy ich przetwarzania określone są analizowanym wyżej art. 27 ust. 2 UODO. Oznacza to, że w porównaniu z obecnie obowiązującym stanem prawnym, RODO ograniczyło liczbę przesłanek legalizujących przetwarzanie tych danych do dwóch.

Podsumowanie

Zmian, jakie RODO wprowadza w zakresie przesłanek legalizujących przetwarzanie danych, nie sposób określić mianem rewolucyjnych. Przesłanki legalności wskazywane w nowym rozporządzeniu unijnym w znacznej mierze znajdują swoje odpowiedniki w obecnych podstawach przetwarzania danych osobowych. Są one nie tyle repliką przesłanek wskazanych w UODO, lecz tych, które wskazuje nam Dyrektywa, której nasze UODO jest klonem.

Trudno byłoby sobie wyobrazić sytuację, w której RODO przewidywałoby kompletnie inne podstawy przetwarzania danych, niż te obecnie obowiązujące nie tylko w Polsce, ale i w całej UE. Administratorzy danych, którzy obecnie w sposób świadomy korzystają z przesłanek przetwarzania danych, nie powinni obawiać się rozpoczęcia stosowania RODO w tym zakresie.

Stopień zmian30%

Moment do rozpoczęcia wdrażania zmian - przed 25.05.2018

Lista rzeczy do zrobienia


upewnij się, że zidentyfikowałeś/aś wszystkie procesy przetwarzania danych zachodzące w Twojej organizacji;


upewnij się, że dysponujesz wskazanymi w RODO przesłankami legalnego przetwarzania danych osobowych w odniesieniu do każdego ze zbiorów danych;


jeżeli Twoja organizacja jest organem publicznym i opiera przetwarzanie danych na przesłance prawnie usprawiedliwionego celu, sprawdź, czy po rozpoczęciu stosowania RODO nadal będzie mogła korzystać z tej przesłanki, jeżeli nie, postaraj się zidentyfikować inną przesłankę przetwarzania danych.

 

Źródła:

 

 

Powiązane artykuły

Pozostał rok na dostosowanie się do systemu RODO/GDPR
Zgoda na przetwarzanie danych osobowych według RODO
Nowe zasady ogólne przetwarzania danych w RODO

2 Odpowiedzi

  1. Piotr

    w tekście potrzebna jest mała korekta:
    W akapicie OBOWIĄZEK PRAWNY w tabelce porównawczej w kolumnie RODO jest
    b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
    a powinno być
    c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze

    1. Kancelaria Lex Artist

      Dziękujemy za czujność! Rzeczywiście wkradł nam się jakiś chochlik, którym się już zajęliśmy 🙂 Pozdrawiamy serdecznie

Zostaw odpowiedź