RODO a legalność przetwarzania danych osobowych

Jedną z podstawowych zasad przetwarzania danych osobowych stanowi zasada legalności. Sprowadza się ona do tego, że aby móc zgodnie z prawem przetwarzać dane osobowe, administrator powinien dysponować tzw. przesłanką legalizującą to przetwarzanie.

Zarówno obecna ustawa o ochronie danych osobowych (UODO), jak i ogólne rozporządzenie o ochronie danych osobowych (RODO), wskazują przypadki, czynności lub zdarzenia, których spełnienie legalizuje proces przetwarzania informacji. I właśnie tym przypadkom, czynnościom i zdarzeniom, poświęcony jest niniejszy artykuł stanowiący kolejną część cyklu naszych publikacji dotyczących RODO.

RODO a legalność przetwarzania danych

 Jest to czwarta część naszego cyklu. Zobacz również poprzednie artykuły:

Przetwarzanie danych osobowych

Mówiąc o przesłankach legalności przetwarzania danych osobowych, należy na samym początku zastanowić się nad tym, co w ogóle kryje się pod pojęciem przetwarzania danych. Czy samo przechowywanie zamkniętej koperty z CV będzie przetwarzaniem danych? Czy dopiero po otworzeniu koperty i zapoznaniu się z treścią dokumentu, możemy mówić, że miała miejsce czynność przetwarzania danych? Co w sytuacji, kiedy po prostu niszczymy wydruki lub pliki zawierające dane osobowe? Czy wówczas również powinniśmy przestrzegać zasad przetwarzania danych osobowych i dysponować przesłanką legalizującą?

Spójrzmy na definicję przetwarzania danych osobowych na gruncie UODO i RODO.

UODORODO
art. 7 pkt 2

Ilekroć w ustawie jest mowa o:

2) przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;

art. 4 pkt 2

Na użytek niniejszego rozporządzenia:

2) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

Definicja przetwarzania danych na gruncie RODO, w praktyce nie różni się od obecnie funkcjonującej definicji tego pojęcia.

To, co na pierwszy rzut oka da się zauważyć to to, że w RODO znacznie rozbudowano przykładowy katalog operacji, które uznamy za przetwarzanie danych. Przyczyna tego jest prosta – w miarę rozwoju nowych technologii, pojawia się coraz więcej czynności, które możemy wykonywać na danych. Należy zwrócić uwagę, że w obu przypadkach, wyliczenie ma charakter przykładowy i jeżeli w naszej organizacji zidentyfikujemy inną czynność dokonywaną na danych, niż te wymienione w UODO lub w RODO, nie będzie oznaczało to, że nie będzie ona miała charakteru przetwarzania danych.

 

e-learning RODO

Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.

Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?

Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

 

Podstawy przetwarzania danych zwykłych

Przechodząc już stricte do tematu artykułu, analizę legalności przetwarzania danych na gruncie RODO, rozpoczniemy od warunków przetwarzania tzw. danych zwykłych. O tym, jakie informacje zaliczamy do tej kategorii danych osobowych, pisaliśmy w pierwszym artykule naszego cyklu – TUTAJ.

Zgodnie z art. 6 RODO, przetwarzanie jest zgodne z prawem, gdy:

  1. osoba, której dane dotyczą wyraziła na to zgodę;

Lub, gdy jest niezbędne do:

  1. wykonania umowy lub podjęcia działań przed jej zawarciem;
  2. wypełnienia obowiązku prawnego;
  3. ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  4. wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej;
  5. celów wynikających z prawnie uzasadnionych interesów.

RODO przewiduje zatem sześć przypadków, kiedy możemy zgodnie z prawem przetwarzać tzw. dane zwykłe. Przyjrzyjmy się zatem bliżej każdemu z tych warunków, zestawiając go z obecnie obowiązującymi przesłankami przetwarzania danych na gruncie UODO.

 Z uwagi na to, że RODO wprowadza nowe, istotne wymogi dotyczące przetwarzania danych na podstawie zgody osoby, której dane dotyczą, tej tematyce poświęcony zostanie w całości następny z artykułów naszego cyklu. Z tego też powodu, ta przesłanka nie będzie omawiana w niniejszym artykule, a naszą analizę rozpoczynamy od drugiej z wymienionych wyżej podstaw.

Umowa

UODORODO
art. 23 ust. 1 pkt 3)

  1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;

art. 6 ust. 1 pkt b)

  1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy (…):

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

Brzmienie przesłanki legalizującej przetwarzanie danych osobowych w związku z zawieraniem i wykonywaniem umowy, jest niemalże identyczne na gruncie RODO i UODO.

Zarówno polski jak i unijny prawodawca, wskazuje nam dwie sytuacje, które są związane z czynnościami dotyczącymi umów, a które legalizują proces przetwarzania danych.

Po pierwsze, przetwarzanie jest dopuszczalne, jeżeli jest konieczne do wykonania umowy, gdy osoba, której dane dotyczą, jest jej stroną. Na tę przesłankę możemy się powołać wyłącznie po zawarciu umowy. Przypadek ten nie powinien budzić żadnych wątpliwości. Legalizuje on m.in. przetwarzanie danych naszych klientów czy kontrahentów.

Po drugie, przetwarzanie danych jest legalne, gdy jest niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Oznacza to, że chęć zawarcia umowy powinna zostać w sposób jednoznaczny wyrażona przez osobę, której dane dotyczą. Ma to miejsce m.in. w przypadku kiedy dzwoni do nas potencjalny klient zainteresowany naszą ofertą i podaje nam swoje dane w celu przygotowania umowy i sfinalizowania np. zakupu. Należy zaznaczyć, że przesłanka ta z całą pewnością nie legalizuje, i na gruncie RODO również nie będzie legalizowała, wysyłki treści marketingowych do potencjalnych klientów.

Obowiązek prawny

UODORODO
art. 23 ust. 1 pkt 2)

  1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;

art. 6 ust. 1 pkt b)

  1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy (…):

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

Zgodnie z obecnie obowiązującym stanem prawnym, każdy administrator danych, może szukać podstawy przetwarzania danych osobowych w przepisach prawa. To samo, choć w ograniczonym zakresie, będą mogli robić administratorzy po rozpoczęciu stosowania przepisów RODO.

Zgodnie z motywem 41 RODO, jeżeli w rozporządzeniu jest mowa o podstawie prawnej lub akcie prawnym, niekoniecznie wymaga to przyjęcia aktu prawnego przez parlament, z zastrzeżeniem wymogów wynikających z porządku konstytucyjnego danego państwa UE.

Oznacza to, że aktami prawnymi, do których odwołują się wskazane wyżej przepisy RODO, ale również obecnie i UODO, mogą być tylko źródła prawa wskazane w art. 87 ust. 1 Konstytucji RP. Artykuł ten wymienia jako źródła powszechnie obowiązującego prawa: Konstytucję, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia.

Wydaje się być zasadne, również w kontekście przesłanki określonej w RODO, wyłączenie z tego katalogu rozporządzeń, jako aktów mogących być źródłem obowiązku dopuszczającego przetwarzanie danych. Zgodnie bowiem z zasadą wyrażoną w art. 31 ust. 3 Konstytucji RP, ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być bowiem ustanawiane tylko w ustawie.

W zakresie tej przesłanki legalności, RODO wprowadza wydawałoby się niewielką, lecz mającą istotne znaczenie zmianę. Prawodawca unijny zrezygnował bowiem z legalizacji przetwarzania danych osobowych na podstawie uprawnienia wynikającego z przepisu prawa. Stanowiło to celowe działanie, które powoduje zawężenie przetwarzania danych na podstawie przepisów prawa wyłącznie w zakresie realizacji nałożonego na administratora danych obowiązku.

Co ciekawe, obecne brzmienie omawianej przesłanki legalności jest w znacznej mierze samodzielną inicjatywą polskiego ustawodawcy. Art. 7 pkt c) Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, a więc dyrektywy matki UODO, dopuszcza przypadki przetwarzania danych, gdy jest ono konieczne dla wykonania zobowiązania prawnego. Nie ma tam zatem mowy o realizacji uprawnienia, które pojawia się w jeszcze obowiązującej ustawie o ochronie danych osobowych.

Co taka zmiana oznacza w praktyce? Wszędzie tam, gdzie polski ustawodawca daje podmiotowi możliwość żądania podania danych osobowych, tj. posługuje się takimi pojęciami jak: może, ma prawo, oznacza, że dany podmiot jest do czegoś uprawniony. Tym samym, jeżeli teraz administrator opiera na takim przepisie przetwarzanie danych osobowych, po 25 maja 2018 r., podstawę tę utraci.

Przykładem takich przepisów są np. przepisy Kodeksu pracy. Art. 22(1) Kodeksu pracy, daje pracodawcy uprawnienie do żądania od osoby ubiegającej się o pracę, a następnie od pracownika, podania konkretnych kategorii danych osobowych. Tym samym, przepisy te nie nakładają na osobę, której dane dotyczą obowiązku podania tych danych, a na prawodawcę obowiązku ich zbierania.

Innym przykładem przepisów przewidujących uprawnienie do żądania podania informacji o charakterze danych osobowych, są np. przepisy Ustawy o systemie oświaty. Na podstawie art. 33 ust. 3 pkt 2 tej ustawy, przedstawiciele gmin mają prawo do wglądu w dokumentację prowadzoną przez placówki oświatowo-wychowawcze, w tym w dziennik zajęć zawierający dane osobowe dzieci, w ramach wykonywania przez gminę uprawnień nadzorczych.

Dla kontrastu, przepisem, który nakłada na administratora obowiązek przetwarzania danych osobowych, w postaci udostępnienia danych, będzie np. art. 14 ust. 5 ustawy o Policji, na podstawie którego, administrator danych jest obowiązany udostępnić dane osobowe policjantowi wskazanemu w imiennym upoważnieniu.

Tytaniczna praca czeka więc polskiego prawodawcę, w zakresie przejrzenia i znowelizowania aktów prawnych, które swą treścią wskazują administratorom danych uprawnienie przetwarzania danych, z którego po rozpoczęciu stosowania przepisów RODO nie będą oni mogli korzystać. Aby pokazać skalę tego przedsięwzięcia należy wspomnieć, że według zeszłorocznych szacunków Rządowego Centrum Legislacji, do przejrzenia w tym zakresie jest ok. 800 ustaw. Obecnie mówi się o ok. 400 aktach prawnych do poprawki.

klauzule informacyjne

Klauzule informacyjne oraz klauzule zgód

Pracuj na sprawdzonych wzorach i wytycznych, których autorami są eksperci Lex Artist sp. z o.o. – lidera na rynku ochrony danych osobowych w Polsce.

Skorzystaj z naszych sprawdzonych wzorów klauzul informacyjnych i klauzuli zgody.

Sprawdź

Ochrona żywotnych interesów

UODORODO
art. 23 ust. 3

3. Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a spełnienie warunku określonego w ust. 1 pkt 1 jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe.

art. 6 ust. 1 lit d)

  1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy (…):

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

Obecnie UODO nie wskazuje wprost ochrony żywotnych interesów, jako podstawy przetwarzania danych osobowych. Przewiduje jedynie wyłączenie z obowiązku uzyskania zgody osoby, której dane dotyczą, w sytuacji, gdy przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie zgody jest (przynajmniej czasowo) niemożliwe.

Czym są żywotne interesy? Zgodnie z tym co wskazuje się w literaturze, poprzez żywotne interesy należy rozumieć interesy o dużym znaczeniu, jak zdrowie, życie, nie wykluczając przy tym interesów majątkowych.

Wyłączenie obowiązku uzyskania zgody w takim wypadku musi mieć charakter czasowy i trwać tylko do czasu, aż staje się możliwe uzyskanie właściwego oświadczenia woli od tej osoby.

Tyle na gruncie UODO. Co natomiast o żywotnych interesach mówi RODO?

Zgodnie z motywem 46 RODO, przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą, lub innej osoby fizycznej. Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej. W takim wypadku stanowi on niejako awaryjną przesłankę przetwarzania, którą możemy zastosować wyłącznie w przypadku braku możliwości powołania się na pozostałe podstawy.

Jako przykłady takiego przetwarzania, podaje się przetwarzanie danych do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub nadzwyczajne sytuacje humanitarne, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka.

Interes publiczny

UODORODO
art. 23 ust. 1 pkt 4)

  1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

art. 6 ust. 1 lit e)

  1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy (…):

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

Chociaż na pierwszy rzut oka zestawione obok siebie przesłanki znacznie się różnią w swoim literalnym brzmieniu, w praktyce ich zastosowanie pozostaje zbliżone.

Obecnie dobro publiczne utożsamiane jest z wykonywaniem zadań publicznych i już teraz wskazuje się, że na przesłankę zadań realizowanych dla dobra publicznego może powoływać się podmiot niepubliczny w przypadku realizacji zleconych mu zadań publicznych.

W takim rozumieniu ta przesłanka przetwarzania danych będzie funkcjonować również na gruncie RODO. W motywie 45 RODO wskazuje się, że przepisy prawa powinny określać w takich przypadkach czy administratorem wykonującym zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powinien być organ publiczny czy inna osoba fizyczna lub prawna podlegająca prawu publicznemu lub prawu prywatnemu. RODO podaje w tym zakresie przykłady zrzeszeń zawodowych, jeżeli przetwarzanie to uzasadnia interes publiczny, w tym cele zdrowotne, takie jak zdrowie publiczne, ochrona socjalna oraz zarządzanie usługami opieki zdrowotnej.

Prawnie uzasadnione interesy

UODORODO
art. 23 ust. 1 pkt 4)

  1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą;

art. 23 ust. 4

  1. Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności:

1) marketing bezpośredni własnych produktów lub usług administratora danych;

2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

art. 6 ust. 1 lit. f)

  1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy (…):
  2. f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

Obecnie wskazane przez UODO prawnie usprawiedliwione cele, na gruncie RODO zostają zastąpione przez prawnie uzasadnione interesy administratora danych lub strony trzeciej.

Przez stronę trzecią należy rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe.

Zarówno obecnie, jak i na gruncie RODO, ograniczeniem przetwarzania danych na podstawie tej przesłanki, są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Cel, o którym mowa w UODO, jak i interes wskazany przez przepisy RODO, muszą być usprawiedliwione prawnie.

Czym są zatem te prawnie usprawiedliwione cele / uzasadnione interesy, o których mowa w przywoływanych przesłankach przetwarzania danych?

UODO, jako przykłady tych celów wskazuje: marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Do nie wymienionych w ustawie przykładów takich celów zaliczymy np. zagwarantowanie bezpieczeństwa siedziby administratora danych.

RODO w swoich motywach, podaje następujące przykłady prawnie uzasadnionych interesów:

– przetwarzanie w celach marketingu bezpośredniego lub zapobieganie oszustwom (motyw 47);

przekazywanie danych osobowych w ramach grupy przedsiębiorstw na potrzeby administracji wewnętrznej (motyw 48);

– przetwarzanie w celu zapewnienia bezpieczeństwa sieci i informacji, w tym zapobiegania nieautoryzowanemu dostępowi do sieci łączności elektronicznej i przeciwdziałania uszkodzeniu systemów komputerowych (motyw 49);

zgłaszanie potencjalnych czynów przestępczych lub zagrożeń bezpieczeństwa publicznego do właściwego organu (motyw 50).

Zestawiając ze sobą przypadki, kiedy mamy do czynienia z prawnie usprawiedliwionymi celami w rozumieniu UODO oraz przypadki, kiedy w grę wchodzą prawnie uzasadnione interesy, o których mowa w RODO, należy stwierdzić, że będą to te same przykłady aktywności administratora danych.

Jedyne novum, które w tym zakresie wprowadza RODO, to zakaz powoływania się na tę przesłankę przetwarzania przez organy publiczne, w zakresie, w jakim dokonują one przetwarzania danych w ramach realizacji swoich zadań.

Oznacza to, że organy publiczne, które obecnie powołują się na art. 23 ust. 1 pkt 5 UODO przy przetwarzaniu danych w ramach realizacji swoich zadań, po 25 maja 2018 r. stracą tę podstawę.

Przykładem w tym zakresie mogą być placówki edukacyjne i stosowany przez nie monitoring wizyjny. Obecnie, jeżeli w szkołach wyodrębnia się zbiór monitoring, jako podstawę przetwarzania danych  w nim zawartych, podaje się właśnie prawnie usprawiedliwiony cel – zagwarantowanie bezpieczeństwa uczniów i innych osób przebywających na terenie placówki.

Taką podstawę przetwarzania tych danych podaje również Generalny Inspektor w wydanych niedawno „Wytycznych GIODO dotyczących wykorzystania monitoringu wizyjnego w szkołach”.

Problem polega na tym, że zapewnienie bezpieczeństwa w placówce, jest zadaniem publicznym szkoły, wynikającym z Ustawy o systemie oświaty.

Czy oznacza to, że pod koniec maja 2018 r. z polskich szkół będą musiały zniknąć kamery? Niekoniecznie. W tym zakresie mamy dwa możliwe scenariusze.

Pierwszy z nich, to określenie przez polskiego ustawodawcę ram prawnych stosowania monitoringu. Wówczas spełnione zostaną postanowienia motywu 47 RODO, który wskazuje, że dla organów publicznych podstawę prawną przetwarzania danych osobowych powinien określić ustawodawca. Na tak bardzo potrzebną regulację kwestii związanych z nadzorem wizyjnym czekamy już ładnych parę lat. Niestety wydaje się mało prawdopodobne, że taka ustawa powstanie w przeciągu roku, który pozostał nam do stosowania RODO. Możliwe jednak, że polski prawodawca nas w tym zakresie pozytywnie zaskoczy.

Drugim scenariuszem, nieco mniej optymistycznym, jest pozostawienie sytuacji samej sobie i przymknięcie oka na to, że podmiotom publicznym zniknie jedna z podstaw przetwarzania danych. Wówczas m.in. szkołom, pozostanie szukanie innych przesłanek legalizujących wykorzystywanie kamer.

Najbliższą temu przetwarzaniu przesłanką wskazaną w RODO, będzie w takim wypadku wypełnienie obowiązku prawnego określonego w Ustawie o systemie oświaty w zakresie zapewnienia warunków działania szkoły lub placówki, w tym bezpiecznych i higienicznych warunków nauki, wychowania i opieki. Nie jest to jednak rozwiązanie nie budzące żadnych wątpliwości, jak i w obecnym brzmieniu powoływanej ustawy. Nie daje również gwarancji uznania tej przesłanki przez nowy organ nadzoru. Zwłaszcza w kontekście postanowień motywu 45 RODO, który wskazuje że uregulowanie prawne stanowiące podstawę przetwarzania danych powinno wprost wskazywać, że stanowi podstawę operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator, lub że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, a także określać cel przetwarzania. Ponadto prawo to może doprecyzowywać ogólne warunki dotyczące zgodności przetwarzania z prawem, określać sposoby wskazywania administratora, rodzaj danych osobowych podlegających przetwarzaniu, osoby, których dane dotyczą, podmioty, którym można ujawniać dane osobowe, ograniczenia celu, okres przechowywania oraz inne środki zapewniające zgodność z prawem i rzetelność przetwarzania.

Podstawy przetwarzania szczególnych kategorii danych osobowych

Zarówno UODO jak i RODO wyodrębnia pewne kategorie danych, których przetwarzanie co do zasady jest zakazane. W polskiej doktrynie, informacje te określa się mianem danych wrażliwych, natomiast RODO posługuje się pojęciem szczególnych kategorii danych osobowych.

Wyjątki od ogólnego zakazu przetwarzania tych kategorii danych obecnie wskazuje art. 27 ust. 2 UODO, natomiast od maja 2018 r. tych wyjątków należało będzie szukać w art. 9 ust. 2 RODO.

Poniżej prezentujemy zbiorcze porównanie przesłanek przetwarzania szczególnych kategorii danych wskazanych w UODO i RODO.

Przesłanki wskazane w UODO zestawiono z przesłankami odpowiadającymi im na gruncie RODO, stąd kolejność wskazanych przesłanek nie odpowiada tej rzeczywistej (zachowano jednak właściwą numerację i punktację).

UODORODO
art. 27 ust. 2

2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli:

art. 9 ust. 2

2. Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:

1)  osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych;a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1
3)  przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora;c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych;d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
8)  przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą;e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
5)  przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem;

10)  przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym

f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
2)  przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony;g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
6)  przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie;b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;

h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;

7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych;i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
9)  jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone;

j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

Powyższe zestawienie pokazuje, że RODO nie wprowadza rewolucji w zakresie podstaw przetwarzania szczególnych kategorii danych osobowych.

Podobnie jak obecnie, zwiększona ochrona tej kategorii danych wynika z ich charakteru oraz tego, że kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności. Niemożliwym byłoby jednak całkowite zakazanie przetwarzania tych danych.

Wyjątki od zakazu przetwarzania szczególnych kategorii danych osobowych zarówno obecnie jak i na gruncie RODO sprowadzają się do przetwarzania tych danych m.in. w ramach prawa pracy, prawa zabezpieczenia społecznego, do celów bezpieczeństwa, monitorowania i ostrzegania zdrowotnego, zapobiegania chorobom zakaźnym i innym poważnym zagrożeniom zdrowotnym, w ramach ustalenia, dochodzenia lub obrony roszczeń w postępowaniu sądowym, administracyjnym lub też innym postępowaniu pozasądowym, czy też w ramach działalności jaką prowadzą związki wyznaniowe.

Podstawy przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa

Oprócz szczególnych kategorii danych osobowych, RODO wyodrębnia dane osobowe, które podlegają szczególnym warunkom przetwarzania. Do tych danych zaliczymy dane dotyczące wyroków skazujących i naruszeń prawa.

Zgodnie z art. 10 RODO przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa, wolno dokonywać wyłącznie:

  • pod nadzorem władz publicznych lub
  • jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą.

W obecnie obowiązujących przepisach, brak jest odpowiednika tego przepisu RODO. UODO zalicza bowiem wyroki skazujące do danych wrażliwych, a podstawy ich przetwarzania określone są analizowanym wyżej art. 27 ust. 2 UODO. Oznacza to, że w porównaniu z obecnie obowiązującym stanem prawnym, RODO ograniczyło liczbę przesłanek legalizujących przetwarzanie tych danych do dwóch.

Podsumowanie

Zmian, jakie RODO wprowadza w zakresie przesłanek legalizujących przetwarzanie danych, nie sposób określić mianem rewolucyjnych. Przesłanki legalności wskazywane w nowym rozporządzeniu unijnym w znacznej mierze znajdują swoje odpowiedniki w obecnych podstawach przetwarzania danych osobowych. Są one nie tyle repliką przesłanek wskazanych w UODO, lecz tych, które wskazuje nam Dyrektywa, której nasze UODO jest klonem.

Trudno byłoby sobie wyobrazić sytuację, w której RODO przewidywałoby kompletnie inne podstawy przetwarzania danych, niż te obecnie obowiązujące nie tylko w Polsce, ale i w całej UE. Administratorzy danych, którzy obecnie w sposób świadomy korzystają z przesłanek przetwarzania danych, nie powinni obawiać się rozpoczęcia stosowania RODO w tym zakresie.

Stopień zmian30%

Lista rzeczy do zrobienia


upewnij się, że zidentyfikowałeś/aś wszystkie procesy przetwarzania danych zachodzące w Twojej organizacji;


upewnij się, że dysponujesz wskazanymi w RODO przesłankami legalnego przetwarzania danych osobowych w odniesieniu do każdego ze zbiorów danych;


jeżeli Twoja organizacja jest organem publicznym i opiera przetwarzanie danych na przesłance prawnie usprawiedliwionego celu, sprawdź, czy po rozpoczęciu stosowania RODO nadal będzie mogła korzystać z tej przesłanki, jeżeli nie, postaraj się zidentyfikować inną przesłankę przetwarzania danych.

 

Źródła:

 

 

Powiązane artykuły

Wykorzystanie wizerunku pracownika – czy wymaga zgody?
rodo faq
Czy pracodawca może żądać zaświadczenia o niekaralności? #RODOFAQ
rodo faq
Ile zgód należy pozyskiwać dla celów marketingowych? #RODOFAQ

50 Odpowiedzi

  1. Piotr

    w tekście potrzebna jest mała korekta:
    W akapicie OBOWIĄZEK PRAWNY w tabelce porównawczej w kolumnie RODO jest
    b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
    a powinno być
    c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze

    1. Kancelaria Lex Artist

      Dziękujemy za czujność! Rzeczywiście wkradł nam się jakiś chochlik, którym się już zajęliśmy 🙂 Pozdrawiamy serdecznie

  2. Paula

    Witam, pisze Pan, ze pracodawca utraci prawo do trzymania danych pracowników z uwagi na to , ze rodo wylacza uprawnienie z podstaw przetwarzania – czy to się będzie tyczylo danych pracowników, które już przetwarza? Czy tu zostanie zlamana zasada lex retro non agit?
    Z gory dziekuje za odpowiedź.

    1. Kancelaria Lex Artist

      Zasada lex retro non agit oczywiście obowiązuje i nie będzie złamana – nie ma bowiem możliwości, aby stwierdzono niezgodność przetwarzania z rodo w czasie, kiedy przepisy rodo nie były jeszcze stosowane (tj. przed 25 maja 2018 r.). Jednak w momencie, kiedy zaczniemy stosować już przepisy rozporządzenia, prowadzone procesy przetwarzania, powinny opierać się na przesłankach legalności wskazanych w rodo. Ewentualna utrata podstawy prawnej oznacza konieczność, albo znalezienia przesłanki alternatywnej, albo zaprzestania przetwarzania danych. Piszę ewentualna, gdyż jeżeli chodzi o dane pracowników, obecnie trwają prace nad nowelizacją przepisów dot. zatrudnienia (m.in. kodeksu pracy) m.in. w zakresie kwestii związanych z przetwarzaniem danych. Nowe przepisy mogą zatem przekształcić dotychczasowe uprawnienie, w obowiązek pracodawcy do pozyskiwana od pracownika konkretnych danych. Dlatego, tak ważne jest podjęcie działań wdrożeniowych rodo już teraz – należy bowiem zidentyfikować te obszary, w których istnieje prawdopodobieństwo utraty przesłanki legalności i opracować wstępny plan działania w tym zakresie.

    1. Kancelaria Lex Artist

      Dzień dobry. Tak, organem publicznym w rozumieniu RODO są m. in. podmioty wymienione w art. 9 ustawy o finansach publicznych – zgodnie z pkt 11 tego przepisu, w skład sektora finansów publicznych wchodzą uniwersytety. Pozdrawiamy!

  3. Kasia

    Proszę o podpowiedź. W przypadku Wspólnoty Mieszkaniowej jako Administratora, która z przesłanek legalizacyjnych (na gruncie RODO) będzie podstawą przetwarzania danych osobowych członków wspólnoty. Ustawa o własności lokali nie wskazuje jakie dane Wspólnota jest „zobowiązana” przetwarzać, a także nie wskazuje zgodnie z motywem 45 RODO wyraźnego obowiązku. Czy w takim razie wspólnota będzie zmuszona odebrać zgody od swoich członków?

    1. Kancelaria Lex Artist

      Dzień dobry. Nie będzie takiego obowiązku. Przetwarzanie danych osobowych członków wspólnoty mieszkaniowej następować będzie przede wszystkim na podstawie art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes administratora danych). Można byłoby również (choć tą bardziej wątpliwa podstawa) przyjąć, że podstawą prawną będzie art. 6 ust. 1 lit. b RODO – wykonanie umowy, której stroną jest osoba, której dane dotyczą. Więcej na temat wspólnoty, jako ADO swoich członków znajdzie Pani w tym miejscu: https://giodo.gov.pl/pl/364/982. Pozdrawiamy!

  4. Oburzony

    Rozumiem, że RODO zaburza otwartość sieci u podstaw – swobodnego przepływu informacji, jako informatyk stanowczo temu się sprzeciwiam. Dodatkowo, wchodząc na daną stronę www będzie trzeba zaakceptować tysiące regulaminów – inaczej, wątpliwości z RODO, bo skoro adres ip to jest dana osobowa należąca dla …no kogo? całego bloku? innego adresu ip (VPN, Proxy). Kiedyś walczyliśmy z pop-upami, teraz mamy popupy..o ciasteczkach, dodatkowo dochodzą kolejne informacje o tym, że „przetwarzamy coś bo tu jesteś”. Każdy kto podpisuje nową umowę z ISP internetowym powinien być o tym poinformowany, taka jest natura internetu, dlaczego przerzucono to na twórców treści? ja nie mam ochoty wchodzić na strony i akceptować setek postanowień.. czuje się jakbym wchodził do jakiegoś programu prawniczego typu LEX. Już same problemy z prawem cytatu, copyleft, creative commons… naprawdę, rodo to jakiś koszmar.

  5. sieciowiec

    Pytanie o adres IP – skoro adres IP to dana osobowa, co jest dziwne w dzisiejszym świecie, bo wszyscy mamy routery z których korzysta wiele osób, nie posiadamy modemów czy dawnego SDI, nagle stwierdzę, że żądam usunięcia tej danej z bazy danych, czy muszę uzyskać zgodę całego bloku? bądź setek osób z sieci GSM (nikt nie posiada zewnętrznego adresu IP), bo przecież to także jest ich dana osobowa, jest to jakiś rodzaj odpowiedzialności zbiorowej? jest to możliwe?

    1. Kancelaria Lex Artist

      Dzień dobry. Zdajemy sobie sprawę, iż w świat technologii często wyprzedza prawo. 🙂 Prosimy pamiętać, że prawo do bycia zapomnianym nie ma charakteru absolutnego. Pozdrawiamy!

  6. Jan

    Dzień dobry!
    Mam pytanie dotyczące konieczności wyrażenia zgody na przetwarzanie danych:
    Zgoda taka nie jest wymagana, jeśli przetwarzanie jest niezbędne do wykonania umowy, lub podjęcia działań przed zawarciem umowy.
    Co w sytuacji, gdy potencjalny klient wysyła do przedsiębiorcy maila, z wymienionym imieniem, nazwiskiem i nr. telefonu, z zapytaniem dotyczącym oferty? Czy w takim razie do przechowywanie tego maila w celu zachowania ciągłości ewentualnej dalszej korespondencji trzeba mieć zgodę osoby na przetwarzanie danych?

    1. Kancelaria Lex Artist

      Dzień dobry. Zgody nie trzeba posiadać, jednak dotyczy to wyłącznie odpowiedzi na zapytanie w sprawie konkretnej oferty, o którą pytał klient. Dodatkowo, prosimy pamiętać, iż brak wymogu zgody nie oznacza wyłączenia spełnienia obowiązku informacyjnego – co oznacza, iż w przypadku wysłania takiego zapytania, w mailu zwrotnym (lub np. za pomocą autorespondera) klient powinien otrzymać klauzulę informacyjną zgodną z art. 13 RODO. Pozdrawiamy!

      1. KOZLEY

        A czy odsyłając taką informację zwrotną jesteśmy zobowiązani stworzyć w rejestrze zbiorów nowy zbiór o nazwie „odpowiedź na pytanie o ofertę”? Czy może w tej sytuacji nie jesteśmy do tego zobligowani.

        1. Kancelaria Lex Artist

          RODO nie wymaga prowadzenia rejestru zbiorów. Natomiast w rejestrze czynności przetwarzania należałoby stworzyć taki proces jak np. „Formularz kontaktowy”. Pozdrawiamy!

  7. Witam.
    Prowadzę gabinet masażu i gromadzę karty pacjentów z imieniem, nazwiskiem, nr telefonu (bez adresu, peselu itd.) oraz ogólnym opisem stanu zdrowia. Czy wystarczy dopisać jakąś klauzulę o danych RODO do karty pacjenta?

    1. Kancelaria Lex Artist

      Dzień dobry. Klauzulę oczywiście trzeba zrobić, ale przydałaby się również podstawowa dokumentacja związana z ochroną danych osobowych. Pozdrawiamy!

  8. Adam

    Śmiem twierdzić, że musicie Państwo przeczytać ze zrozumieniem RODO, a szczególnie art. 6 ust. 1 litera c) i e) , ust. 3 litera a) i b), jednym słowem ustawy i rozporządzenia, które zobowiązują administratora do zbierania określonych danych dalej będą obowiązywać i RODO nie narzuca naszym ustawodawcą żadnych drastycznych zmian. Np. w szkole przetwarzanie danych legalizuje i będzie legalizować według RODO Prawo Oświatowe, Karta Nauczyciela, ustawa o Systemie Informacji Oświatowej słynne SIO, Kodeks Pracy i wiele innych. Jeśli te podstawy prawne podamy będzie to jak najbardziej podstawą do przetwarzania danych i nie dość tego ustawy te zobowiązują do przetrzymywania danych przez odpowiedni okres np dane uczniów 50 lat, dane pracowników 50 lat, dane ZUS 10 lat, dane kontrahentów 6 lat. Nie trzeba być prawnikiem żeby do tego dojść.

    1. Przemko

      I podobnie jest w przypadku szpitali, dokumenty precyzujące , to ustawy i rozporządzenia, zgodnie z którymi szpitale prowadzą politykę bezpieczeństwa od lat. Nie róbmy z RODO ostrzącego zęby, nie komplikujmy tam, gdzie nie trzeba, czytajmy uważnie, nie wprowadzajmy dezinformacji. RODO przyjęliśmy, bo jesteśmy w Unii, a ta potrzebowała ogólnych, odnoszących się do krajów UE, reguł. Pozdrawiam cały zespół LEX ARTISTS! Pokazują Państwo i potrzebę przyjęcia rozwiązań RODO – i potrzebę racjonalizacji tam, gdzie nagłaśnia się z zamysłem preparowany chaos. Śledzę co dzień. Dziękuję!

  9. Alan

    Witam,
    Proszę o podpowiedź, kto Państwa zdaniem w niżej opisanej sytuacji jest ADO:

    Firma X jest właścicielem systemu elektronicznego CRM – jest to system „online”, baza danych utrzymywana jest na serwerach firmy hostingowej. Firma X sprzedaje dostęp do systemu innym firmom-kontrahentom, które we własnym zakresie w systemie wprowadzają dane osobowe swoich klientów i pracowników. Firma X wykonuje kopie zapasowe bazy danych systemu i w razie konieczności ma dostęp do wprowadzonych przez kontrahentów danych osobowych (może usunąć/edytować użytkowników)

    Czy w takiej sytuacji administratorem danych osobowych tych klientów i pracowników jest Firma X, czy też kontrahent, który wykupił dostęp do systemu? Jeśli kontrahent, czy wystarczy, że Firma X podpisze z każdym kontrahentem umowę PPDO?

    1. Kancelaria Lex Artist

      Dzień dobry. Administratorami danych osobowych swoich klientów i pracowników są poszczególne firmy, które wykupiły dostęp do systemu. Firma X powinna podpisać z kontrahentami umowy powierzenia (PPDO). Pozdrawiamy!

  10. Ewa

    Dzień dobry,
    zwracam się z pytaniem o przesłankę legalności dla przetwarzania danych w jednostce samorządowej.

    Wiem, że najczęściej będzie to obowiązek prawny, a dla np. newslettera zgoda. Ale na jaką przesłankę powinniśmy się powołać np. przy wydawaniu karty mieszkańca, gminnej karty dużej rodziny lub stypendiów, które nie mają umocowania w ustawie, tylko w zarządzeniach burmistrza i uchwałach rady miasta? Wydaje mi się, że nie powinniśmy powoływać się na zgodę, ponieważ nie jest ona dobrowolna, ale od jej uzyskania uzależnione jest otrzymanie świadczenia lub określonych uprawnień. Czy można i czy powinniśmy powołać się na przesłankę wykonania umowy? Czy jakieś dodatkowe formalności powinniśmy dopełnić, czy wystarczy stosowne zarządzenie/uchwała?

    1. Kancelaria Lex Artist

      Dzień dobry. W tym zakresie dobrą przesłanką będzie prawnie uzasadniony interes, chyba że mamy do czynienia np. z umową na udzielenie stypendium. Wykonanie umowy może być przesłanką tylko wtedy, gdy mamy jakąś umowę, której stroną jest osoba, której dane dotyczą. Powinni Państwo dołączyć np. do wniosku o wydanie karty mieszkańca klauzulę informacyjną. Pozdrawiamy!

      1. Ewa

        Dziękuję za odpowiedź. To prawda, umowa na udzielenie stypendium jest zawierana, na wydanie karty mieszkańca już nie, jest jedynie regulamin przyjęty zarządzeniem. O klauzuli informacyjnej też wiemy 🙂
        Jednak chciałabym doprecyzować: zgodnie z informacją otrzymaną na szkoleniu u Państwa i z ostatnim zdaniem art. 6 ust. 1 lit f) przetwarzanie wynikające z prawnie uzasadnionych interesów „nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań”. Rozumiem, że uważają Państwo, że zadania tj. karta mieszkańca wykracza poza zadania własne gminy i można wówczas powołać się na przesłankę prawnie uzasadnionego interesu?

  11. Paulina

    Witam,
    korzystam z usług programu do rezerwacji wizyt w salonie fryzjerskim.
    Firma która udostępnia aplikacje zakładom ma portal na który klient może wejść, założyć konto, zaakceptować regulamin i umówić się na wizytę.
    Jeśli ktoś umawia się przez ich portal jest chyba ok bo akceptuje regulamin, ale jak ktoś kto nie ma konta na portalu i umawia się ze mną telefonicznie na wizytę musi być poinformowany, że jego dane zapisuje w grafiku w aplikacji i ktoś poza mną będzie miał dostęp do jego danych? (imię,nazwisko,tel,email )

    1. Kancelaria Lex Artist

      Dzień dobry. Patrząc literalnie, powinno się spełnić obowiązek informacyjny, jednak w naszej ocenie wystarczy zupełnie, jeśli klauzula będzie w zakładzie np. przy kasie lub recepcji. Pozdrawiamy!

  12. Agata

    Bardzo przydatne infirmacje☺mam pytanie. Czy w przypadku realizacji straży, praktyk studenckich poza porozumieniem z uczelnia o przeprowadzenie praktyk powinno się podpisac umowe powierzenia? Co ze stazami z PUP

    1. Kancelaria Lex Artist

      Dziękujemy bardzo! 🙂 Nie ma konieczności podpisywania wówczas umów powierzenia, ponieważ relacja przekazywania danych osobowych w tym zakresie to relacja udostępnienia danych. Pozdrawiamy!

  13. Paweł

    Dzień dobry, ja mam odrobinę inne pytanie – czy regulamin biblioteki może być podstawą prawną przetwarzania danych osobowych w bibliotece? Bo wydaje mi się, że nie 🙂 pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Regulamin nie jest przepisem powszechnie obowiązującym, a zatem nie może funkcjonować jako „obowiązek prawny”, o którym mowa w art. 6 ust. 1 lit. c) RODO. Podstawy przetwarzania zawierają art. 6 i 9 RODO. Pozdrawiamy!

  14. Paweł

    Dziękuję 🙂 a jeśli ktoś chce skorzystać z czytelni naszej Biblioteki i w tym celu zostaje z imienia i nazwiska zapisany na liście, to którą podstawę z RODO można by zastosować? Art. 6 ust. 1 lit. a?
    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Najczęściej wykorzystywanymi podstawami prawnymi w zakresie wypożyczania i zwrotów zbiorów bibliotecznych są art. 6 ust. 1 lit. e) – przetwarzanie realizowane w interesie publicznym (interes ten wskazuje art. 4 ust. 1 ustawy o bibliotekach) oraz art. 6 ust. 1 lit. c) – obowiązek prawny ciążący na administratorze danych – w zakresie np. działań ukierunkowanych na zwrot, jako że ustawowym zadaniem bibliotek jest ochrona zbiorów. Pozdrawiamy!

  15. Justyna

    Dzień dobry. Mam pytanie. Organizujemy wycieczkę dla pracowników i członków ich rodzin, finansowane z zfśs. Czy potrzebne są zgody od pracowników i ich członków rodzin na przetwarzanie danych?

  16. Gabriela

    Dzień dobry, prowadzimy bezpłatne praktyki. Instytucje same proponują nam kandydatów i w związku z tym przesyłają ich dane. Czy jeśli taka osoba zostanie przyjęta do nas na praktyki, to powinniśmy jej przedstawić klauzulę informacyjną?

  17. Gabriela

    Dziękuję! A czy w takim przypadku (prowadzenie praktyk studenckich) potrzebujemy zgody osoby, której dane dotyczą, na przetwarzanie jej danych (otrzymanych od różnych instytucji), w związku z realizacją praktyk?

    Pozdrawiam

  18. Bartosz

    Czy zgodna z prawem jest korespondencja pocztą tradycyjną, zaadresowana do osób prowadzących działalność gospodarczą, z ogólnymi informacjami o firmie i zakresem usług? Czy taka informacja może mieć znamiona informacji handlowej? Czy coś zmienia, że dane odbiorców znajdują się w bazie CEDIG?
    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Nie ma znaczenia to, czy dane odbiorców znajdują się w bazie CEIDG. Taka informacje może stanowić informację handlową, jednak z racji tego, iż jest kierowana pocztą tradycyjną, nie spełnia przesłanek z art. 10 ustawy o świadczeniu usług drogą elektroniczną. Z punktu widzenia RODO działania takie dopuszczamy na mocy prawnie uzasadnionego interesu administratora danych (art. 6 ust. 1 lit. f) RODO). Pozdrawiamy!

  19. Gabriela

    Dziękuję 🙂 a w tym przypadku powstaje jeszcze kwestia okresu przechowywania danych na wypadek kontroli ZUS czy US.. zastanawiam się czy te 10 lat będzie wystarczające? Pozdrawiam

    1. Kancelaria Lex Artist

      Terminy przedawnienia zobowiązań podatkowych i składkowych co do zasady wynoszą 5 lat od 5 lat, licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku (art. 80 § 1 Ordynacji podatkowej). Taki więc termin należałoby w tym wypadku przyjąć. Pozdrowienia!

  20. Tomasz

    Witam,
    czy prowadzone rozmowy za pomocą komunikatorów np. Skype, np. na temat habilitacji podlegają ochronie danych. Czy osoby biorące udział powinny wyrazić jakąś zgodę np. na nagrywanie głosu.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO