Jak legalnie przetwarzać dane osobowe?
Chcesz wiedzieć, kiedy przetwarzanie danych osobowych jest dopuszczalne? Zastanawiasz się co oznacza zasada legalności przetwarzania? Nie wiesz, czy przetwarzanie danych bez zgody osoby, której dane dotyczą jest legalne? A może szukasz odpowiedzi na pytanie, czy istnieje możliwość dalszego przetwarzania danych po wygaśnięciu pierwotnej przesłanki legalizującej ten proces? W artykule znajdziesz informacje:
- Czym jest zasada legalności,
- Jakie są przesłanki legalnego przetwarzania danych osobowych,
- Jak należy postąpić, gdy przesłanka przetwarzania danych wygasła.
Co to jest zasada legalności?
Zasada legalności, na gruncie RODO nazwana zasadą zgodności przetwarzania z prawem, nakłada na administratora danych oraz podmiot przetwarzający obowiązek legitymowania się co najmniej jedną z przesłanek legalizujących przetwarzanie danych osobowych. Zgodnie bowiem z zasadą rozliczalności, obowiązek wykazania, że dane osobowe są wykorzystywane legalnie ciąży na podmiocie biorącym udział w procesie przetwarzania danych.
Innymi słowy, zasada legalności oznacza, że przetwarzanie danych osobowych jest możliwe tylko wtedy, gdy osoba dokonująca czynności w tym zakresie dokonuje tego w oparciu o jedną z przesłanek przetwarzania ujętych w RODO.
Warunki dopuszczające przetwarzanie danych osobowych
RODO, podobnie jak dotychczasowe przepisy o ochronie danych osobowych, wprowadzają kilka niezależnych przesłanek legalizujących przetwarzanie. Zgodnie z nimi dokonywanie czynności w tym zakresie jest możliwe, gdy:
- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów,
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (np. obowiązek podatkowy, obowiązki wynikające z kodeku pracy, bądź przepisów o ubezpieczeniach społecznych),
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (np. wykonywanie działalności leczniczej),
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (np. przetwarzanie przez organy publiczne, jednostki samorządu terytorialnego, itp.),
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (np. przetwarzanie w celu marketingowym, bądź dla dochodzenia albo ochrony przed roszczeniami).
Co ważne, do legalnego przetwarzania danych osobowych wystarczy, jeżeli spełniona będzie chociażby jedna ze ww. przesłanek. Nie musisz zatem każdorazowo dysponować zgodą osoby, której dane dotyczą o ile możesz powołać się na inną z przywołanych przesłanek.
Zmiana celu przetwarzania
Istnienie sześciu przesłanek legalizujących przetwarzanie danych osobowych może prowadzić do sytuacji, w której po wygaśnięciu jednej z nich, administrator przetwarzać będzie dane w oparciu o inną. Przykładowo, po wygaśnięciu umowy dane osobowe są przetwarzane w celu wykonania obowiązków podatkowych (przechowywania dokumentów księgowych), a także w celu potencjalnego dochodzenia roszczeń, bądź obrony przed nimi.
Zmiana celu przetwarzania jest możliwa. W takim jednakże przypadku zobowiązany jesteś do poinformowania osoby, której dane dotyczą o tym fakcie oraz o jej prawach z tym związanych (np. prawo wniesienia sprzeciwu względem przetwarzania danych na cele marketingowe). Rzecz jasna o dodatkowych celach przetwarzania i związanych z nimi okresach retencji możesz powiadomić osoby, których dane gromadzisz już w pierwotnym obowiązku informacyjnym. W takim przypadku nie będziesz musiał ponownie go wykonywać.