Przetwarzanie danych osobowych – czy zgoda jest zawsze potrzebna?
- 1. Podstawy przetwarzania danych osobowych – co to oznacza?
- 2. Przetwarzanie danych osobowych w celu wykonania umowy
- 3. Przetwarzanie danych osobowych w celu wypełnienia obowiązku prawnego ciążącego na administratorze
- 4. Przetwarzanie danych osobowych dla ochrony żywotnych interesów osoby, której dane dotyczą
- 5. Przetwarzanie danych osobowych jako prawnie uzasadniony interes administratora danych
- 6. Zgoda osoby, której dane dotyczą
- 7. Inne podstawy przetwarzania danych
- 8. Czy zawsze musi być zgoda na przetwarzanie danych osobowych?
- 9. Potrzebujesz pomocy prawnej z zakresu danych osobowych ?
Wiedza na temat ochrony danych osobowych staje się coraz bardziej powszechna. Wciąż jednak dość popularne bywa przekonanie, że do przetwarzania danych konieczna jest zgoda osoby, której te dane dotyczą. Tymczasem, domniemanie powinno być wręcz odwrotne, a zgoda jak najrzadziej stosowaną podstawą przetwarzania, wykorzystywaną jedynie w tych sytuacjach, gdy brak ku temu innej przesłanki. Poniżej przedstawione zostały najistotniejsze z punktu widzenia przedsiębiorcy podstawy przetwarzania danych osobowych oraz kluczowe zasady, którymi należy się kierować w ramach każdej z nich. Czy zawsze musi być zgoda na przetwarzanie danych osobowych?
Podstawy przetwarzania danych osobowych – co to oznacza?
Przez termin „przetwarzanie” należy rozumieć szereg różnych operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub ręczny. Obejmuje takie działania jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych osobowych. Definicję danych osobowych wyjaśniliśmy w artykule „Dane osobowe – co to oznacza?”
Przystępując do przetwarzania danych osobowych, przedsiębiorca powinien w pierwszej kolejności ocenić, czy wykonywanie jakichkolwiek operacji na danych jest w danym celu i okolicznościach prawnie dopuszczalne. RODO precyzuje warunki, których wystąpienie uprawnia do realizowania działań z wykorzystaniem przedmiotowych danych osobowych, określając je mianem podstaw przetwarzania. Wykonywanie operacji na danych osobowych w przypadku, kiedy nie występuje żadna z tych przesłanek, stanowi naruszenie RODO i naraża przedsiębiorcę na ryzyko nałożenia sankcji, w tym określonych w RODO kar pieniężnych. O karach za naruszenie RODO pisaliśmy w artykule – „Kary za naruszenie RODO. Kto je ponosi i ile wynoszą„.
Przetwarzanie danych osobowych w celu wykonania umowy
Nie zawsze zdajemy sobie sprawę, jak wiele umów zawieramy każdego dnia. Stajemy się ich stronami nie tylko wtedy, gdy kupujemy mieszkanie, sprzedajemy samochód czy podpisujemy umowę o pracę. Zawieramy umowy również, kiedy tankujemy na stacji benzynowej, korzystamy z komunikacji publicznej, czy zamawiamy produkty przez Internet. Znaczna część z tych umów wymaga podania danych osobowych. Przekazujemy je chcąc otrzymać fakturę VAT za zakupione towary, zamawiając taksówkę, czy zlecając dostawę zamówienia na określony adres.
Zgodnie z RODO, zawarcie umowy stanowi samoistną podstawę przetwarzania danych osobowych. Zatem w zakresie, w jakim podanie danych okazuje się niezbędne, by stać się stroną stosunku zobowiązaniowego, ich przetwarzanie jest prawnie dopuszczalne, bez konieczności sięgania do innych podstaw, chociażby do zgody osoby, której dane dotyczą. Dzięki temu w umowie zawartej w formie pisemnej można bez obaw oznaczyć strony, podać informacje dotyczące ich tożsamości oraz dane kontaktowe. Zbędne jest natomiast zamieszczanie w takim dokumencie oświadczeń o wyrażeniu zgody na przetwarzanie danych osobowych. Opisana zasada w całości znajduje zastosowanie również w relacjach przedsiębiorca – konsument. W tym zakresie dość często spotykanym błędem jest zwracanie się przez sprzedawców internetowych do swoich klientów o wyrażenie zgody na przetwarzanie danych dla potrzeb dokonania transakcji czy rejestracji konta w danym portalu. Tymczasem oba wymienione przypadki są przykładami umów – pierwszy – sprzedaży na odległość, drugi – umowy o świadczenie usług drogą elektroniczną. W takich sytuacjach nie jest zatem potrzebna zgoda na przetwarzanie danych osobowych.
Co istotne, dane osobowe mogą być przetwarzane w dalszym ciągu nawet po wykonaniu umowy, w celach związanych chociażby z rozpatrywaniem złożonego oświadczenia o odstąpieniu, czy analizą zasadności zgłoszonych roszczeń gwarancyjnych.
Należy przy tym pamiętać, że omawiana podstawa uprawnia do przetwarzania danych osobowych należących wyłącznie do stron umowy, ewentualnie ich reprezentantów (członków zarządu, pełnomocników). Jeśli umowa miałaby obejmować dane jeszcze innych osób, podstawa ta nie może zostać w odniesieniu do nich zastosowana i konieczne jest oparcie przetwarzania na innej przesłance określonej w RODO.
Przetwarzanie danych osobowych w celu wypełnienia obowiązku prawnego ciążącego na administratorze
W praktyce mamy do czynienia z dwoma rodzajami sytuacji. Po pierwsze, kiedy przepisy prawa dopuszczają przetwarzanie danych osobowych. Po drugie, gdy nakładają na administratora obowiązek przetwarzania.
-
Przykład: Kodeks pracy dość szczegółowo określa, jakie dane może i powinien zebrać pracodawca w odniesieniu do pracowników lub kandydatów do pracy. Przepisy z zakresu ubezpieczeń społecznych wskazują informacje, które muszą zostać udostępnione do ZUS-u w związku ze zgłoszeniem pracownika. Ustawy podatkowe określają dane, jakie należy przekazać w związku z rejestracją podatnika we właściwym urzędzie skarbowym. Przepisy obligujące do zbierania określonych danych znajdują się również ustawach z zakresu rachunkowości, prawie budowlanym, czy ustawach określających zasady prowadzenia ewidencji, wydawania dokumentów i zaświadczeń.
Jeśli określony przepis prawa zobowiązuje do wykonywania pewnych czynności, do których niezbędne jest wykorzystanie danych osobowych, to już obowiązek wykonania tych czynności stanowi samodzielną podstawę przetwarzania danych osobowych.
Wymaga podkreślenia, że przepis prawa może nakładać obowiązek przetwarzania nie tylko danych zwykłych, ale także danych wrażliwych. Dane takie zawiera chociażby, wymagane przepisami z zakresu prawa pracy zaświadczenie lekarskie o braku podstaw do wykonywania pracy na określonym stanowisku. Pracodawca może otrzymywać informacje o stanie zdrowia pracownika również w związku z prowadzoną działalnością socjalną, czy współpracą z zakładowymi organizacjami związkowymi. Skoro podstawa przetwarzania wynika z przepisów prawa, nie ma konieczności uzyskiwania dodatkowych zgód, czy poszukiwania innych przesłanek uprawniających do przetwarzania danych osobowych w danym celu.
Przetwarzanie danych osobowych dla ochrony żywotnych interesów osoby, której dane dotyczą
Przesłanka przetwarzania danych osobowych z uwagi na ochronę żywotnych interesów bywa przez przedsiębiorców nadużywana. Wynika to z błędnego przekonania, że może ona stanowić podstawę przetwarzania w tych wszystkich przypadkach, gdy wykonywane czynności leżą w interesie lub stanowią działanie na korzyść osoby, której dane dotyczą. Zazwyczaj takie przypadki nie wypełniają jednak warunków niezbędnych, by uznać je za ochronę żywotnych interesów w rozumieniu RODO.
Przez ochronę żywotnych interesów należy rozumieć działania podejmowane przede wszystkim w celu ratowania życia i zdrowia, kiedy to zabezpieczane dobra stanowią wyższą wartość niż ochrona danych osobowych.
-
Przykład: wykorzystanie danych z dowodu osobistego osoby, która uległa poważnemu wypadkowi samochodowemu, w celu sprawdzenia, czy w danym szpitalu znajduje się jej dokumentacja medyczna, czy posłużenie się danymi z telefonu komórkowego w celu kontaktu z rodziną poszkodowanego, itp.
RODO określa, że omawiana podstawa może być stosowana do przetwarzania danych w celach humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się, w szczególności w przypadku klęsk żywiołowych i katastrof. Przedmiotowa przesłanka uprawnia do przetwarzania zarówno danych zwykłych, jak i wrażliwych. Pojęcie żywotnych interesów należy jednak interpretować zawężająco, ograniczając je do sytuacji wyjątkowych i niecodziennych. Rozszerzanie tego na wszelkie działania podejmowane na korzyść osoby, której dane dotyczą nie jest wskazane, a co za tym idzie? W codziennej praktyce omawiana podstawa przetwarzania będzie zachodzić dość rzadko.
Przetwarzanie danych osobowych jako prawnie uzasadniony interes administratora danych
Przetwarzanie danych w ramach prawnie uzasadnionego interesu administratora jest najbardziej pojemną, a jednocześnie wśród przedsiębiorców prawdopodobnie najmniej zrozumiałą podstawą przetwarzania danych osobowych. W odniesieniu do tej przesłanki RODO posługuje się zwrotami niedookreślonymi, które budzą istotne wątpliwości interpretacyjne. Tymczasem działania podejmowane przez administratora w oparciu o ww. podstawę przetwarzania muszą spełniać dwa warunki. Po pierwsze, przetwarzanie musi być zgodne z prawem. Nie jest przy tym wymagane, aby konkretny przepis zezwalał na daną czynność. Istotne jest, aby takiego działania nie wykluczał. Po drugie, przetwarzanie nie może godzić w interesy, prawa i wolności podmiotów danych.
Dopuszczalność zastosowania tej przesłanki oceniana jest przez tzw. test równowagi. Ma on na celu porównanie uzasadnionych interesów realizowanych przez administratora związanych z określonymi czynnościami przetwarzania z interesami, prawami i wolnościami osób, których dane dotyczą. Jeśli na podstawie tego testu okaże się, że interesy administratora są w określonych okolicznościach przeważające, przetwarzanie danych na tej podstawie jest dopuszczalne. W przeciwnym razie, administrator powinien powstrzymać się od przetwarzania, bądź poszukać ku temu innej podstawy.
-
Przykład: W świetle RODO za działanie wykonywane w prawnie uzasadnionym interesie administratora można uznać chociażby prowadzone przez przedsiębiorców działania marketingowe, w tym utrzymywanie bazy klientów, przechowywanie historii korespondencji z kontrahentami, przyjmowanie wizytówek. Prawnie uzasadnionym interesem administratora są również czynności mające na celu zapewnienie bezpieczeństwa osób i mienia wchodzącego w skład przedsiębiorstwa. Na tej podstawie dopuszczalne jest stosowanie imiennych kart dostępu do budynku i pomieszczeń, różnych form monitoringu, ochrony fizycznej czy systemów antywłamaniowych. Uzasadniony interes uprawnia także do prowadzenia działań mających na celu ustalenie, dochodzenie lub obronę przed roszczeniami oraz zapobieganie oszustwom.
Istnienie prawnie uzasadnionego interesu administratora należy poddawać ocenie za każdym razem, gdy na tej podstawie ma dojść do przetwarzania danych.
Przetwarzanie danych osobowych do celów marketingu bezpośredniego stanowi prawnie uzasadniony interes administratora i nie wymaga zgody osoby, której dane dotyczą. Zgoda taka może być wymagana na podstawie innych aktów prawnych (ustawy o świadczeniu usług drogą elektroniczną oraz ustawy Prawo telekomunikacyjne) i dotyczyć niektórych działań związanych z marketingiem, tj. wysyłania informacji handlowych drogą elektroniczną oraz marketingu bezpośredniego prowadzonego za pośrednictwem telekomunikacyjnych urządzeń końcowych. Kwestie te zostały wyjaśnione w artykule „RODO a zgody marketingowe”.
Zgoda osoby, której dane dotyczą
Jak wskazano wyżej, sięganie po instrument w postaci zgody na przetwarzanie danych osobowych powinno być ostatecznością, stosowaną wówczas, gdy wykonywanie operacji przetwarzania na innych podstawach nie jest możliwe lub dopuszczalne. Zawarta w RODO definicja, wskazuje, że zgoda oznacza „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli osoby, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.
Zgoda jest zatem niewłaściwą podstawą przetwarzania danych osobowych w tych przypadkach, kiedy nie występuje równowaga pomiędzy zwracającym się o jej udzielenie, a osobą, której dane dotyczą. Inaczej mówiąc, zgoda nie będzie właściwą podstawą przetwarzania danych, kiedy osoba, która wyraża zgodę nie ma realnej możliwości złożenia w pełni dobrowolnego oświadczenia, ale jest w jakikolwiek sposób do tego zobowiązana, czy przymuszona. Stąd też rzadko istnieje możliwość wykorzystania tej podstawy do przetwarzania danych pracowników, ze względu na ich podległość i słabszą pozycję negocjacyjną. Również w relacji organów administracji publicznej – jednostka podlegająca tej władzy jest mało prawdopodobna, by zgoda została wyrażona w pełni dobrowolnie. Odmowa wyrażenia zgody nie powinna bowiem powodować nadmiernie negatywnych konsekwencji dla osoby, której dane dotyczą.
Należy podkreślić, że przesłanka zgody nie powinna być stosowana na wyrost, czy na wszelki wypadek, jako dodatkowe zabezpieczenie legalności przetwarzania danych. Trzeba bowiem pamiętać, że osoba, której dane dotyczą powinna mieć możliwość cofnięcia wyrażonej zgody w każdej chwili, bez ponoszenia negatywnych następstw. Zwracanie się o udzielenie zgody w przypadku, gdy nie jest ona wymagana (np. dla celów zawarcia umowy), może wprowadzać w błąd osobę składającą przedmiotowe oświadczenie. Powyższe może skutkować mylnym przekonaniem osoby wyrażającej zgodę co do możliwości skutecznego cofnięcia zgody w każdym czasie. Co jednak istotne, cofnięcie zgody nie będzie w takiej sytuacji jednak prowadziło do zakończenia przetwarzania danych. Przetwarzanie to opiera się bowiem w rzeczywistości na innej podstawie.
Zgoda może wynikać zarówno z oświadczenia, jak i wyraźnego działania potwierdzającego. Przykładowo, osoba zwracająca się z pytaniem do administratora za pośrednictwem formularza kontaktowego na stronie internetowej, poprzez zainicjowanie tego kontaktu wyraża zgodę na przetwarzanie jej danych osobowych w celu udzielenia odpowiedzi.
Inne podstawy przetwarzania danych
Na koniec warto przytoczyć kilka najistotniejszych podstaw przetwarzania danych wrażliwych. Przesłanką uzasadniającą wykonywanie operacji na tych danych, jak zostało wskazane powyżej jest przede wszystkim obowiązek prawny lub wyraźna zgoda.
Nie są to jednak jedyne podstawy przetwarzania danych wrażliwych. Dane osobowe w postaci informacji o stanie zdrowia, poglądach politycznych, czy religijnych mogą być przetwarzane przez fundacje, stowarzyszenia lub inne niezarobkowe podmioty o celach politycznych, światopoglądowych, religijnych lub związkowych. Opisane powyżej przetwarzanie danych jest dopuszczalne pod warunkiem, że dotyczy wyłącznie członków lub byłych członków jednego z ww. podmiotów (lub osób utrzymujących z nim stałe kontakty) w związku z realizacją celów tych podmiotów. Dane zebrane na potrzeby opisywanego przetwarzania danych wrażliwych nie mogą być ponadto ujawniane podmiotom trzecim, chyba że osoba, której dane dotyczą wyrazi na to zgodę.
Przetwarzanie danych wrażliwych jest dopuszczalne również w sytuacji, gdy one zostaną w sposób oczywisty upublicznione przez osobę, której dane dotyczą. Może to mieć miejsce w szczególności w przypadkach publicznych zbiórek pieniędzy na leczenie. W takiej sytuacji osoba, której dane dotyczą podaje własne dane, celem ich upowszechnienia. Na tej podstawie przedsiębiorca, do którego taka osoba kieruje prośbę o pomoc, może podejmować działania wspierające – zezwolić na rozwieszenie plakatów w budynku firmy, czy wysłanie do pracowników e-maili informujących o prowadzonej zbiórce.
W świetle RODO przedsiębiorca jest uprawniony do przetwarzania danych również w celach związanych z ustaleniem, dochodzeniem i obroną przed roszczeniami. Tym samym, kierując pozew do sądu powód nie jest zobligowany zwracać się do osób występujących w sprawie o wyrażenie zgód na przetwarzanie ich danych osobowych.
Czy zawsze musi być zgoda na przetwarzanie danych osobowych?
Jak przedstawiono powyżej, istotnym warunkiem dopuszczalności wykonywania operacji na danych osobowych jest istnienie odpowiedniej podstawy prawnej przetwarzania. RODO określa podstawy przetwarzania danych osobowych w sposób dość ogólny, co rodzi szereg wątpliwości interpretacyjnych. W codziennej praktyce zazwyczaj występują sytuacje jasne i nieskomplikowane, w których działania intuicyjne są rozwiązaniami prawidłowymi. Jednak w profesjonalnym obrocie nierzadkie są także przypadki, w których powszechna wiedza okazuje się niewystarczająca. Ich rozstrzygnięcie wymagają pogłębionej analizy prawnej. Z uwagi na możliwe negatywne konsekwencje prawne z tytułu naruszenia RODO, w tym kary pieniężne, warto w takich sytuacjach skorzystać z pomocy prawnika.
Potrzebujesz pomocy prawnej z zakresu danych osobowych ?
Jedną ze specjalizacji naszej Kancelarii jest ochrona danych osobowych. Jeżeli potrzebujesz pomocy prawnej w dziedzinie ochrony danych osobowych (RODO) zapraszamy do kontaktu z naszą Kancelarią. Jesteśmy do Twojej dyspozycji telefonicznie lub e – mailowo. Jeżeli preferujesz kontakt bezpośredni zaprosimy Cię na spotkanie do naszego biura zlokalizowanego przy wyjściu z Metra Dworzec Gdański.
Kategorie: RODO | Tagi: podstawa przetwarzania, zgoda na przetwarzanie danych osobowych, kiedy potrzebna zgoda na przetwarzanie | Komentarze: Nic
Dodaj komentarz