Przepisy RODO w opinii wielu osób wydają się jedynie dodatkowym balastem w licznych obowiązkach podmiotów gospodarczych i instytucji. Jednak zagrożenia, czyhające na każdą osobę i podmiot gospodarczy w związku z wyciekiem, naruszeniem czy ujawnieniem wrażliwych informacji, nie są abstrakcją. Nawet najwięksi krytycy muszą przyznać, że dopiero podstawa prawna przetwarzania danych osobowych zmieniła powszechną świadomość na temat tych niebezpieczeństw.
Przetwarzanie danych osobowych musi odbywać się zgodnie z prawe. Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej Rozporządzenie RODO zgodnie z treścią art. 6 wskazuje sytuacje, w których przetwarzanie danych osobowych jest dozwolone. Na przykład wtedy, gdy na dysponowanie i przetwarzanie danych osobowych zgadza się ich właściciel.
I. ZGODA
Art.6 ust. 1 lit. a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
Zgodnie z motywem 32 Rozporządzenia RODO „zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia.”
Nie zawsze zgoda musi mieć formę pisemną. Czasami o fakcie wyrażenie zgody decyduje także zachowanie, które w danej sytuacji jasno wskazuje, iż osoba, której dane dotyczą wyraziła zgodę.
Jak wskazuje powyższy motyw w pewnych sytuacjach nie możemy mówić o wyrażeniu zgody jak np. milczenie, gdy okienka są już domyślnie zaznaczone lub nie zostały podjęte działania.
zgoda na przetwarzanie danych osobowych w celach marketingowych, zgoda na przetwarzanie danych osobowych w marketingu, zgoda na przetwarzanie wizerunku danej osoby albo wysłanie CV zawierające więcej danych niż wynika to z przepisów kodeksu pracy.
II. WYKONANIE UMOWY
Art.6 ust. 1 lit. b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
Motyw 44 Rozporządzenia RODO „Przetwarzanie powinno być zgodne z prawem, jeżeli jest ono niezbędne w związku z zawarciem umowy lub zamiarem zawarcia umowy”
Przykłady:Zawarcie umowy o pracę, umowy zlecenie, umowy o dzieło, umowy kupna-sprzedaży itp.
III. WYPEŁNIENIE OBOWIĄZKU PRAWNEGO CIĄŻĄCEGO NA ADMINISTRATORZE
Art.6 ust. 1 lit. c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
Motyw 45 Rozporządzenia RODO: „jeżeli przetwarzanie odbywa się w celu wypełnienia obowiązku prawnego, któremu podlega administrator, lub jeżeli jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, podstawę przetwarzania powinno stanowić prawo Unii lub prawo państwa członkowskiego.”
Przykłady:Realizacja obowiązku prawnego w zakresie zbierania danych pracowników, obowiązki podatkowe np. wystawianie faktur, rachunków.
IV. OCHRONA ŻYWOTNYCH INTERESÓW, KTÓREJ DANE DOTYCZĄ BĄDŹ INNEJ OSOBY
Art.6 ust. 1 lit. d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
Motyw 46 Rozporządzenia RODO: „przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą, lub innej osoby fizycznej. Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej.”
Przykłady:Przetwarzanie jest niezbędne
- do celów humanitarnych (monitorowania epidemii i ich rozprzestrzeniania się),
- w nadzwyczajnych sytuacjach humanitarnych m.in. klęsk żywiołowych i katastrof spowodowanych przez człowieka.
Zapraszamy do zapoznania się z naszym wpisem: Przetwarzanie danych osobowych a pandemia koronawirusa COVID-19 – o czym musi pamiętać pracodawca?
V. WYKONANI ZADAŃ REALIZOWANYCH W INTERESIE PUBLICZNYM LUB W RAMACH SPRAWOWANIA WŁADZY PUBLICZNEJ
Art.6 ust. 1 lit. e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
Motyw 45 Rozporządzenia RODO: „jeżeli przetwarzanie odbywa się w celu wypełnienia obowiązku prawnego, któremu podlega administrator, lub jeżeli jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, podstawę przetwarzania powinno stanowić prawo Unii lub prawo państwa członkowskiego.”
Przykład:Realizacja zadań publicznych Prezydentów miast, Wójtów, Burmistrzów, Wojewodów itp.
VI. PRAWNIE UZASADNIONY INTERES ADMINISTRATORA DANYCH
Art.6 ust. 1 lit. f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.
Więcej informacji znajdziesz tutaj.
Podsumowanie:
W przypadku naruszenia przepisów art. 6 Rozporządzenia RODO, Administratora danych osobowych naraża się nałożenie zgodnie z art. 83 ust. 5 Rozporządzenia RODO przez organ nadzorczy – Prezesa Urzędu Ochrony Danych Osobowych, administracyjnej kary pieniężnej w wysokości:
- do 20 mln EUR albo;
- w przypadku przedsiębiorstwa do 4 % jego całkowitego światowego obrotu za poprzedni rok obrotowy.