Rodzaje podstaw prawnych w oparciu o które możliwe jest przetwarzanie danych osobowych „ZWYKŁYCH”
Ustawa o ochronie danych osobowych, w art. 23 ust. 1 przewiduje pięć głównych podstaw prawnych – są one od siebie odrębne i niezależne, wystarczy spełnienie przynajmniej jednej z nich:
- zgoda na przetwarzanie danych osobowych– zgodnie z art. 23 ust. 1 pkt 1 uodo, istnieje możliwość przetwarzania danych osobowych w oparciu o wyrażona zgodę na przetwarzanie danych osobowych. Zgoda na przetwarzanie danych osobowych może zostać wyrażona w dowolnej formie, o ile chodzi o dane osobowe „zwykłe”, (w przypadku danych osobowych „wrażliwych” zgoda musi być udzielona na piśmie, zgodnie z art. 27 ust. 2 pkt 1 uodo. Zgodnie z art. 7 pkt 5 uodo, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści – dlatego zawsze musi wiązać się z konkretną czynnością oznaczającą wyrażenie konkretnego oświadczenia woli (np. odhaczenie „checkboxa”, wysłanie maila lub choćby „kliknięcie” w określony link).
- zgoda na przetwarzanie danych osobowych– zgodnie z art. 23 ust. 1 pkt 1 uodo, istnieje możliwość przetwarzania danych osobowych w oparciu o wyrażona zgodę na przetwarzanie danych osobowych. Zgoda na przetwarzanie danych osobowych może zostać wyrażona w dowolnej formie, o ile chodzi o dane osobowe „zwykłe”, (w przypadku danych osobowych „wrażliwych” zgoda musi być udzielona na piśmie, zgodnie z art. 27 ust. 2 pkt 1 uodo. Zgodnie z art. 7 pkt 5 uodo, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści – dlatego zawsze musi wiązać się z konkretną czynnością oznaczającą wyrażenie konkretnego oświadczenia woli (np. odhaczenie „checkboxa”, wysłanie maila lub choćby „kliknięcie” w określony link).
- niezbędnośćdla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (zgodnie z art. 23 ust. 1 pkt 2 uodo)– w praktyce często zgoda pozyskiwana jest bez potrzeby np. w przypadku prowadzenia rekrutacji powszechnie wymagane jest zawarcie np. na cv klauzuli „wyrażam zgodę na przetwarzanie podanych w aplikacji danych osobowych w celu przeprowadzenia procesu rekrutacyjnego przez……..” jest to błąd, ponieważ jeżeli rekrutacja jest prowadzona na konkretne stanowisko, podstawę prawną stanowi 22[1] kodeksu pracy zawierający katalog informacji, jakie pracodawca może żądać od osób ubiegających się o zatrudnienie – jest to więc przykład na przetwarzanie danych osobowych w oparciu o niezbędność dla zrealizowania uprawnienia wynikającego z konkretnego przepisu prawa (art. 22[1] kodeksu pracy). Przy prowadzeniu rekrutacji zgoda może być wykorzystywana, ale wyłącznie jeżeli będzie ona dobrowolna tzn. osoba rekrutowana może wyrazić zgodę na pozostawienie swoich danych osobowych w celu wykorzystania w przyszłych procedurach rekrutacyjnych, ale jeżeli ktoś sobie tego nie życzy, nie musi takiej zgody wyrażać i wtedy jego dane należy usunąć po zakończeniu konkretnego procesu rekrutacyjnego.
Jeżeli rekrutacja odbywa się w celu nawiązania współpracy nie na podstawie umowy o pracę, a na podstawie umowy cywilnoprawnej (np. zlecenia lub o dzieło) to podstawę prawną stanowi:
- koniecznośćdo realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą – w większości przypadków, na tej podstawie prawnej odbywa się przetwarzanie danych osobowych klientów (dokonując zakupu produktu lub usługi zawierają umowę i w związku z tym sprzedający może przetwarzać ich dane osobowe w zakresie koniecznym do realizacji tej umowy)
Odrębną podstawę prawna przetwarzania danych osobowych stanowi:
- niezbędność do wykonania określonych prawem zadań realizowanych dla dobra publicznego – natomiast ta podstawa prawna występuje w praktyce bardzo rzadko (art. 23 ust. 1 pkt 4)
Jako ostatnią z pięciu podstaw pranych przetwarzania danych osobowych „zwykłych” ustawa o ochronie danych wymienia:
- niezbędność dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 uodo) – przy czym przepis ten należy rozpatrywać łącznie z art. 23 ust. 4 pkt 1 i 2, które stanowią, że za prawnie usprawiedliwiony cel, uważa się w szczególności:
1)marketing bezpośredni własnych produktów lub usług administratora danych;
2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Dotyczy to sytuacji w których np. przedsiębiorca prowadzący sklep internetowy dokonuje sprzedaży własnego produktu swojemu klientowi i już po dokonaniu sprzedaży chce wykorzystać jego dane osobowe w celu „bezpośredniego marketingu własnego produktu” – nie trzeba w takim celu pozyskiwać zgody klienta, ale konieczne jest poinformowanie go o takim celu wykorzystania jego danych osobowych (osoba której dane będą przetwarzane może wtedy złożyć sprzeciw co do takiego wykorzystania jej danych osobowych). Należy też pamiętać o tym, że brak zgody na gruncie ustawy o ochronie danych osobowych nie oznacza braku obowiązku pozyskiwania zgody wymaganej prze inne ustawy np. na wykorzystanie adresu poczty elektronicznej w celu wysyłania informacji handlowej (o ile chodzi o konkretną osobę fizyczną).
- Przetwarzanie danych osobowych w celu prowadzenia „marketingu bezpośredniego własnych produktów lub usług” dotyczy sytuacji w których np. przedsiębiorca prowadzący sklep internetowy dokonuje sprzedaży własnego produktu swojemu klientowi i już po dokonaniu sprzedaży chce wykorzystać jego dane osobowe w celu „bezpośredniego marketingu własnego produktu” – nie trzeba w takim celu pozyskiwać zgody klienta, ale konieczne jest poinformowanie go o takim celu wykorzystania jego danych osobowych (klient może w takiej sytuacji złożyć sprzeciw do takiego wykorzystania jego danych osobowych).
PODSTAWY PRAWNE PRZETWARZANIA DANYCH OSOBOWYCH „WRAŻLIWYCH”
W odróżnieniu od danych osobowych „zwykłych”, w stosunku do danych osobowych „wrażliwych” (czyli tych, które zostały wymienione w art. 27 ust. 1 uodo – np. dane o stanie zdrowia) została wprowadzona zasada, że ich przetwarzanie jest zabronione, chyba że jest dopuszczalne przez którąkolwiek z przesłanek określonych w art. 27 ust. 2 uodo, np. jest to dopuszczalne, gdy jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie (art. 27 ust. 2 pkt 6 uodo).
Jest to także dopuszczalne, jeżeli przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych (art. 27 ust. 2 pkt 7 uodo).
Należy pamiętać, że o ile w przypadku danych osobowych „zwykłych” zgoda może być wyrażona w dowolny sposób, to jeżeli chodzi o dane wrażliwe (jeżeli przetwarzanie ma odbywać się w oparciu o zgodę a nie np. dwie wyżej wymienione podstawy prawne) zgoda musi być wyrażona w formie pisemnej.
Wszelkie prawa zastrzeżone. RBDO 2017
Zakaz rozpowszechniania materiału w jakiejkolwiek wersji papierowej i elektronicznej bez pozwolenia RBDO.
Rekomendujemy wdrożenie jednego z poniższych wariantów, w zależności od Państwa potrzeb:
a) podstawowy element wymagany w niemal każdej firmie i jednostce organizacyjnej – Dokumentacja ochrony danych dla firm, szkół lub organizacji – w ofercie za 99 zł netto + 23% VAT
b) jeśli posiadasz dodatkowo zbiory podlegające rejestracji do GIODO – zamów Dokumentację z Instrukcją zgłoszenia do GIODO oraz e-szkoleniem – w ofercie za 199 zł netto + 23% VAT
c) jeśli chcesz zlecić audyt i rejestrację zbiorów prawnikowi wówczas zamów audyt z dokumentacją i rejestracją zbiorów do GIODO – 699 zł netto + 23% VAT
d) jeśli szukasz kompleksowej usługi ze szkoleniem wyznaczonej osoby – wówczas zamów kompleksowe wdrożenie ze szkoleniem + 12 m-cy wsparcia prawnego – 2690 z ł netto + 23% VAT
W przypadku pytań zapraszamy do kontaktu pod mailem: biuro@rbdo.pl lub numerem infolinii czynnej od poniedziałku do piątku w godz. 9 – 17.: (22) 487 86 70
Zapraszam do współpracy,
Łukasz Cieniak
Dyrektor Generalny RBDO
Rejestracja i Bezpieczeństwo Danych Osobowych
E: biuro@rbdo.pl
T: (22) 487 86 70
K: +48 664 484 218
Biuro obsługi RBDO
ul. Kopalniana 22a/7
01-321 Warszawa
Legis Profile Sp. z o.o.
NIP: 522-302-50-86
KRS: 0000549436