Podstawy prawne przetwarzania danych osobowych

Szkolenie ochrona danych osobowych
Szkolenie ochrona danych osobowych

Rodzaje podstaw prawnych w oparciu o które możliwe jest przetwarzanie danych osobowych „ZWYKŁYCH”

Ustawa o ochronie danych osobowych, w art. 23 ust. 1 przewiduje pięć głównych podstaw prawnych – są one od siebie odrębne i niezależne, wystarczy spełnienie przynajmniej jednej z nich:

  • zgoda na przetwarzanie danych osobowych– zgodnie z art. 23 ust. 1 pkt 1 uodo, istnieje możliwość przetwarzania danych osobowych w oparciu o wyrażona zgodę na przetwarzanie danych osobowych. Zgoda na przetwarzanie danych osobowych może zostać wyrażona w dowolnej formie, o ile chodzi o dane osobowe „zwykłe”, (w przypadku danych osobowych „wrażliwych” zgoda musi być udzielona na piśmie, zgodnie z art. 27 ust. 2 pkt 1 uodo. Zgodnie z art. 7 pkt 5 uodo, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści – dlatego zawsze musi wiązać się z konkretną czynnością oznaczającą wyrażenie konkretnego oświadczenia woli (np. odhaczenie „checkboxa”, wysłanie maila lub choćby „kliknięcie” w określony link).
  • zgoda na przetwarzanie danych osobowych– zgodnie z art. 23 ust. 1 pkt 1 uodo, istnieje możliwość przetwarzania danych osobowych w oparciu o wyrażona zgodę na przetwarzanie danych osobowych. Zgoda na przetwarzanie danych osobowych może zostać wyrażona w dowolnej formie, o ile chodzi o dane osobowe „zwykłe”, (w przypadku danych osobowych „wrażliwych” zgoda musi być udzielona na piśmie, zgodnie z art. 27 ust. 2 pkt 1 uodo. Zgodnie z art. 7 pkt 5 uodo, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści – dlatego zawsze musi wiązać się z konkretną czynnością oznaczającą wyrażenie konkretnego oświadczenia woli (np. odhaczenie „checkboxa”, wysłanie maila lub choćby „kliknięcie” w określony link).
  • niezbędnośćdla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (zgodnie z art. 23 ust. 1 pkt 2 uodo)– w praktyce często zgoda pozyskiwana jest bez potrzeby np. w przypadku prowadzenia rekrutacji powszechnie wymagane jest zawarcie np. na cv klauzuli „wyrażam zgodę na przetwarzanie podanych w aplikacji danych osobowych w celu przeprowadzenia procesu rekrutacyjnego przez……..” jest to błąd, ponieważ jeżeli rekrutacja jest prowadzona na konkretne stanowisko, podstawę prawną stanowi  22[1] kodeksu pracy zawierający katalog informacji, jakie pracodawca może żądać od osób ubiegających się o zatrudnienie – jest to więc przykład na przetwarzanie danych osobowych w oparciu o niezbędność dla zrealizowania uprawnienia wynikającego z konkretnego przepisu prawa (art. 22[1] kodeksu pracy). Przy prowadzeniu rekrutacji zgoda może być wykorzystywana, ale wyłącznie jeżeli będzie ona dobrowolna tzn. osoba rekrutowana może wyrazić zgodę na pozostawienie swoich danych osobowych w celu wykorzystania w przyszłych procedurach rekrutacyjnych, ale jeżeli ktoś sobie tego nie życzy, nie musi takiej zgody wyrażać i wtedy jego dane należy usunąć po zakończeniu konkretnego procesu rekrutacyjnego.

Jeżeli rekrutacja odbywa się w celu nawiązania współpracy nie na podstawie umowy o pracę, a na podstawie umowy cywilnoprawnej (np. zlecenia lub o dzieło) to podstawę prawną stanowi:

  • koniecznośćdo realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą – w większości przypadków, na tej podstawie prawnej odbywa się przetwarzanie danych osobowych klientów (dokonując zakupu produktu lub usługi zawierają umowę i w związku z tym sprzedający może przetwarzać ich dane osobowe w zakresie koniecznym do realizacji tej umowy)

Odrębną podstawę prawna przetwarzania danych osobowych stanowi:

  • niezbędność do wykonania określonych prawem zadań realizowanych dla dobra publicznego – natomiast ta podstawa prawna występuje w praktyce bardzo rzadko (art. 23 ust. 1 pkt 4)

Jako ostatnią z pięciu podstaw pranych przetwarzania danych osobowych „zwykłych” ustawa o ochronie danych wymienia:

  • niezbędność dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 uodo) – przy czym przepis ten należy rozpatrywać łącznie z art. 23 ust. 4 pkt 1 i 2, które stanowią, że za prawnie usprawiedliwiony cel, uważa się w szczególności:

1)marketing bezpośredni własnych produktów lub usług administratora danych;

2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Dotyczy to sytuacji w których np. przedsiębiorca prowadzący sklep internetowy dokonuje sprzedaży własnego produktu swojemu klientowi i już po dokonaniu sprzedaży chce wykorzystać jego dane osobowe w celu „bezpośredniego marketingu własnego produktu”  – nie trzeba w takim celu pozyskiwać zgody klienta, ale  konieczne jest poinformowanie go o takim celu wykorzystania jego danych osobowych (osoba której dane będą przetwarzane może wtedy złożyć sprzeciw co do takiego wykorzystania jej danych osobowych). Należy też pamiętać o tym, że brak zgody na gruncie ustawy o ochronie danych osobowych nie oznacza braku obowiązku pozyskiwania zgody wymaganej prze inne ustawy np. na wykorzystanie adresu poczty elektronicznej w celu wysyłania informacji handlowej (o ile chodzi o konkretną osobę fizyczną).

  • Przetwarzanie danych osobowych   w celu prowadzenia „marketingu bezpośredniego własnych produktów lub  usług” dotyczy sytuacji w których np. przedsiębiorca prowadzący sklep internetowy dokonuje sprzedaży własnego produktu swojemu klientowi i już po dokonaniu sprzedaży chce wykorzystać jego dane osobowe w celu „bezpośredniego marketingu własnego produktu”  – nie trzeba w takim celu pozyskiwać zgody klienta, ale  konieczne jest poinformowanie go o takim celu wykorzystania jego danych osobowych (klient może w takiej sytuacji złożyć sprzeciw do takiego wykorzystania jego danych osobowych).

PODSTAWY PRAWNE PRZETWARZANIA DANYCH OSOBOWYCH „WRAŻLIWYCH”

W odróżnieniu od danych osobowych „zwykłych”, w stosunku do danych osobowych „wrażliwych” (czyli tych, które zostały wymienione w art. 27 ust. 1 uodo – np. dane o stanie zdrowia) została wprowadzona zasada, że ich przetwarzanie jest zabronione, chyba że jest dopuszczalne przez którąkolwiek z przesłanek określonych w art. 27 ust. 2 uodo, np. jest to dopuszczalne, gdy  jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie (art. 27 ust. 2 pkt 6 uodo).

Jest to także dopuszczalne, jeżeli przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych (art. 27 ust. 2 pkt 7 uodo).

Należy pamiętać, że o ile w przypadku danych osobowych „zwykłych” zgoda może być wyrażona w dowolny sposób, to jeżeli chodzi o dane wrażliwe (jeżeli przetwarzanie ma odbywać się w oparciu o zgodę a nie np. dwie wyżej wymienione podstawy prawne) zgoda musi być wyrażona w formie pisemnej.

 

Wszelkie prawa zastrzeżone. RBDO 2017

Zakaz rozpowszechniania materiału w jakiejkolwiek wersji papierowej i elektronicznej bez pozwolenia RBDO.


Rekomendujemy wdrożenie jednego z poniższych wariantów, w zależności od Państwa potrzeb:

CERTYFIKOWANY ZESTAWa) podstawowy element wymagany w niemal każdej firmie i jednostce organizacyjnej  – Dokumentacja ochrony danych dla firm, szkół lub organizacji – w ofercie za 99 zł netto + 23% VAT

b) jeśli posiadasz dodatkowo zbiory podlegające rejestracji do GIODO  – zamów Dokumentację z Instrukcją zgłoszenia do GIODO oraz e-szkoleniem – w ofercie za 199 zł netto + 23% VAT

c) jeśli chcesz zlecić audyt i rejestrację zbiorów prawnikowi wówczas zamów audyt z dokumentacją i rejestracją zbiorów do GIODO – 699 zł netto + 23% VAT

d) jeśli szukasz kompleksowej usługi ze szkoleniem wyznaczonej osoby – wówczas zamów kompleksowe wdrożenie ze szkoleniem + 12 m-cy wsparcia prawnego – 2690 z ł netto + 23% VAT

e) Szkolenia stacjonarne z procedur ochrony danych osobowych i Rozporządzenia UE (RODO) – do negocjacji >>


W przypadku pytań zapraszamy do kontaktu pod mailem: biuro@rbdo.pl lub numerem infolinii czynnej od poniedziałku do piątku w godz. 9 – 17.:  (22) 487 86 70

lcZapraszam do współpracy,
Łukasz Cieniak
Dyrektor Generalny RBDO
Rejestracja i Bezpieczeństwo Danych Osobowych

E: biuro@rbdo.pl
T: (22) 487 86 70
K: +48 664 484 218

Biuro obsługi RBDO
ul. Kopalniana 22a/7
01-321 Warszawa

Legis Profile Sp. z o.o.
NIP: 522-302-50-86
KRS: 0000549436

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *