Ikona Adresu Mailowego
Ikona Adresu Mailowego

8 czerwca 2018

Anna Domin

RODO kiedy przetwarzanie jest zgodne z prawem?

RODO

Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej, jakie weszło w życie 25 maja 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) wprowadza szereg zmian w dotychczasowym administrowaniu i obchodzeniu się z danymi osobowymi. Jedną […]

Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej, jakie weszło w życie 25 maja 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) wprowadza szereg zmian w dotychczasowym administrowaniu i obchodzeniu się z danymi osobowymi. Jedną z podstawowych i najważniejszych kwestii uregulowanych w Rozporządzeniu jest określenie sytuacji prawnej, w której możemy zgodnie z prawem pozyskać i przetwarzać dane osobowe chronione Rozporządzeniem.

W Rozporządzeniu wymieniono kilka takich sytuacji. Przetwarzanie danych osobowych jest zgodne z prawem, gdy:

  1. osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie  swoich danych osobowych, przy czym takie wyrażenie zgody jest dobrowolne, a administrator musi być w stanie wykazać, że dana osoba wyraziła zgodę na przetwarzanie swoich danych osobowych, natomiast zapytanie o zgodę przetwarzania danych w pisemnym oświadczeniu  musi być przedstawione w sposób jasny i wyrażone w prostym języku; osoba ma prawo wycofać zgodę na przetwarzanie danych osobowych w dowolnym momencie;
  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane  dotyczą, przed zawarciem umowy;
  3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, który wynika z prawa materialnego Unii Europejskiej lub poszczególnych państw członkowskich, którym podlega administrator danych;
  4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi – podobnie, jak w przypadku przetwarzania w celu wypełnienia obowiązku prawnego, podstawa ta musi wynikać z prawa materialnego Unii Europejskiej lub poszczególnych państw członkowskich, którym podlega administrator danych;
  6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.

 

Należy jednak pamiętać, że przetwarzanie danych osobowych musi spełniać zasady zgodności z prawem, rzetelności i przejrzystości. Zgodnie z RODO dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane w sposób niezgodny z tymi celami. Zasady ograniczenia celu i minimalizacji danych pomagają w zawężeniu danych, które podmioty zainteresowane ich pozyskaniem mogą od nas otrzymać. Przykładowo zakład fryzjerski, który chciałby pozyskać nasze dane w celu prowadzenia kalendarza wizyt i przypominania klientom o zbliżającym się terminie strzyżenia, nie może pozyskiwać daty urodzenia, miejsca zamieszkania czy wzrostu klientów. Wynika to z faktu, że takie informacje nie są potrzebne zakładowi fryzjerskiemu w realizowaniu swojego celu. Administrator powierzonych mu danych ma obowiązek podjęcia wszelkich rozsądnych działań, aby dane były możliwie prawidłowe i uaktualniane. Rozporządzenie warunkuje także czas, w którym możemy przechowywać pozyskane dane osobowe. Zgodnie z art. 5 RODO administratorzy mogą przechowywać dane przez okres nie dłuższy, niż jest to niezbędne do realizacji celów. Dlatego jeżeli wspomniany już salon fryzjerski pozyskiwałby dane w celu przypomnienia swoim klientom o zbliżającej się wizycie, to zgodnie z zasadą ograniczenia przechowywania dane po takiej wizycie nie powinny już być przechowywane przez administratora. Bardzo ważną zasadą wynikającą z Rozporządzenia jest zasada integralności i poufności, według której przetwarzanie powinno odbywać się w sposób zapewniający bezpieczeństwo procesowanych danych. Realizując wymienione reguły, administrator musi być w stanie wykazać ich przestrzeganie, czyli innymi słowy, realizować zasadę rozliczalności. W związku z wprowadzanymi zmianami szykuje się niemała rewolucja – nie tylko prawna, ale także społeczna. Rozporządzenie zwraca uwagę na bardzo ważną, ale jednocześnie często ignorowaną kwestię – pokazuje, jak cenne są nasze dane osobowe i jak sami powinniśmy dbać o ich bezpieczeństwo.

 

Autor: Kancelaria Rachelski i Wspólnicy

Wszystkie artykuły