Zgodnie z „obietnicą” złożoną w treści ostatniego wpisu, kontynuujemy tematykę związaną z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej jako: „Rozporządzenie RODO”). Dzisiejszy wpis poświęcimy podstawom „legalizującymi” przetwarzanie danych osobowych. Innymi słowy wyjaśnimy, kiedy możemy przetwarzać dane osobowe.
Zagadnienie zgodności przetwarzania danych osobowych z prawem zostało uregulowane w art. 6 i Rozporządzenia RODO. Zgodnie z art. 6 Rozporządzenia RODO, przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadku gdy spełniony jest co najmniej jeden z poniższej wskazanych warunków (co również istotne – w takim zakresie, w jakim dany warunek jest spełniony):
- osoba, której dane osobowe dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
- przetwarzanie danych osobowych jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- przetwarzanie danych osobowych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (obowiązek prawny musi wynikać z prawa Unii Europejskiej lub prawa krajowego);
- przetwarzanie danych osobowych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- przetwarzanie danych osobowych jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (co musi wynikać wprost z prawa Unii Europejskiej lub prawa krajowego);
- przetwarzanie danych osobowych jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Powyższe zasady przetwarzania danych osobowych dotyczą wyłącznie tzw. danych zwykłych. Odmienne zasady obowiązują natomiast w przypadku tzw. szczególnych kategorii danych osobowych (doktrynalnie określanych danymi wrażliwymi), o których wspominaliśmy w poprzednim wpisie (np. dane genetyczne, dane biometryczne, dane dotyczące zdrowia, dane ujawniające przekonania światopoglądowe). Zgodnie z Rozporządzeniem RODO (art. 9 Rozporządzenia RODO) takie dane „z zasady” nie mogą być przetwarzane. Jednocześnie jednak Rozporządzenie RODO wskazuje następujące „wyjątki od wskazanej zasady” warunkujące dopuszczalność ich przetwarzania:
- osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu przetwarzania danych wrażliwych;
- przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
- przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
- przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
- przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
- przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
- przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w Rozporządzeniu RODO;
- przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
- przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 Rozporządzenia RODO, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
Powyżej w możliwe syntetyczny sposób przedstawiliśmy Państwu kolejną części problematyki związanej z Rozporządzeniem RODO. W przypadku wątpliwości w tym zakresie lub w innych aspektach związanych z przetwarzaniem danych osobowych na gruncie Rozporządzenia RODO, serdecznie zapraszamy do kontaktu z adwokatem Maciejem Wypych (maciej.wypych@rpwe.pl), który z pewnością odpowie na wszystkie Państwa pytania lub pomoże skonstruować odpowiednie projekty dokumentów.
Maciej Wypych – adwokat / doradca specjalistyczny OWES Debrzno