Podstawy prawne przetwarzania danych osobowych

Zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku oraz w związku z uchyleniem dyrektywy 95/46/WE (zwanej dalej: RODO), tak jak i we wcześniejszym stanie prawnym, regulowanym przez nieobowiązującą ustawę o ochronie danych osobowych, każda czynność przetwarzania danych osobowych osób fizycznych przez administratora danych powinna mieć podstawę prawną. 

Zgoda osoby fizycznej nie jest jedyną przesłanką legalizującą przetwarzanie jej danych osobowych. Zgodnie z obowiązującymi przepisami RODO, analizę właściwej podstawy prawnej do przetwarzania danych osobowych należy rozpoczynać od poszukiwania odpowiedniej przesłanki ustawowej. Dopiero wtedy, gdy nie uda się odnaleźć takiej przesłanki, administrator danych musi sięgnąć po zgodę na przetwarzanie od osoby, której dane dotyczą.

RODO rozróżnia przesłanki legalizujące przetwarzanie danych osobowych w zależności od kategorii danych, które podlegają przetwarzaniu. Katalog przesłanek legalizujących przetwarzanie danych osobowych zwykłych został wymieniony w przepisie art. 6 ust. 1 RODO. Podstawy prawne do przetwarzania szczególnych kategorii danych osobowych zostały umieszczone w przepisie art. 9 RODO.

Przetwarzanie danych osobowych zwykłych - przesłanki legalizujące

Do przesłanek legalizujących przetwarzania danych osobowych zwykłych, zgodnie z treścią przepisu art. 6 ust. 1 RODO należy zaliczyć:

  1. zgodę osoby, której dane dotyczą,
  2. niezbędność przetwarzania do wykonania umowy,
  3. niezbędność przetwarzania do dopełnienia obowiązku prawnego ciążącego na administratorze,
  4. niezbędność przetwarzania do ochrony interesów żywotnych osoby, której dane dotyczą, lub innej osoby fizycznej,
  5. niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
  6. niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.

Przetwarzanie danych - podstawa prawna

Zgodnie z przepisem art. 13 RODO, ustanawiającym obowiązek informacyjny administratora danych wobec podmiotu danych, administrator powinien poinformować osobę, której dane dotyczą o przetwarzaniu danych oraz udzielić stosownych informacji.  Wśród tych informacji musi się również znaleźć podstawa prawna przetwarzania danych. Czynności przetwarzania danych podejmowane przez administratora muszą mieć zatem podstawę prawną. Nie warto również pozyskiwać zgody osoby, której dane dotyczą w celu „zabezpieczenia się”.  W takim przypadku administrator naraża się na sytuację problematyczną. Mowa o poszukiwaniu przesłanki legalizującej przetwarzania w razie ewentualnego cofnięcia zgody na przetwarzanie przez podmiot danych.