Jak ustalić prawidłową podstawę przetwarzania danych?

Wybór odpowiedniej podstawy prawnej przetwarzania to zmora wielu administratorów. W końcu to ten wybór w zasadzie implikuje praktycznie wszystko, co dalej robimy z danymi i jak przeprowadzamy ocenę ryzyka. Jednocześnie wybór nie może być dowolny, gdyż trzeba go odpowiednio uzasadnić i – w przypadku kontroli – wytłumaczyć się z niego przez Prezesem UODO. W tym poradniku chcemy przybliżyć nasz sposób ustalania prawidłowej podstawy prawnej przetwarzania, który można w zasadzie wykorzystać przy każdym procesie przetwarzania.

Nieformalna „hierarchia” podstaw przetwarzania

Pamiętajmy, że podstawy prawne przetwarzania danych są równorzędne i żadna z nich nie ma prymatu. Widać to szczególnie dobrze przy okazji lektury podstaw przetwarzania danych zwykłych zgromadzonych w art. 6 RODO. Prawodawca unijny nie dał jakichkolwiek wskazówek odnośnie tego, która podstawa miałaby być „lepsza”. Mylnie zatem czasami wskazuje się na rynku, jakoby to zgoda (z uwagi na to, że jest chronologicznie pierwszą podstawą) miałaby być najlepszą podstawą prawną. Pierwszy nie zawsze oznacza najlepszy. Zgoda w zasadzie jest najgorszą możliwą podstawą prawną przetwarzania, gdyż nie zapewnia jakiejkolwiek stabilizacji procesu przetwarzania danych (może być w każdej chwili wycofana przez osobę, której dane dotyczą).

To, że podstawy są równorzędne wcale nie oznacza, że nie można zbudować sobie hierarchii podstaw na potrzeby poszukiwania prawidłowej podstawy. Taka hierarchia z pewnością bardzo pomoże przy analizie procesu i doborze podstawy prawnej.

Szukajmy przepisu prawa

W pierwszej kolejności należałoby się zastanowić czy istnieje przepis prawa, który nakłada na administratora jakiś obowiązek prawny. Wychodzimy zatem od podstawy prawnej z art. 6 ust. 1 lit. c RODO, a zatem badamy czy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Kategoria „obowiązku” może jednak sprawić w praktyce dużo problemów. O ile polski ustawodawca w wieku ustawach dokonał stosownych zmian, nakładając na administratora takie obowiązki (a nawet zmieniając dotychczasowe „uprawnienie” na „obowiązek” np. w Kodeksie pracy), to wiele aktów prawnych nadal przewiduje uprawnienie a nie obowiązek administratora. Co w takiej sytuacji? Należałoby jednak nadal próbować oprzeć przetwarzanie na art. 6 ust. 1 lit. c RODO. Nie powinniśmy każdorazowo trzymać się literalnej wykładni przepisu art. 6 ust. 1 lit. c RODO, a jednak zmierzać ku wykładni celowościowej, a zatem uwzględniającej cel danej regulacji prawnej. Z pewnością bardzo często administratorzy nie mają obowiązku prawnego, ale przysługuje im uprawnienie wynikające z przepisu prawa. Skoro zatem istnieje przepis prawa, który pozwala administratorowi na przetwarzanie danych w toku realizacji tego przepisu, to czemu nie oprzeć się na tej podstawie przetwarzania? Zawężająca wykładnia mogłoby uczynić podstawę prawną z art. 6 ust. 1 lit. c RODO nieco iluzoryczną.

Innymi słowy: jeśli istnieje przepis prawa przewidujący obowiązek lub nawet uprawnienie administratora do realizacji pewnych działań, z którymi wiąże się przetwarzanie danych, to poszukiwanie podstawy prawnej przetwarzania mamy zakończone.

Wykonanie umowy

Jeżeli jednak taki przepis prawa nie istnieje i nie możemy skorzystać z art. 6 ust. 1 lit. c RODO, to musimy przejść do art. 6 ust. 1 lit. b RODO czyli tzw. wykonania umowy. Jest to kolejna „solidna” podstawa prawna przetwarzania, która jest w zasadzie dosyć łatwa do uzasadnienia. Jeżeli zatem jesteśmy stroną jakiejś umowy i ta umowa nadal obowiązuje lub jeszcze nie została zawarta, ale druga strona umowy (będąca podmiotem danych) żąda od nas podjęcia działań zmierzających do zawarcia umowy, to jesteśmy w domu – art. 6 ust. 1 lit. b RODO pasuje jak ulał. Oczywiście i tutaj czyhają na nas pułapki i problemy. Musimy pamiętać, że art. 6 ust. 1 lit. b RODO dotyczy jedynie stron umowy. Na tej podstawie nie można przetwarzać danych personelu strony umowy, pełnomocnika czy osób, w interesie których ta umowa jest wykonywana. Ponadto wykonanie umowy dotyczy jedynie jej przedmiotu. Na literze art. 6 ust. 1 lit. b  RODO nie można przetwarzać danych w celu realizacji działań marketingowych w stosunku do naszego kontrahenta czy też nie można dochodzić roszczeń (w tym celu należy obrać inne podstawy prawne przetwarzania).

Szukajmy uzasadnionego interesu

No dobrze, ale co w sytuacji, gdy nie występuje ani przepis prawa ani nie mamy do czynienia z wykonaniem umowy? Tutaj sytuacja „rozjeżdża się” w zależności od tego czy jesteśmy administratorem z sektora publicznego czy prywatnego. Mowa bowiem o art. 6 ust. 1 lit. e lub lit. f RODO czyli o uzasadnionym interesie.

W przypadku sektora prywatnego, można w pewnych przypadkach oprzeć przetwarzanie danych osobowych na uzasadnionym interesie administratora lub – co ważne – również uzasadnionym interesie osoby trzeciej. Wracając zatem do poczynionej wcześniej uwagi o braku możliwości przetwarzania danych osobowych personelu czy też pełnomocnika kontrahenta w oparciu o podstawę dotyczącą wykonania umowy, to właśnie uzasadniony interes administratora (lub również osoby trzeciej – zależy, z której strony patrzeć w tym konkretnym przypadku) będzie podstawą do przetwarzania danych osobowych tych osób. Podstawa uzasadnionego interesu nie jest aż tak „mocną” podstawą jak wcześniej wymienione, gdyż wymaga przeprowadzenia tzw. „testu równowagi” czyli wyważenia interesów i praw administratora oraz podmiotu danych. Taki test powinien być udokumentowany oraz wyraźnie wskazywać jego wynik. Jeżeli prawa i wolności podmiotu danych nie przeważają nad interesem administratora, można oprzeć przetwarzanie danych na tej podstawie prawnej. Jeśli jest odwrotnie – należy szukać innej podstawy, co najczęściej będzie się kończyło koniecznością odebrania zgody od podmiotu danych.

Jeżeli natomiast działamy w sektorze publicznym, to odpowiednikiem art. 6 ust. 1 lit. f RODO w tym sektorze, jest art. 6 ust. 1 lit. e, który wskazuje, że można przetwarzać dane osobowe, jeśli przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

Wyjątkowo – ochrona żywotnych interesów

Nie można również zapomnieć o podstawie z art. 6 ust. 1 lit. d RODO, a zatem dotyczącej ochrony żywotnych interesów osoby, której dane dotyczą. Ta podstawa powinna być stosowana wyjątkowo i tylko w okolicznościach, które są związane z ochroną żywotnych interesów, czyli ważnych interesów życiowych podmiotu danych. Z tej przyczyny trudno umieścić ją w naszej „wewnętrznej hierarchii”, ale z pewnością nie powinna być ona pierwszym czy nawet drugim lub trzecim wyborem.

Finalnie dochodzimy do zgody czyli najbardziej kruchej podstawy przetwarzania. Zgoda jest zależna od woli podmiotu danych oraz musi spełniać szereg wymogów stawianych przez RODO m.in. musi być konkretna, dobrowolna i świadoma (a w przypadku zgody na przetwarzanie danych szczególnej kategorii również wyraźna). Co najważniejsze, podmiot danych może cofnąć zgodę w każdej chwili i dlatego opieranie się na tej podstawie prawnej powinno należeć do ostateczności. Jeśli administrator będzie nadużywał zgody jako podstawy prawnej przetwarzania danych, to sam naraża się na utratę możliwości tego przetwarzania. Ponadto nadużywanie zgody prowadzi niejednokrotnie do błędnego określenia podstawy przetwarzania albo wręcz zdublowania tych podstaw, co podlega administracyjnej karze pieniężnej.

Widać zatem, że kolejność podstaw prawnych przetwarzania danych zwykłych określona w art. 6 ust. 1 RODO nie skutkuje jakąś hierarchią podstaw. Nie oznacza jednak to, że dokonując wyboru podstawy prawnej nie możemy stworzyć sobie procedury intelektualnej, która ma nam pomóc w wyborze. Dlatego powyższy tok rozumowania należy stosować w toku projektowania każdego procesu, gdyż wybór podstawy prawnej implikuje następnie szereg innych zagadnień. Jeśli pomylimy się na tym etapie, skutki pomyłki potem będzie już bardzo trudno odwrócić.

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s