Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Aby przetwarzanie danych było zgodne z prawem, musi się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie prawnej przewidzianej w RODO albo w innym akcie prawnym Unii lub w przepisach państwa członkowskiego.
Przetwarzanie danych osobowych bez ważnej podstawy prawnej może skończyć się dla administratora danych nałożeniem na niego kary pieniężnej, a kary te mogą być naprawdę wysokie. Każdy podmiot, który przetwarza dane osobowe, musi zastanowić się, jaka będzie odpowiednia, zgodna z prawem podstawa planowanego przetwarzania danych. Naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, podlegają administracyjnej karze pieniężnej w wysokości do 20.000.000 euro, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. RODO dzieli dane osobowe na dane zwykłe i dane szczególnych kategorii. Z tym że z RODO wynika zasada tzw. autonomiczności przesłanek przetwarzania, zgodnie z którą do wypełnienia przez administratora zasady legalności wystarczające jest oparcie procesu przetwarzania danych osobowych wyłącznie na jednej z przesłanek. Podstawy prawne umożliwiające przetwarzanie danych osobowych zwykłych zawiera art. 6 ust. 1 RODO. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy jest spełniony co najmniej jeden z warunków opisanych w tym przepisie, tj.:
a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów,
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; zakres pobieranych danych osobowych nie może być szerszy niż wynikający z zawartej umowy; ponadto, jeśli uzyskane dane osobowe przedsiębiorca chce przetwarzać w innym celu niż realizacja umowy, wówczas musi mieć do tego inną podstawę prawną, np. zgodę osoby, której dane będzie przetwarzał,
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; administrator danych może przetwarzać dane osobowe, gdy takie upoważnienie wynika dla niego z przepisów prawa - przykładowo, prawo pracy nakłada na pracodawcę obowiązki prawne, które wymagają przetwarzania danych osobowych,
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; RODO stanowi, że żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej; niektóre rodzaje przetwarzania mogą służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, gdy np. przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka,
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi - chodzi tu o przetwarzanie danych osobowych dokonywane przez organy publiczne lub przez inne podmioty, które takie zadania realizują, np. w celu ochrony zdrowotnej, opieki socjalnej czy przez instytucje dysponujące, np. pomocą 800+,
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem - jako przykłady takiego przetwarzania podaje się np. marketing bezpośredni firm.
Dane wrażliwe to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. Jest to w odróżnieniu od danych osobowych zwykłych katalog zamknięty. Jak podkreśla się w motywie 51 preambuły do RODO, dane osobowe szczególnych kategorii wyróżniono i poddano zaostrzonej regulacji z racji ich charakteru, relatywnie wrażliwego, w świetle podstawowych praw i wolności. Zasadniczo ich przetwarzanie jest zabronione. Jednak w określonych sytuacjach muszą być one przetwarzane, np. dane o stanie zdrowia pracowników przetwarzane przez pracodawcę czy dane o wyznaniu uczniów przetwarzane przez szkołę, w celu kwalifikacji uczniów na lekcje religii czy etyki. RODO w art. 9 ust. 2 wprowadza katalog podstaw prawnych, które upoważniają administratorów do przetwarzania danych wrażliwych (patrz ramka).
Podstawy prawne do przetwarzania danych wrażliwych
|
|