Jedną z kluczowych zasad wyartykułowanych w RODO jest legalność przetwarzania danych. W tym celu rozporządzenie wprowadziło zamknięty katalog prawnych podstaw przetwarzania.
W art. 6 wyliczono wszystkie dopuszczalne podstawy prawne, którą mogą być wykorzystane do gromadzenia i przetwarzania danych. Są to przesłanki autonomiczne (wystarczy spełnienie jednej z nich) i równorzędne (zrezygnowano ze stworzenia ich hierarchii, wszystkie są tak samo ważne). Wskazać należy, że art. 6 dotyczy zwykłych kategorii danych. W przypadku kategorii wrażliwych, takich jak choćby dane biometryczne, zastosowano zaostrzone rygory przewidziane w art. 9.
RODO wprowadziło następujące podstawy prawne przetwarzania:
- zgoda osoby, które dane dotyczą;
- niezbędność do wykonania umowy, której stroną jest osoba, której dane dotyczą lub podjęcia działań, na żądanie tej osoby przed zawarciem umowy;
- niezbędność do wypełnienia obowiązku prawnego administratora;
- niezbędność do ochrony żywotnych interesów osoby fizycznej;
- niezbędność do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej;
- niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.
Wybór konkretnej podstawy (lub podstaw) prawnych należy do administratora, ponieważ to on w przypadku ewentualnej kontroli będzie musiał wykazać, że przetwarzanie danych jest legalne.
Podstawy prawne przetwarzania muszą także zostać przedstawione osobom, których dane dotyczą, zwłaszcza przed zebraniem ich danych. Następuje to najczęściej w formie odrębnego punktu w klauzulach informacyjnych lub formularzach odebrania zgód.
Na marginesie dodam tylko, że w art. 6 ust. 2 znajduje się przepis, który umożliwia państwom członkowskim wprowadzenie wewnętrznych regulacji precyzujących przesłanki przewidziane w punktach 3 i 5. Nie wiadomo, czy taka sytuacja będzie miała miejsce w Polsce, ponieważ do dnia sporządzenia niniejszego opracowania nie uchwalono jeszcze nowej ustawy o ochronie danych osobowych.
Michał Wysocki
Bibliografia:
- E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
- P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018