Jedną z kluczowych zasad wyartykułowanych w RODO jest legalność przetwarzania danych. W tym celu rozporządzenie wprowadziło zamknięty katalog prawnych podstaw przetwarzania.

W art. 6 wyliczono wszystkie dopuszczalne podstawy prawne, którą mogą być wykorzystane do gromadzenia i przetwarzania danych. Są to przesłanki autonomiczne (wystarczy spełnienie jednej z nich) i równorzędne (zrezygnowano ze stworzenia ich hierarchii, wszystkie są tak samo ważne). Wskazać należy, że art. 6 dotyczy zwykłych kategorii danych. W przypadku kategorii wrażliwych, takich jak choćby dane biometryczne, zastosowano zaostrzone rygory przewidziane w art. 9.

RODO wprowadziło następujące podstawy prawne przetwarzania:

  1. zgoda osoby, które dane dotyczą;
  2. niezbędność do wykonania umowy, której stroną jest osoba, której dane dotyczą lub podjęcia działań, na żądanie tej osoby przed zawarciem umowy;
  3. niezbędność do wypełnienia obowiązku prawnego administratora;
  4. niezbędność do ochrony żywotnych interesów osoby fizycznej;
  5. niezbędność do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej;
  6. niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

Wybór konkretnej podstawy (lub podstaw) prawnych należy do administratora, ponieważ to on w przypadku ewentualnej kontroli będzie musiał wykazać, że przetwarzanie danych jest legalne.

Podstawy prawne przetwarzania muszą także zostać przedstawione osobom, których dane dotyczą, zwłaszcza przed zebraniem ich danych. Następuje to najczęściej w formie odrębnego punktu w klauzulach informacyjnych lub formularzach odebrania zgód.

Na marginesie dodam tylko, że w art. 6 ust. 2 znajduje się przepis, który umożliwia państwom członkowskim wprowadzenie wewnętrznych regulacji precyzujących przesłanki przewidziane w punktach 3 i 5. Nie wiadomo, czy taka sytuacja będzie miała miejsce w Polsce, ponieważ do dnia sporządzenia niniejszego opracowania nie uchwalono jeszcze nowej ustawy o ochronie danych osobowych.

Michał Wysocki

Bibliografia:

  1. E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
  2. P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018