Jakie są przesłanki legalnego przetwarzania danych osobowych?
Wbrew powszechnemu przekonaniu, brak zgody na przetwarzanie danych osobowych nie uniemożliwia ich legalnego gromadzenia i wykorzystywania w prowadzonej działalności gospodarczej. Zgodnie bowiem z przepisem art. 6 ust. 1 RODO, wystarczające jest do tego spełnienie co najmniej jednego z poniższych warunków:
- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów,
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy – należy zwrócić uwagę, że przesłanka ta nie dotyczy przypadku, w którym to przedsiębiorca inicjuje kontakt z klientem,
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze – chodzi tu o wszelkie obowiązki wynikające z przepisów prawa, czy to podatkowego (np. do przechowywania faktur VAT), czy też pracowniczego (np. do przechowywania akt osobowych pracowników),
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem – typowymi przykładami prawnie uzasadnionego interesu administratora danych jest przechowywanie danych osobowych po zakończeniu umowy na potrzeby dochodzenia roszczeń, bądź obrony przed nimi, a także przetwarzanie danych na potrzeby marketingu bezpośredniego.
Niezależnie od powyższego, aby przetwarzanie danych osobowych było legalne, należy pamiętać o kilku dalszych zasadach i obowiązkach wynikających z RODO:
- ograniczonego celu przetwarzania – dane osobowe mogą być przetwarzane wyłącznie w konkretnych celach zakomunikowanych osobie, której dane dotyczą,
- minimalizacji danych – dane osobowe mogą być gromadzone i wykorzystywane jedynie w zakresie, w jakim są niezbędne do określonego celu. Nie można zatem przetwarzać, w tym także przechowywać, danych które nie są konieczne do realizacji konkretnego celu ich przetwarzania,
- prawidłowości danych – dane osobowe nieprawidłowe należy bądź usunąć, bądź zaktualizować,
- ograniczenia przechowywania – dane osobowe mogą być przetwarzane jedynie przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane,
- obowiązku informacyjnym – to w nim wskazujemy m.in. cele przetwarzania danych osobowych, stąd też w przypadku zmiany celu przetwarzania obowiązek informacyjny powinien zostać wykonany ponowie, przynajmniej w zakresie danych, które uległy zmianie względem poprzedniej informacji przekazanej osobie, której dane dotyczą.
autor: Michał Koralewski