Przesłanki legalnego przetwarzania danych osobowych

Przesłanki legalnego przetwarzania danych osobowych

Wbrew powszechnemu przekonaniu, brak zgody na przetwarzanie danych osobowych nie uniemożliwia ich legalnego gromadzenia i wykorzystywania w prowadzonej działalności gospodarczej. Zgodnie bowiem z przepisem art. 6 ust. 1 RODO, wystarczające jest do tego spełnienie co najmniej jednego z poniższych warunków:

  • osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów,
  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy – należy zwrócić uwagę, że przesłanka ta nie dotyczy przypadku, w którym to przedsiębiorca inicjuje kontakt z klientem,
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze – chodzi tu o wszelkie obowiązki wynikające z przepisów prawa, czy to podatkowego (np. do przechowywania faktur VAT), czy też pracowniczego (np. do przechowywania akt osobowych pracowników),
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem – typowymi przykładami prawnie uzasadnionego interesu administratora danych jest przechowywanie danych osobowych po zakończeniu umowy na potrzeby dochodzenia roszczeń, bądź obrony przed nimi, a także przetwarzanie danych na potrzeby marketingu bezpośredniego.

Niezależnie od powyższego, aby przetwarzanie danych osobowych było legalne, należy pamiętać o kilku dalszych zasadach i obowiązkach wynikających z RODO:

  • ograniczonego celu przetwarzania – dane osobowe mogą być przetwarzane wyłącznie w konkretnych celach zakomunikowanych osobie, której dane dotyczą,
  • minimalizacji danych – dane osobowe mogą być gromadzone i wykorzystywane jedynie w zakresie, w jakim są niezbędne do określonego celu. Nie można zatem przetwarzać, w tym także przechowywać, danych które nie są konieczne do realizacji konkretnego celu ich przetwarzania,
  • prawidłowości danych – dane osobowe nieprawidłowe należy bądź usunąć, bądź zaktualizować,
  • ograniczenia przechowywania – dane osobowe mogą być przetwarzane jedynie przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane,
  • obowiązku informacyjnym – to w nim wskazujemy m.in. cele przetwarzania danych osobowych, stąd też w przypadku zmiany celu przetwarzania obowiązek informacyjny powinien zostać wykonany ponowie, przynajmniej w zakresie danych, które uległy zmianie względem poprzedniej informacji przekazanej osobie, której dane dotyczą.

autor: Michał Koralewski