W kolejnych artykułach pod wspólną nazwą RODOwskaz znajdziecie Państwo najważniejsze informacje wyjaśniające zapisy ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Kolejne artykuły ukazujące się w tym cyklu będą omawiały zagadnienia poruszone w Rozdziale II art. 6 RODO i dotyczące zgodności przetwarzania z prawem.
Rozdział II (RODO)
Artykuł 6 Zgodność przetwarzania z prawem
- Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
Trzecią z ogólnych przesłanek dopuszczalności przetwarzania danych jest okoliczność, że przetwarzanie danych jest niezbędne do wypełnienia obowiązku nałożonego na administratora przepisami prawa. Zgodnie z przepisem ust. 1 lit. c przetwarzanie danych jest zgodne z prawem, gdy „przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze”.
Omawiana podstawa dopuszczalności przetwarzania danych wymaga istnienia obowiązku określonego przepisami prawa. Kwestią dyskusyjną jest, czy przepis prawa powinien wyraźnie regulować kwestie przetwarzania danych, czy też wystarczy, jeżeli z przepisu prawa wynika obowiązek, do którego realizacji konieczne jest przetwarzanie danych, nawet jeśli przepis ten wyraźnie o przetwarzaniu danych nie wspomina.
Zarówno literalna wykładnia przepisu, jak też wykładnia funkcjonalna wskazują na prawidłowość przyjęcia drugiego z wskazanych powyżej stanowisk. Potwierdzeniem zasadności takiego ujęcia jest także okoliczność faktyczna polegająca na tym, że w wielu przypadkach brak jest szczegółowych przepisów odnoszących się wprost do przetwarzania danych, trudno jednak byłoby zaakceptować wniosek, iż nie mogą być one podstawą do przetwarzania danych, ponieważ mogłoby to oznaczać faktyczne uniemożliwienie realizacji obowiązków nałożonych tymi przepisami. Argumentu na rzecz wskazanej powyżej interpretacji dostarcza również motyw 45 preambuły, w którym stwierdzono, że „rozporządzenie nie nakłada wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne. Wystarczyć może to, że dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator”.
Jest to szczególnie istotne w przypadku podmiotów publicznych, które powinny realizować nałożone na nie zadania, natomiast niezbyt precyzyjne sformułowania przepisów szczególnych, wskazujące na uprawnienie do przetwarzania danych, mogłyby stać się podstawą do kwestionowania legalności przetwarzania danych. Wydaje się jednak, że opierając się na kategorii kompetencji (rozumianej jako uprawnienie, a jednocześnie obowiązek podejmowania określonych działań przez organy administracji) należy przyjąć, iż w przypadku, gdy przepis określa kompetencje organu, wskazując uprawnienie tego organu do załatwiania określonego rodzaju spraw, oznacza to także możliwość zastosowania omawianej tu podstawy dopuszczalności przetwarzania danych przez ten organ, gdyż realizacja tych zadań należy do obowiązków organu.
W obecnym stanie prawnym można twierdzić, że jeżeli przepisy nakładają obowiązek, do realizacji którego konieczne jest przetwarzanie danych, to nawet w przypadku, gdy przepisy wyraźnie wskazują na uprawnienie do przetwarzania danych, należy przyjąć, że przetwarzanie to służy realizacji obowiązku nałożonego przepisami, a zatem omawiana podstawa znajduje tu zastosowanie. Za taką interpretacją przemawia sformułowanie przepisu RODO, w którym mowa nie o obowiązku przetwarzania danych, a o obowiązku prawnym ciążącym na administratorze, dla którego wypełnienia niezbędne jest przetwarzanie danych.
W motywie 41 preambuły wyjaśniono, że „w przypadku gdy w rozporządzeniu jest mowa o podstawie prawnej lub akcie prawnym, niekoniecznie wymaga to przyjęcia aktu prawnego przez parlament, z zastrzeżeniem wymogów wynikających z porządku konstytucyjnego danego państwa członkowskiego. Taka podstawa prawna lub taki akt prawny powinny być jasne i precyzyjne, a ich zastosowanie przewidywalne dla osób im podlegających – jak wymaga tego orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej i Europejskiego Trybunału Praw Człowieka”. W świetle wskazanego powyżej wyjaśnienia rozstrzygać należy spory dotyczące rangi aktu normatywnego, którego przepis stanowić może podstawę prawną przetwarzania danych. Uwzględniając porządek normatywny w naszym kraju, uznać można, iż podstawą dopuszczalności przetwarzania danych „zwykłych” może być nie tylko przepis rangi ustawowej, ale również przepis aktu wykonawczego (rozporządzenia), jeżeli został on wydany zgodnie z regułami prawnymi, a więc na podstawie i w zakresie delegacji ustawowej.
Odmienne ocenić należy dopuszczalność przetwarzania szczególnych kategorii danych oraz danych o karalności, gdzie wymagana być powinna ustawowa ranga aktu normatywnego stanowiącego podstawę przetwarzania tego rodzaju danych
Opracowano na podstawie:
Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych.
Komentarz pod red. Pawła Fajgielskiego
