W kolejnych artykułach pod wspólną nazwą RODOwskaz znajdziecie Państwo najważniejsze informacje wyjaśniające zapisy ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Kolejne artykuły ukazujące się w tym cyklu będą omawiały zagadnienia poruszone w Rozdziale II art. 6 RODO i dotyczące zgodności przetwarzania z prawem.
Rozdział II (RODO)
Artykuł 6 Zgodność przetwarzania z prawem
- Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań
Ujęta w komentowanym przepisie podstawa dopuszczalności przetwarzania nie ma charakteru bezwarunkowego, jest skonstruowana jako mechanizm ważenia interesów.
Na jednej szali nakazuje umieścić prawnie uzasadniony interes administratora danych (lub strony trzeciej), a na drugiej – wymagające ochrony podstawowe prawa i wolności osoby, której dane dotyczą. Jeżeli wynik tego ważenia interesów będzie wskazywał, że za przeważające należy uznać wymagające ochrony prawa podmiotu danych, to administrator nie powinien opierać przetwarzania danych na omawianej tu podstawie prawnej. Jako przykład szczególnej tego rodzaju sytuacji przepis RODO wskazuje przypadek, gdy osoba, której dane dotyczą, jest dzieckiem.
W motywie 47 wyjaśniono, że „interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania”.
Omawiana tu przesłanka może być stosowana jedynie przez podmioty prywatne (np. przedsiębiorców), natomiast nie mogą się na nią powoływać podmioty publiczne.
Wynika to z końcowej części przepisu ust. 1 komentowanego artykułu, w której stwierdzono, że podstawa określona w „lit. f nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań”. Oznacza to, że zasadniczo podstawą przetwarzania danych przez podmioty publiczne (w tym organy administracji publicznej) powinny być przepisy prawa, natomiast za swoisty odpowiednik omawianej tu klauzuli uzasadnionych interesów uznać można podstawę określoną w art. 6 ust. 1 pkt e, która dopuszcza przetwarzanie danych, jeżeli jest ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
Jednym z praktycznych problemów, jakie pojawiły się w związku z wyraźnym zastrzeżeniem, że omawianej klauzuli nie mogą wykorzystywać podmioty publiczne, była kwestia dopuszczalności prowadzenia monitoringu wizyjnego w jednostkach sektora finansów publicznych (m.in. w szkołach). Podmioty te jako podstawę prowadzenia monitoringu wskazywały prawnie usprawiedliwione cele administratora.
Podstawa prawna do prowadzenia monitoringu (zarówno wizyjnego, jak też monitoringu poczty elektronicznej) została wprowadzona do Kodeksu pracy.
W przypadku przetwarzania danych w oparciu o klauzulę prawnie uzasadnionych interesów, prawodawca – aby zapewnić równowagę między pozycją administratorów i osób, których dane dotyczą – przyznał podmiotom danych dodatkowe uprawnienie.
Zgodnie z przepisem art. 21 komentowanego rozporządzenia podmiot danych jest uprawniony do wniesienia sprzeciwu, z przyczyn związanych z jego szczególną sytuacją – wobec przetwarzania dotyczących go danych osobowych. Sprzeciw skutkuje tym, że administrator nie może już przetwarzać tych danych osobowych, chyba że wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. Ponadto, w przypadku gdy dane są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec takiego przetwarzania danych (w tym profilowania), w tym przypadku wniesienie sprzeciwu skutkuje tym, że danych osobowych nie wolno już przetwarzać do celów marketingowych.
Opracowano na podstawie:
Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych.
Komentarz pod red. Pawła Fajgielskiego