W myśl GDPR przetwarzanie danych osobowych (takich, które nie ujawniają pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych, przynależności do związków zawodowych, nie dotyczą zdrowia, seksualności lub orientacji seksualnej i nie są danymi genetycznymi ani biometrycznymi) jest dozwolone w przypadkach, gdy spełniony jest co najmniej jeden z poniżej wymienionych warunków

Zgoda osoby, której dane dotyczą

Jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, ADO musi być w stanie udowodnić, że osoba ta wyraziła zgodę na operację przetwarzania. W szczególności w przypadku pisemnego oświadczenia składanego w innej sprawie muszą istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia zgody oraz jej zakresu, np. w przypadku zgody na marketing podmiotów trzecich lub zgody na udostępnianie danych podmiotom, które nie są stroną danej umowy. Oświadczenie o wyrażeniu zgody przygotowane przez ADO musi mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnym i prostym językiem i nie może zawierać nieuczciwych warunków[i]. Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość ADO oraz zamierzone cele przetwarzania danych osobowych. Wyrażenie zgody nie będzie uznane za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych dla niej konsekwencji. I tak, zgoda nie będzie stanowić ważnej podstawy prawnej przetwarzania danych osobowych gdy:

  1. istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a ADO, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie;
  2. nie można zgody wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne,
  3. od wyrażenia zgody (np. na marketing lub udostępnienie) uzależnione jest wykonanie umowy.

O zgodzie więcej przeczytasz tutaj

[1] Dyrektywa Rady 93/13/EWG z dnia 5 kwietnia 1993 r. w sprawie nieuczciwych warunków w umowach konsumenckich (Dz.U. L 95, 21.4.1993, s. 29)

reklama

Zawarcie i wykonanie umowy

Przetwarzanie jest zgodne z prawem, jeżeli jest ono niezbędne w związku z zawarciem umowy lub zamiarem zawarcia umowy.

W wypadku działań przed zawarciem umowy, obejmujących przetwarzanie danych osobowych, a podjętych na żądanie osoby, której te dane dotyczą (np. weryfikacja złożonego oświadczenia o historii kredytowej) nie jest konieczne dodatkowe pozyskiwanie zgody tej osoby.

Przepis prawa

Przetwarzanie jest zgodne z prawem, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na ADO. Podstawę przetwarzania w takim wypadku stanowi prawo Unii lub prawo państwa członkowskiego.

W przypadku gdy w GDPR jest mowa o podstawie prawnej lub akcie prawnym, niekoniecznie wymaga to przyjęcia aktu prawnego przez parlament, może to być także np. akt prawa miejscowego. Taka podstawa prawna lub taki akt prawny muszą być jasne i precyzyjne, a ich zastosowanie przewidywalne dla osób im podlegających.

GDPR nie nakłada wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne. Wystarczyć może to, że dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator. Prawo Unii lub prawo państwa członkowskiego powinno określać także cel przetwarzania. Ponadto, prawo to może doprecyzowywać ogólne warunki określone w GDPR dotyczące zgodności przetwarzania z prawem, określać sposoby wskazywania administratora, rodzaj danych osobowych podlegających przetwarzaniu, osoby, których dane dotyczą, podmioty, którym można ujawniać dane osobowe, ograniczenia celu, okres przechowywania oraz inne środki zapewniające zgodność z prawem i rzetelność przetwarzania.

Ochrona żywotnych interesów osoby fizycznej

Przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą, lub innej osoby fizycznej. Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej. Niektóre rodzaje przetwarzania mogą służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka.

reklama

Wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi

Jeżeli przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, podstawę przetwarzania powinno stanowić prawo Unii lub prawo państwa członkowskiego. Niniejsze rozporządzenie nie nakłada wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne. Wystarczyć może to, że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej. Prawo Unii lub prawo państwa członkowskiego powinno określać jednak, czy administratorem wykonującym zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powinien być organ publiczny czy inna osoba fizyczna lub prawna podlegająca prawu publicznemu lub prawu prywatnemu, na przykład zrzeszenie zawodowe, jeżeli uzasadnia to interes publiczny, w tym cele zdrowotne, takie jak zdrowie publiczne, ochrona socjalna oraz zarządzanie usługami opieki zdrowotnej.

Realizowanie celów wynikających z prawnie uzasadnionych interesów realizowanych przez ADO lub przez stronę trzecią

Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Ponieważ dla organów publicznych podstawę prawną przetwarzania danych osobowych powinien określić ustawodawca, prawnie uzasadniony interes administratora nie powinien mieć zastosowania jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. Prawnie uzasadnionym interesem administratora, którego sprawa dotyczy, jest również przetwarzanie danych osobowych bezwzględnie niezbędne do zapobiegania oszustwom. Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.

Administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników. Pozostaje to bez wpływu na ogólne zasady przekazywania danych osobowych w ramach grupy przedsiębiorstw przedsiębiorstwu mieszczącemu się w państwie trzecim.

UDOSTĘPNIJ
Poprzedni artykułDane wrażliwe
Następny artykułCel przetwarzania danych osobowych
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.