W ostatni czasie mamy wysyp ciekawych orzeczeń sądów, które wskazują na dość sporo „pomyłek” (nie mam lepszego słowa) polskiego organu nadzorczego w dziedzinie RODO, a więc Prezesa Urzędu Ochrony Danych Osobowych.
Dzisiejszy odcinek (nie)oczywistych (nie)oczywistości będzie poświęcony zagadnieniu przesłanki, a więc podstawy przetwarzania danych osobowych, opisanej w art. 6.1.f RODO:
przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią
Pominę kwestię „niezbędne”, zostawiając na inna publikację. Dziś postaram wyjaśnić, skąd mogą się brać wnioski, jakie pojawiły się zarówno w postępowaniu jak i później były omówione w uzasadnieniu do orzeczenia sądu.
Interpretacja PUODO, jaka została podważona to to, że prawnie uzasadniony interes powinien być określony w przepisie prawa.
Niby oczywista oczywistość: do przetwarzania danych osobowych z mocy prawa i w mechanizmie opisanym wyżej wystarczająca jest przesłanka 6.1.c – przetwarzanie dokonywane jest w celu spełnienia obowiązków wynikających z przepisu prawa.
Rys historyczny, RODO jako akt prawny dojrzalszy
RODO jest następcą dyrektywy na podstawie której wydana była pierwsza polska Ustawa o ochronie danych osobowych z 1997 roku (UODO 1997). W tamtym stanie prawnym, obowiązującym do magicznego maja 2018 funkcjonowała przesłanka prawna z art. 23.1.3
Przetwarzanie danych jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
Istotą tej przesłanki było to, że zarówno uprawnienie jak i obowiązek określane były w przepisie prawa.
Przykłady:
- Prawo Pracy – pracodawca miał prawo żądać (obecnie żąda) określonych danych od kandydata.
- Ochrona osób i mienia – pracownik ochrony ma prawo do np. legitymowania osoby w celu ustalenia tożsamości.
W trakcie zmiany podstaw prawnych z UODO 1997 na RODO część związana z realizacją obowiązku prawnego została przeniesiona do art. 6.1.c – a więc obowiązek prawny. Natomiast wszelkie pozostałe uprawnienia – do 6.1.f. Przy czym jak widać stanowisko organu jest takie, jak w poprzednim stanie prawnym, a więc aby pojawiło się prawo do przetwarzania danych, powinno ono być określone w przepisie prawa.
Jak widać sąd nie podzielił stanowiska organu (i dobrze), ponieważ istotą przesłanki z 6.1.f jest właśnie takie kształtowanie przetwarzania danych osobowych, aby można było korzystać z tych, które są nam niezbędne do prowadzenia działalności gospodarczej.
Elementem, który przemawia za taką interpretacją jest dodanie obowiązku wskazania owego prawnie uzasadnionego interesu, a więc nie jest to „bo mi się kiedyś przyda”, a konkretnie do czego tych danych potrzebujemy, w trakcie zbierania danych (lub przy pierwszym kontakcie). O obowiązkach informacyjnych jeszcze na pewno napiszę.
Podsumowanie
Warto podsumować, to co niby jest oczywistością, ale dla wielu jednak nie:
- Przetwarzanie w oparciu o przepis prawa i w celu realizacji tego przepisu – podstawą jest 6.1.c.
- Przetwarzanie w jakimkolwiek celu, ale uzasadnionym prawnie (nie znaczy to, że to uprawnienie ma być sprecyzowane w przepisie) – art. 6.1.f. Obowiązek dodatkowy – sprecyzowanie tego celu oraz poinformowanie o nim. Ponieważ tutaj pojawiają się uprawnienia osoby, której dane dotyczą.