W ostatni czasie mamy wysyp ciekawych orzeczeń sądów, które wskazują na dość sporo „pomyłek” (nie mam lepszego słowa) polskiego organu nadzorczego w dziedzinie RODO, a więc Prezesa Urzędu Ochrony Danych Osobowych.

Reklama

Dzisiejszy odcinek (nie)oczywistych (nie)oczywistości będzie poświęcony zagadnieniu przesłanki, a więc podstawy przetwarzania danych osobowych, opisanej w art. 6.1.f RODO:

przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią

Pominę kwestię „niezbędne”, zostawiając na inna publikację. Dziś postaram wyjaśnić, skąd mogą się brać wnioski, jakie pojawiły się zarówno w postępowaniu jak i później były omówione w uzasadnieniu do orzeczenia sądu.

Interpretacja PUODO, jaka została podważona to to, że prawnie uzasadniony interes powinien być określony w przepisie prawa.

Niby oczywista oczywistość: do przetwarzania danych osobowych z mocy prawa i w mechanizmie opisanym wyżej wystarczająca jest przesłanka 6.1.c – przetwarzanie dokonywane jest w celu spełnienia obowiązków wynikających z przepisu prawa.

Rys historyczny, RODO jako akt prawny dojrzalszy

RODO jest następcą dyrektywy na podstawie której wydana była pierwsza polska Ustawa o ochronie danych osobowych z 1997 roku (UODO 1997). W tamtym stanie prawnym, obowiązującym do magicznego maja 2018 funkcjonowała przesłanka prawna z art. 23.1.3

Przetwarzanie danych jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;

Istotą tej przesłanki było to, że zarówno uprawnienie jak i obowiązek określane były w przepisie prawa.

Przykłady:

  • Prawo Pracy – pracodawca miał prawo żądać (obecnie żąda) określonych danych od kandydata.
  • Ochrona osób i mienia – pracownik ochrony ma prawo do np. legitymowania osoby w celu ustalenia tożsamości.

W trakcie zmiany podstaw prawnych z UODO 1997 na RODO część związana z realizacją obowiązku prawnego została przeniesiona do art. 6.1.c – a więc obowiązek prawny. Natomiast wszelkie pozostałe uprawnienia – do 6.1.f. Przy czym jak widać stanowisko organu jest takie, jak w poprzednim stanie prawnym, a więc aby pojawiło się prawo do przetwarzania danych, powinno ono być określone w przepisie prawa.

Jak widać sąd nie podzielił stanowiska organu (i dobrze), ponieważ istotą przesłanki z 6.1.f jest właśnie takie kształtowanie przetwarzania danych osobowych, aby można było korzystać z tych, które są nam niezbędne do prowadzenia działalności gospodarczej.

Elementem, który przemawia za taką interpretacją jest dodanie obowiązku wskazania owego prawnie uzasadnionego interesu, a więc nie jest to „bo mi się kiedyś przyda”, a konkretnie do czego tych danych potrzebujemy, w trakcie zbierania danych (lub przy pierwszym kontakcie). O obowiązkach informacyjnych jeszcze na pewno napiszę.

Podsumowanie

Warto podsumować, to co niby jest oczywistością, ale dla wielu jednak nie:

  • Przetwarzanie w oparciu o przepis prawa i w celu realizacji tego przepisu – podstawą jest 6.1.c.
  • Przetwarzanie w jakimkolwiek celu, ale uzasadnionym prawnie (nie znaczy to, że to uprawnienie ma być sprecyzowane w przepisie) – art. 6.1.f. Obowiązek dodatkowy – sprecyzowanie tego celu oraz poinformowanie o nim. Ponieważ tutaj pojawiają się uprawnienia osoby, której dane dotyczą.