Cześć! To ja, Dokrates!
W moich poprzednich wpisach przedstawiłem Ci ogólne informacje o RODO oraz przybliżyłem Ci postać administratora danych osobowych. Dzisiaj chciałbym omówić kwestię podstaw przetwarzania danych osobowych. To bardzo ważny temat, bo od tego, czy taka podstawa istnieje, zależy Twoja możliwość zgodnego z prawem przetwarzania danych osobowych. Więc jak, gotowy? Zaczynamy!
Zgoda
Jedną z najczęściej występujących w praktyce podstaw przetwarzania jest zgoda osoby, której dane dotyczą. Dotychczasowe podejście przedsiębiorców do tego warunku było bardzo zróżnicowane w ramach Unii Europejskiej. Z tego względu w RODO poświęcono dużo uwagi sposobom prawidłowego wyrażenia zgody przez osobę fizyczną. To temat na osobny wpis, więc śledź mojego bloga i profil na Facebooku – więcej o zgodzie na przetwarzanie danych osobowych opowiem Ci już niebawem! Na razie napiszę tylko, że zgoda powinna być wyrażona dobrowolnie, w sposób aktywny, i nie może budzić żadnych wątpliwości.
Drugą, równie częstą podstawą przetwarzania danych osobowych jest sytuacja, w której dla wykonania umowy niezbędne jest posiadanie danych osobowych strony tej umowy. Co to oznacza? To bardzo proste – przykładowo, bez danych takich jak imię, nazwisko czy adres zamieszkania osoby, z którą zawierasz przez Internet umowę sprzedaży, nie będziesz w stanie dostarczyć jej zamówionego towaru. W przypadku tej podstawy przetwarzania nie powinieneś oczekiwać od strony umowy wyrażenia dodatkowej zgody na przetwarzanie. Podobna sytuacja ma miejsce także w przypadku podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Przykładem takiego działania może być wysłanie oferty w odpowiedzi na zapytanie potencjalnego klienta – również w tym przypadku uzyskanie dodatkowej zgody nie będzie potrzebne.
Zgody nie wymagać będzie także takie przetwarzanie danych osobowych, które jest konieczne dla wypełnienia obowiązku prawnego ciążącego na administratorze danych osobowych. Przykładowo, po dokonaniu przez klienta zakupu w sklepie internetowym, musisz przetworzyć jego dane w celu spełnienia obowiązków związanych z rachunkowością i podatkami – nie musisz wymagać od klienta żadnych dodatkowych oświadczeń w tej kwestii.
Dość enigmatyczną przesłanką przetwarzania danych osobowych są prawnie uzasadnione interesy administratora danych osobowych. Czy wszystkie Twoje racje będą mogły być uznane za podstawę przetwarzania? Nie jest to tak proste – za każdym razem konieczne jest bowiem udzielenie odpowiedzi na pytanie, co jest ważniejsze: Twoje interesy, czy też prawa i wolności osoby, której dane dotyczą? Jeśli to drugie – przetwarzanie danych na tej podstawie jest niedozwolone. W myśl RODO, zgodnym z prawem uzasadnionym interesem może być marketing bezpośredni – w tym jednak przypadku musisz pamiętać o spełnieniu obowiązków zawartych w innych ustawach.
RODO przewiduje jeszcze kilka innych podstaw przetwarzania danych osobowych, jednak największe znaczenie dla przedsiębiorców będą miały podstawy omówione powyżej. Mam więc nadzieję, że ten wpis okazał się dla Ciebie pomocny.
Co ważne, zarówno wtedy, gdy od osoby fizycznej wymagana jest zgoda na przetwarzanie danych osobowych, jak i wtedy, gdy przetwarzanie następuje na innej podstawie, RODO nakłada na administratora określone obowiązki informacyjne. Wymieniona w przepisach podstawa przetwarzania jest więc tylko jednym z elementów zgodnego z prawem przetwarzania danych. O obowiązku informacyjnym napiszę w innym wpisie – śledź mojego bloga, aby go nie przegapić!
Twój Dokrates
PS. Potrzebujesz pomocy z RODO? Sprawdź co mogą dla Ciebie zrobić moi przyjaciele z Legal Geek!