Adwokat Łukasz Witański

blog prawniczy

W prostych słowach o ... RODO cz. 2, Podstawy prawne przetwarzania

cze 102018


rodo kiedy mozna przetwarzac dane

Kiedy przedsiębiorca może przetwarzać dane osobowe (zwykłe dane) osób fizycznych?


Przede wszystkim dane osobowe osoby fizycznej muszą być przetwarzane zgodnie z prawem (art. 5 RODO). Oznacza to, że przedsiębiorca może przetwarzać dane osobowe tylko, gdy istnieje podstawa prawna przetwarzania. Podstawy prawne przetwarzania określa samo RODO, w artykule 6 RODO wprowadziło katalog podstaw prawnych przetwarzania danych osobowych. Katalog ten ma charakter zamknięty.

Zatem zgodnie z art. 6 RODO Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:


a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

 

Przedsiębiorca może zatem w najbardziej typowych sytuacjach przetwarzać zwykłe dane osobowe, gdy:

1. Uzyskał zgodę osoby fizycznej na przetwarzanie (warunki wyrażenia zgody –art. 7. RODO);

2. Przetwarzanie jest niezbędne do wykonania umowy lub chęć zawarcia umowy wyraża osoba fizyczna i np. podaje dane w celu przygotowania umowy;

3. Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze –np. wystawianie faktur i innych dokumentów księgowych, rozpatrywanie reklamacji, gdyż odpowiednie przepisy wprowadzają obowiązek udzielenia odpowiedzi na reklamację i jej termin (przepisy o rękojmi art. 561 i następne k.c.);

NATOMIAST POZOSTAŁE PRZYPADKI, KIEDY PRZEDSIĘBIORCA MOŻE PRZETAWARZAĆ DANE OSOBOWE TO:

4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej – w tym przypadku z pomocą przychodzą motywy RODO tj. motyw 46 - przykład gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka.

5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi – również w tym zakresie RODO w motywach (motyw 45) wprowadza pewne reguły interpretacyjne i przykład : „Prawo Unii lub prawo państwa członkowskiego powinno określać także, czy administratorem wykonującym zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powinien być organ publiczny czy inna osoba fizyczna lub prawna podlegająca prawu publicznemu lub prawu prywatnemu, na przykład zrzeszenie zawodowe, jeżeli uzasadnia to interes publiczny, w tym cele zdrowotne, takie jak zdrowie publiczne, ochrona socjalna oraz zarządzanie usługami opieki zdrowotnej”;

6. prawnie uzasadniony interes – do tej przesłanki odnoszą się zwłaszcza motywy 47 i 49, a także motyw 50 (in fine). Jako przykłady należy wskazać zapobieganie oszustwom, przetwarzanie danych osobowych do celów marketingu bezpośredniego, zapewnienia odporności sieci lub systemu informacyjnego, wskazanie przez administratora ewentualnych czynów zabronionych czy zagrożeń dla bezpieczeństwa publicznego oraz przesłanie odpowiednich danych osobowych właściwemu organowi. Nie wykluczam, że przesłanka ta może być wykorzystywana także przez przedsiębiorców przy dochodzeniu roszczeń, zwłaszcza sprzedaży wierzytelności.

 Adwokat Łukasz Witański

www.adwokatwitanski.pl

 

inne wpisy o tematyce RODO :

 http://adwokatwitanski.pl/blog/index.php?controller=post&action=view&id_post=3

http://adwokatwitanski.pl/blog/index.php?controller=post&action=view&id_post=6

http://adwokatwitanski.pl/blog/index.php?controller=post&action=view&id_post=8

 

W prostych słowach o ... RODO

cze 072018

zdjecie rodo

RODO to Rozporządzenie Parlamentu Europejskiego i Rady (UE)*, zawierające 99 artykułów, poprzedzonych 173 uwagami, stosowane bezpośrednio także w Polsce, które reguluje m.in. obowiązki przedsiębiorców przetwarzających dane osobowe osób fizycznych, jednocześnie statuując uprawnienie osób fizycznych wobec przedsiębiorców przetwarzających ich dane osobowe. I tak:

1. RODO chroni dane osobowe osób fizycznych, obowiązki nakłada głównie na przedsiębiorców.
2. RODO wprowadza pojęcie Administratora, administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (art. 4 RODO), administratorem jest więc głównie przedsiębiorca, który zbiera dane i decyduje o tym jak je wykorzystywać (ale także osoba fizyczna, która nie prowadzi działalności też może być administratorem, jeżeli np. danych nie przetwarza tylko na użytek domowy lub osobisty).
3. RODO wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich (art. 99 RODO).
4. RODO wprowadza szeroką definicję danych osobowych (art. 4 RODO) i ich przetwarzania (art. 4 RODO), zatem bezpieczniej przyjąć generalną zasadę, że RODO ma zastosowanie do każdego przedsiębiorcy, czy to spółek czy osób fizycznych, które zbierają od osób fizycznych jakiekolwiek dane osobowe.
5. RODO nie dotyczy więc tylko sklepów internetowych, operatorów telekomunikacyjnych, szpitali i poradni, ale także zwykłych sklepów, które przyjmują np. reklamację, zbierając imię i nazwisko klienta, żeby zawiadomić go o sposobie rozpatrzenia reklamacji; usługobiorców, którzy zbierają dane osobowe potrzebne do wykonania umowy; firm, które wykonują jakiekolwiek usługi w domu klienta, potrzebują zatem jego adresu; przedsiębiorcy zatrudniający chociażby jednego pracownika, czy dysponujący danymi osób świadczących usługi na podstawie umów cywilnoprawnych.
6. Czyli jeżeli jesteś przedsiębiorcą to z bardzo dużym prawdopodobieństwem możesz założyć, że RODO dotyczy także Ciebie.
7. Prowadzisz szkolenia, kursy, treningi i zbierasz dane, zwłaszcza dzieci, a także ich wizerunki- też obowiązuje Cię RODO.
8. Jakie obowiązki nakłada RODO? Przede wszystkim informacyjne – art. 13 RODO i obowiązki zawiązane z zapewnieniem bezpieczeństwa przetwarzania, w tym przechowywania danych – art. 32 RODO, są to typowe obowiązki dla mniejszych przedsiębiorców, większe podmioty, lub podmioty przetwarzające określone kategorie danych mają obowiązków więcej, np. prowadzenie rejestrów czynności przetwarzania, dokonania oceny skutków dla ochrony danych, czy wyznaczenie inspektora ochrony danych.
9. Każdy administrator ma też obowiązek zgłaszania naruszeń organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (art. 33 RODO).


* ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Adwokat Łukasz Witański

 Klauzula informacyjna RODO wzór

Adwokat Katowice - Łukasz Witański strona główna

Atom

Napędza Nibbleblog