Ta strona korzysta z ciasteczek - więcej
Masz pytania? Zadzwoń: 22 487 86 70 lub +48 510 777 980 lub napisz: biuro@rbdo.pl


Podstawy prawne przetwarzania danych osobowych – obowiązujące

Rodzaje podstaw prawnych w oparciu o które możliwe jest przetwarzanie danych osobowych „ZWYKŁYCH”

Ustawa o ochronie danych osobowych, w art. 23 ust. 1 przewiduje pięć głównych podstaw prawnych – są one od siebie odrębne i niezależne, wystarczy spełnienie przynajmniej jednej z nich:

  • zgoda na przetwarzanie danych osobowych – zgodnie z art. 23 ust. 1 pkt 1 uodo, istnieje możliwość przetwarzania danych osobowych w oparciu o wyrażona zgodę na przetwarzanie danych osobowych. Zgoda na przetwarzanie danych osobowych może zostać wyrażona w dowolnej formie, o ile chodzi o dane osobowe „zwykłe”, (w przypadku danych osobowych „wrażliwych” zgoda musi być udzielona na piśmie, zgodnie z art. 27 ust. 2 pkt 1 uodo. Zgodnie z art. 7 pkt 5 uodo, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści – dlatego zawsze musi wiązać się z konkretną czynnością oznaczającą wyrażenie konkretnego oświadczenia woli (np. odhaczenie „checkboxa”, wysłanie maila lub choćby „kliknięcie” w określony link).

  • niezbędność dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (zgodnie z art. 23 ust. 1 pkt 2 uodo)– w praktyce często zgoda pozyskiwana jest bez potrzeby np. w przypadku prowadzenia rekrutacji powszechnie wymagane jest zawarcie np. na cv klauzuli „wyrażam zgodę na przetwarzanie podanych w aplikacji danych osobowych w celu przeprowadzenia procesu rekrutacyjnego przez……..” jest to błąd, ponieważ jeżeli rekrutacja jest prowadzona na konkretne stanowisko, podstawę prawną stanowi art. 22[1] kodeksu pracy zawierający katalog informacji, jakie pracodawca może żądać od osób ubiegających się o zatrudnienie – jest to więc przykład na przetwarzanie danych osobowych w oparciu o niezbędność dla zrealizowania uprawnienia wynikającego z konkretnego przepisu prawa (art. 22[1] kodeksu pracy). Przy prowadzeniu rekrutacji zgoda może być wykorzystywana, ale wyłącznie jeżeli będzie ona dobrowolna tzn. osoba rekrutowana może wyrazić zgodę na pozostawienie swoich danych osobowych w celu wykorzystania w przyszłych procedurach rekrutacyjnych, ale jeżeli ktoś sobie tego nie życzy, nie musi takiej zgody wyrażać i wtedy jego dane należy usunąć po zakończeniu konkretnego procesu rekrutacyjnego.
  • Jeżeli rekrutacja odbywa się w celu nawiązania współpracy nie na podstawie umowy o pracę, a na podstawie umowy cywilnoprawnej (np. zlecenia lub o dzieło) to podstawę prawną stanowi:
    • konieczność do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą – w większości przypadków, na tej podstawie prawnej odbywa się przetwarzanie danych osobowych klientów (dokonując zakupu produktu lub usługi zawierają umowę i w związku z tym sprzedający może przetwarzać ich dane osobowe w zakresie koniecznym do realizacji tej umowy)

    Odrębną podstawę prawna przetwarzania danych osobowych stanowi:

    • niezbędność do wykonania określonych prawem zadań realizowanych dla dobra publicznego – natomiast ta podstawa prawna występuje w praktyce bardzo rzadko (art. 23 ust. 1 pkt 4)Jako ostatnią z pięciu podstaw pranych przetwarzania danych osobowych „zwykłych” ustawa o ochronie danych wymienia:
      • niezbędność dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 uodo) – przy czym przepis ten należy rozpatrywać łącznie z art. 23 ust. 4 pkt 1 i 2, które stanowią, że za prawnie usprawiedliwiony cel, uważa się w szczególności:

      1)marketing bezpośredni własnych produktów lub usług administratora danych;

      2)dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

      Dotyczy to sytuacji w których np. przedsiębiorca prowadzący sklep internetowy dokonuje sprzedaży własnego produktu swojemu klientowi i już po dokonaniu sprzedaży chce wykorzystać jego dane osobowe w celu „bezpośredniego marketingu własnego produktu”  – nie trzeba w takim celu pozyskiwać zgody klienta, ale  konieczne jest poinformowanie go o takim celu wykorzystania jego danych osobowych (osoba której dane będą prztwarzane może wtedy złożyć sprzeciw co do takiego wykorzystania jej danych osobowych). Należy też pamiętać o tym, że brak zgody na gruncie ustawy o ochronie danych osobowych nie oznacza braku obowiązku pozyskiwania zgody wymaganej prze inne ustawy np. na wykorzystanie adresu poczty elektronicznej w celu wysyłania informacji handlowej (o ile chodzi o konkretną osobę fizyczną).

    • Przetwarzanie danych osobowych   w celu prowadzenia  „marketingu bezpośredniego własnych produktów lub  usług” dotyczy sytuacji w których np. przedsiębiorca prowadzący sklep internetowy dokonuje sprzedaży własnego produktu swojemu klientowi i już po dokonaniu sprzedaży chce wykorzystać jego dane osobowe w celu „bezpośredniego marketingu własnego produktu”  – nie trzeba w takim celu pozyskiwać zgody klienta, ale  konieczne jest poinformowanie go o takim celu wykorzystania jego danych osobowych (klient może w takiej sytuacji złożyć sprzeciw do takiego wykorzystania jego danych osobowych).

      PODSTAWY PRAWNE PZETWARZANIA DANYCH OSOBOWYCH „WRAŻLIWYCH”

      W odróżnieniu od danych osobowych „zwykłych”, w stosunku do danych osobowych „wrażliwych” (czyli tych, które zostały wymienione w art. 27 ust. 1 uodo – np. dane o stanie zdrowia) została wprowadzona zasada, że ich przetwarzanie jest zabronione, chyba że jest dopuszczalne przez którąkolwiek z przesłanek określonych w art. 27 ust. 2 uodo, np. jest to dopuszczalne, gdy  jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie (art. 27 ust. 2 pkt 6 uodo).

      Jest to  także dopuszczalne, jeżeli przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych (art. 27 ust. 2 pkt 7 uodo).

      Należy pamiętać, że o ile  w przypadku danych osobowych „zwykłych” zgoda może być wyrażona w dowolny sposób, to jeżeli chodzi o dane wrażliwe (jeżeli przetwarzanie ma odbywać się w oparciu o zgodę a nie np. dwie wyżej wymienione podstawy prawne) zgoda musi być wyrażona w formie pisemnej.

      Wszelkie prawa zastrzeżone. RBDO 2017

      Zakaz rozpowszechniania materiału w jakiejkolwiek wersji papierowej i elektronicznej bez pozwolenia RBDO.


Więcej informacji

Kontakt

Pon.-pt.: 9:00 - 17:00

Dział Sprzedaży: zapytanie@rbdo.pl

Dział Prawny: faq@rbdo

Telefon: 222-905-320

Szkolenia Certyfikowane