W jednym z poprzednich artykułów poruszyliśmy kwestię podziału danych osobowych na zwykłe i wrażliwe. Z poniższego artykułu dowiesz się, kiedy przetwarzanie danych osobowych zwykłych jest dozwolone.
Podstawy przetwarzania danych osobowych zwykłych zostały wskazane w art. 6 ust. 1 RODO. W świetle tego przepisu przedsiębiorca ma prawo przetwarzać dane osobowe jeśli wystąpi co najmniej jedna z poniższych sytuacji (podstawa przetwarzania):
- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Co istotne, powyższe podstawy przetwarzania są od siebie niezależne i wystarczy, że wystąpi tylko jedna z nich. W związku z tym może dojść do sytuacji, że pomimo braku zgody od osoby fizycznej na przetwarzanie danych, które jej dotyczą , przedsiębiorca będzie uprawniony do ich przetwarzania, np. gdy jest to niezbędne do wykonania umowy z tą osobą.
OPT- in a OPT- out
W doktrynie prawa funkcjonują dwa modele dopuszczalności przetwarzania danych osobowych. Model OPT – in zakłada, że osoba fizyczna musi najpierw podjąć jakąś aktywność, celem wyrażenia zgody na przetwarzanie jej danych. Natomiast założeniem leżącym u podstaw modelu OPT-out, jest przyzwolenie na przetwarzanie danych do momentu sprzeciwu osoby fizycznej, której dane dotyczą. Oznacza to, że zgodnie z konstrukcją OPT – out, można przetwarzać dane osoby fizycznej do momentu wyrażenia przez nią sprzeciwu wobec czynności przetwarzania. Niewątpliwie RODO wprowadziło model OPT-in, ponieważ jeśli dane mają być przetwarzane w oparciu o zgodę, to musi być ona udzielona uprzednio.
Zgoda osoby na przetwarzanie jej danych osobowych
Jeśli podstawą przetwarzania jest zgoda osoby fizycznej to należy pamiętać o tym, że RODO wprowadziło definicję takiego oświadczenia w art. 4 pkt 11 RODO. W świetle powołanego przepisu zgoda na przetwarzanie danych osobowych to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Ponadto zgoda taka powinna zawierać jasno określony cel (może być jeden lub kilka) i zakres przetwarzania oraz podmiot na którego rzecz zgoda jest udzielana. Co do formy udzielenia zgody wskazać należy, że może ona być udzielona właściwie dowolnej formie np. pisemnej lub elektronicznej, a także w sposób dorozumiany. Jednak zalecamy udzielanie takiej zgody w sposób, który umożliwi utrwalenie jej treści i tym samym udowodnienie udzielenia tej zgody przez przetwarzającego.