Dane osobowe, coraz częściej traktowane jako specyficzna waluta przynależna każdemu człowiekowi, podlega niezbędnym zasadom ich przetwarzania, które stanowią jedne z najważniejszych zagadnień zarówno obecnie funkcjonujących przepisów, jak i RODO, wchodzącego w życie już za kilka miesięcy. Art. 5 ust.1 lit. a RODO stanowi, że — Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”) […]
Nie bez powodu w katalogu tychże zasad na pierwszym miejscu wskazany jest obowiązek przetwarzania danych osobowych zgodnie z prawem (zasada legalizmu). Zgodnie z prawem, czyli z poszanowaniem nakazów i zakazów, które ustawodawca umieścił w treści aktów normatywnych (ustawy, rozporządzenia wykonawcze) przede wszystkim regulujących zagadnienie danych osobowych. Jeżeli zasada legalizmu jest zachowana to nie musimy się martwić losem naszych danych osobowych. Niemniej, przetwarzanie danych osobowych bez odpowiedniej podstawy lub w sposób sprzeczny z prawem czy też w celu jego obejścia, rodzi konkretne konsekwencje, zarówno po stronie administratora danych, jak osoby, które dane informacje dotyczą.
Zasada legalizmu jest nierozerwalnie skorelowana z art. 6, precyzyjne wskazującym szereg przesłanek, z których przynajmniej jedna musi zostać spełniona, aby dane przetwarzanie było zgodne z prawem. I tak kolejno przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy:
Zgodnie z RODO zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. W tym kontekście ta przesłanka wydaję się zdecydowanie podstawowa i może być najczęstszym sposobem formalnego zalegalizowania przetwarzania danych. Niemniej wyrażenie zgody odniesie skutek w postaci nadania przetwarzaniu danych przymiotu legalności, tylko kiedy wyczerpie wskazane jej cechy. Mianowicie, wyrażona zgoda będzie dobrowolna (m.in., niezależna od wykonania umowy, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy), konkretna, świadoma i jednoznaczna (oparta na znajomości tożsamości administratora oraz zamierzonych celów przetwarzania danych osobowych).
Przesłanką legalizującą jest także okoliczność, która siłą rzeczy wymusza na administratorze danych określone przetwarzanie informacji celem niezbędnego wykonania umowy. Oczywiście dotyczy to sytuacji, kiedy jedną ze stron tejże umowy jest osoba, której dane dotyczą. Ten przypadek wydaje się oczywisty i nie powinien budzić większych wątpliwości. Trudno sobie wyobrazić, aby w codziennej praktyce gospodarczej, przedsiębiorca był ograniczany w swojej działalności innymi przesłankami, zmierzającej przecież do realizacji określonego celu uznanego zarówno przez niego, jak i przez kontrahenta będącego podmiotem właściwych danych osobowych. Należy pamiętać, że zgodnie z literalnym brzmieniem tego przepisu omawiana przesłanka może być zastosowana dopiero po zawarciu umowy. Źródłem uznania danego przetwarzana za legalne może być również, żądanie osoby, której dane dotyczą do podjęcia wskazanych działań już przed zawarciem umowy. Trzeba podkreślić, że w oby sytuacjach podstawą do uznania przetwarzana ze legalne, jest wyraźna lub dorozumiana (wnikająca z zawartej umowy) zgoda osoby, której danej podlegają przetwarzaniu.
Wskazana przesłanka jako jedna z dwóch wiąże się bezpośrednio z porządkiem krajowym poszczególnych państw. Otóż legalizacja przetwarzania danych może wynikać z konieczności wypełnienia obowiązku prawnego ciążącego na administratorze. Wskazany obowiązek prawny niejednokrotnie będzie wynikał z właściwej podstawy prawnej lub aktu prawnego, który zgodnie z RODO niekoniecznie będzie wymagał przyjęcia aktu prawnego przez parlament, z zastrzeżeniem wymogów wynikających z porządku konstytucyjnego danego państwa członkowskiego. Ów obowiązek prawny rozumiany jako nakaz lub zakaz określonego zachowania, skierowany do adresata normy prawnej (administratora danych), w każdym przypadku przewidzianym przez prawo będzie tym samym stanowił o zgodności z prawem przetwarzania danych., Oczywiście przedmiotowe przetwarzane musi być niezbędne, a więc takie, bez którego nie można w warunkach normy doprowadzić do wypełnienia tego obowiązku.
Zastosowanie tej przesłanki legalności należy traktować jako jedyną w danych okoliczność możliwość ochrony żywotnych interesów wskazanych osób, której nie da się oprzeć na innej podstawie prawnej. Dodatkowo przetwarzanie na tej podstawie musi być niezbędne, niedające się zastąpić inną okolicznością bez uszczerbku na efektywności tejże ochrony. Żywotne interesy należy traktować jako klauzulę generalną, pod którą kryją się dobra posiadające większą niż przeciętnie wartość, podlegające dodatkowej ochronie. RODO jako przykład uznaje sytuacje, kiedy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka.
Przetwarzanie danych usprawiedliwione koniecznością wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, stanowi podstawę nadania mu przymiotu legalizmu, które na mocy RODO powinno stanowić prawo Unii lub prawo państwa członkowskiego. To właśnie szczegółowe rozwiązania normatywne muszą stanowić podstawę operacji przetwarzania z zakresu realizacji interesu publicznego lub sprawowania władzy publicznej za pośrednictwem administratora. W tym znaczeniu najważniejsze jest wskazanie w rozporządzeniu, że Prawo Unii lub prawo państwa członkowskiego powinno określać także, czy administratorem wykonującym zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powinien być organ publiczny czy inna osoba fizyczna lub prawna podlegająca prawu publicznemu lub prawu prywatnemu, na przykład zrzeszenie zawodowe, jeżeli uzasadnia to interes publiczny, w tym cele zdrowotne, takie jak zdrowie publiczne, ochrona socjalna oraz zarządzanie usługami opieki zdrowotnej.
Co niezwykle istotne, RODO formułuje powyższe przypadki w katalog zamknięty, stanowiąc o niemożliwości, co do zasady, jego poszerzania o nowe przesłanki. Kategoryczne podkreślenie, że przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden ze wskazanych warunków, pociąga za sobą wyraźnie wzmocnienie podmiotowości i praw osób, których dane są przetwarzane.
Piotr Gutowski dla IT Law Solutions
Polecamy także pozostałe wpisy z cyklu, w którym omawiamy zasady przetwarzania danych osobowych: