RODO w katalogu zasad dotyczących przetwarzania danych osobowych wyraźnie zaznacza zagadnienie celu w jakim wszelkie dane osobowe mogą być przetwarzane. Art. 5 ust.1 lit. b RODO stanowi, że — Dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”) […]. Takie brzmienie przepisu jest oczywistym ograniczeniem dowolności zamiaru w jakim dane osobowe mogą być zbierane i przetwarzane.
Otóż cel w jakim odpowiedni podmiot zbiera nasze dane osobowe, musi być przede wszystkim konkretny i wyraźny. Jeżeli konkretny to realnie istniejący i precyzyjnie określony, jeżeli wyraźny to dodatkowo dający się łatwo i jednoznacznie zrozumieć. W ten sposób ograniczenia zakresu swobody administratorów danych, daje jasny sygnał wszystkim zaangażowanym stronom, że gromadzenie danych nie będzie tak bezrefleksyjne jak dotychczas i musi zostać ograniczone do celów, które najbardziej zainteresowani, czyli posiadacze praw do swoich danych osobowych będą mogli jednoznacznie zrozumieć.
Co więcej, wskazany cel musi być prawnie uzasadniony, tj. oparty na obiektywnie dających się usprawiedliwić racjach. Najprościej rzecz ujmując cel musi być legalny. Przykładowo, administrator danych, który zebrał odpowiednie informacje w ramach prowadzonego procesu rekrutacji, nie może tak zdobytych danych wykorzystywać w ramach promocji swoich produktów. Czynności czysto marketingowe wymagają bowiem wyraźniej zgody podmiotu danych.
Co niezwykle istotne, dane osobowe nie mogą być przetwarzane dalej w sposób niezgodny z ustalonymi celami. A to oznacza, że wszyscy administratorzy danych, którzy przetwarzają określone kategorie informacji muszę przestrzegać ustalonych pierwotnie celów dla jakich zostały zebrane, już od chwili pierwszego wyrażenia zgody przez podmiot danych. Tym samym należy wskazać, że gromadzenie i przetwarzanie danych osobowych w ramach ogólnie zarysowanych celów, których przeciętny odbiorca nie posiadający odpowiedniego zasobu wiedzy, nie będzie mógł z łatwością zrozumieć, stanowią naruszenie prawa. Dotyczy to rzecz jasna wszystkich podmiotów przetwarzających dane zasoby informacji, zaczynając od administratora, który pierwotne je zebrał, kończąc na wszystkich pozostałych, którym zostały one udostępnione. Również w tym przypadku forma pisemna wcale nie jest konieczna, a wręcz przeciwnie. Inne sposoby odpowiednio jednoznacznego przedstawienia celu w zupełności wypełnią obowiązki wynikające RODO, z przystępną formą graficzną na czele.
Zasada ograniczenia celu sprowadza się jednak przede wszystkim do obligatoryjności wskazywania celu przetwarzania danych w ogóle. Przepisy nie przewidują możliwości dokonywania jakichkolwiek czynności na danych osobowych bez wcześniejszego zapoznania właścicieli tychże danych z celem, jaki administrator ma zamiar w ten sposób osiągnąć. Co nie jest takie oczywiste, właściwa informacja o celach przetwarzania musi być podana przez rozpoczęciem gromadzenia danych.
Jeżeli chodzi o cele w jakich mogą być przetwarzane dane osobowe, to nie istnieje żaden katalog, który je określa. W zasadzie dopuszczalne są wszystkie intencje administratorów zgodne z prawem, z czego najpopularniejsze to, m.in. zgoda na:
RODO w art.5 wymienia ponadto literalnie przykłady działań, które z mocy prawa nie stanowią naruszenia pierwotnego celu przetwarzania, i są to kolejno — dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych. Ponadto art.89 stanowi, że powyższe czynności muszą podlegać odpowiednim zabezpieczeniom dla praw i wolności osoby, której dane dotyczą. Zabezpieczenia te określono jako wdrożenie środków technicznych i organizacyjnych zapewniających poszanowanie zasady minimalizacji danych. Jest to o tyle ważne, ze względu na to, że poszczególne państwa członkowskie będą miały prawo doprecyzowania wskazanych przepisów dopuszczając nawet ograniczenie tak podstawowych praw podmiotu danych jak: prawo dostępu przysługujące osobie, której dane dotyczą; prawo do sprostowania danych; prawo do ograniczenia przetwarzania oraz prawo do sprzeciwu. A w przypadku przetwarzania danych osobowych do celów archiwalnych w interesie publicznym, dopuszczalne będzie także ograniczenie obowiązku powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania oraz prawo do przenoszenia danych.
Piotr Gutowski dla IT Law Solutions
Polecamy także pozostałe wpisy z cyklu, w których omawiamy zasady przetwarzania danych osobowych: