Podstawy przetwarzania RODO
Podstawy przetwarzania danych zwykłych:
Umowa
gdy przetwarzanie jest niezbędne do wykonania umowy albo do jej zawarcia, przy czym osoba, której przetwarzane dotyczą jest strona umowy.
Nie można na podstawie tej przesłanki przetwarzać tzw. osoby trzeciej (uposażonej), nie będącej stroną umowy.
Ponadto przetwarzanie danych musi być niezbędne do realizacji umowy – realizacji praw i obowiązków wynikających z umowy bądź przepisów, uzupełniających jej treść.
Podstawa ta wyłącza możliwość realizacji prawa do przeniesienia lub usunięcia danych.
Obowiązek prawny
stanowi podstawę przetwarzania danych osobowych jedynie w połączeniu z odpowiednim obowiązującym przepisem prawa, wynikającym z prawa krajowego lub unijnego. Adresatem obowiązku jest tutaj administrator.
Podstawa ta (wraz z celem) musi być określona w prawie członkowskim, któremu podlega administrator lub w prawie unijnym. Podstawa ta wyłącza możliwość realizacji prawa do przeniesienia lub usunięcia danych.
Prawnie uzasadnione cele
(np. marketing bezpośredni produktów własnych, przekazywanie danych w ramach grupy kapitałowej, zapewnienie bezpieczeństwa itp.) – cele wynikające z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią, a interesy, podstawowe prawa i wolności, które wymagają ochrony danych osobowych podmiotów danych, nie będą miały charakteru nadrzędnego, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Podstawa ta nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań
Władza publiczna/ interes publiczny
powołać na tę podstawę można się wtedy, kiedy przetwarzanie określonych danych jest niezbędne.
Podstawa ta (wskazująca, że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi) musi być określona w prawie członkowskim, któremu podlega administrator lub w prawie unijnym. Przy tej podstawie nie jest możliwa realizacji prawa do przeniesienia lub usunięcia danych
Ochrona żywotnych interesów
osoby fizycznej, której dane dotyczą lub osoby trzeciej (zdrowia, życia, interesów majątkowych) – interesów, mających znaczenie dla życia podmiotu danych lub innej osoby fizycznej, jak cele humanitarne, monitorowanie epidemii, klęski żywiołowe i katastrofy spowodowane przez człowieka, przy czym istotne jest, aby osoba nie miała możliwości wyrażenia zgody na przetwarzanie jej danych osobowych.
Podstawy przetwarzania danych szczególnych kategorii (wrażliwych)
Zabrania się przetwarzania danych osobowych, ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby, chyba że istnieje co najmniej jedna z podanych poniżej podstaw przetwarzania:
Obowiązki z zakresu prawa pracy, zabezpieczenia społecznego i ochrony socjalnej
realizacja praw i obowiązków w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej.
Ochrona żywotnych interesów osoby
interesów, mających znaczenie dla życia podmiotu danych lub innej osoby fizycznej, jak cele humanitarne, monitorowanie epidemii, klęski żywiołowe i katastrofy spowodowane przez człowieka, przy czym istotne jest aby osoba nie miała możliwości wyrażenia zgody na przetwarzanie jej danych osobowych.
Działalność polityczno-światopoglądowa
wykonywanie działalności w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą.
Upublicznienie danych
przez podmiot danych (w sposób oczywisty upubliczniony).
Roszczenia i wymiar sprawiedliwości
ustalenie, dochodzenie lub obrona roszczeń oraz sprawowania wymiaru sprawiedliwości przez sądy.
Ważny interes publiczny
na podstawie prawa UE lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
Profilaktyka zdrowotna, medycyna pracy, zabezpieczenie społeczne, leczenie
realizacja celów profilaktyki zdrowotnej lub medycyny pracy, oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia.
Dane osobowe mogą być przetwarzane tych celów, jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa unijnego lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa unijnego lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.
Interes publiczny w dziedzinie zdrowia publicznego
np. ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa UE lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową.
Cele archiwalne w interesie publicznym lub cele naukowe, historyczne, statystyczne na podstawie prawa krajowego lub UE
realizacja celów archiwalnych w interesie publicznym, celów badań naukowych lub historycznych lub celów statystycznych na podstawie prawa krajowego lub UE, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
Zgoda
wyraźna (ta podstawa może wystąpić tylko, jeśli nie ma żadnej innej podstawy przetwarzania danych).
Przetwarzanie w innym celu
Jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane – bierze pod uwagę między innymi:
- wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;
- kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;
- charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie podstawami przetwarzania danych szczególnych kategorii lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych zgodnie z podstawami przetwarzania wyroków skazujących;
- ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;
- istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.
Pozostałe podstawy przetwarzania
Wyroki skazujące – przetwarzanie danych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa jest dopuszczalne wyłącznie pod nadzorem władz publicznych lub jeśli jest to dozwolone prawem unijnym lub krajowym przewidującym odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą.
Brak potrzeby identyfikacji – jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do RODO.