Jeszcze raz o podstawach przetwarzania danych

RODO przewiduje kilka podstaw do przetwarzania danych osobowych. Choć na pierwszym miejscu jest wyrażenie przez osobę zainteresowaną zgody, to przesłanka ta nie jest ani najważniejsza, ani jedyna. 

Zgodnie z przepisem art. 6 RODO przetwarzać dane osobowe (zgodnie z prawem) można, jeśli:

• osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
• przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
• przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;
• przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
• przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Rezerwacja to zawarcie umowy

Umowy, regulowane przepisami kodeksu cywilnego, mogą być zawierane w każdy, prawem dozwolony sposób – pisemnie, elektronicznie, a nawet w sposób dorozumiany (tj. jeśli z okoliczności wynika treść umowy, jaką strony chciały zawrzeć, a także wola zawarcia umowy). Należy więc uznać, że rezerwacja jest formą zawarcia umowy (instytucja zobowiązuje się dokonać rezerwacji/zapisu – na określonych warunkach; zamawiający zobowiązuje się do zapłaty).

Korzystniejszym będzie uznanie, że podstawą prawną do przetwarzania danych – w opisanym przypadku – jest wykonanie umowy. Oczywiście jeśli administrator będzie wyrażał wolę, może odbierać zgody na przetwarzanie danych osobowych i tę przesłankę uznać za właściwą. Nie jest to jednak sytuacja rekomendowana z kilku powodów – po pierwsze z konieczności „rozliczalności”  należy bowiem pamiętać, że administrator powinien taką zgodę wykazać i tym samym archiwizować takie zgody, po drugie z obowiązków administratora wobec oświadczenia o cofnięciu zgody.

Nie zapominamy o innych obowiązkach administratora

Niezależnie od podstawy prawnej instytucja jako Administrator zgromadzonych danych, zobowiązana jest do ich ochrony i wypełnienia obowiązków wynikających z rozporządzenia. Należy mieć tu szczególnie na względzie obowiązek informacyjny płynący z art. 13 RODO, jak również konieczność poinformowania osób, których dane dotyczą o szeregu praw, które im przysługują. Administrator ma również obowiązek rejestrowania czynności przetwarzania danych osobowych, dokonania oceny skutków dla ochrony danych osobowych, czy zapewnienia bezpieczeństwa przetwarzania danych osobowych.

Sprawdź praktyczne rozwiązania dotyczące ochrony danych osobowych na stronie https://www.poradyodo.pl/branze-dobre-praktyki-16

Podstawa prawna

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 6, art. 1, art. 32.

Autor: Adw. dr Monika Brzozowska-Pasieka