Zgoda udzielona przez osobę jest autonomiczną i wystarczającą podstawą prawną do przetwarzania danych osobowych. Warto jednak zwrócić uwagę, że zbieranie zgody podmiotu danych nie jest zawsze koniecznością, bowiem przepisy RODO wskazują także inne warunki, których spełnienie legalizuje proces przetwarzania danych. Art. 6 RODO zawierają katalog sześciu przesłanek, które mogą stać się legalną podstawą przetwarzania danych osobowych. Należy pamiętać, że mają one charakter niezależny, co oznacza, że wystarczy spełnienie tylko jednej z nich, by proces przetwarzania był zgodny z prawem.
Zgoda jako podstawa prawna
Wspomniana w tytule zgoda podmiotu danych jest bardzo często występującą podstawą procesu przetwarzania. Art. 4 RODO określa zgodę jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, w którym osoba, której dane dotyczą. Zgoda może być wyrażona w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwolenie na przetwarzanie dotyczących jej danych osobowych pisemnej, elektronicznej lub ustnej. Zgoda może być zatem udzielona m.in. za pomocą: checkboxa, ustnego oświadczenia, jednoznacznego działania, podpisu pod klauzulą lub przyjęcia odpowiednich ustawień przeglądarki.
Formularz zgody nie może zawierać skomplikowanych, niejasnych sformułowań, musi zostać także wyodrębniony z innych dokumentów, aby osoba wyrażająca zgodę nie miała wątpliwości, że właśnie udziela jakiemuś podmiotowi zezwolenia na przetwarzanie danych osobowych. Oświadczenie o wyrażaniu zgody może zostać uznane za świadome tylko wtedy, gdy podmiot danych posiada informacje przynajmniej o celu przetwarzania danych oraz tożsamości podmiotu, któremu swoje dane udostępnia. By spełniona została przesłanka dobrowolności, osoba, której dane dotyczą, musi mieć możliwość rzeczywistego i wolnego wyboru, a więc odmowa lub wycofanie zgody nie mogą wiązać się z negatywnymi konsekwencjami.
Zgoda nie będzie stanowiła podstawy prawnej przetwarzania danych osobowych w sytuacjach, gdy:
- występuje wyraźna nierównowaga między ADO a osobą, której dane dotyczą; w szczególności dotyczy to stosunków na linii obywatel – organ publiczny;
- nie można udzielić zgody na różne czynności z zakresu przetwarzania danych z osobna;
- od udzielenia zgody uzależnione jest wykonanie umowy.
Więcej na temat zgody na przetwarzanie danych dowiesz się z artykułu „Kiedy zgoda na przetwarzanie danych jest ważna?„.
Jakie inne przesłanki wymienia art. 6 RODO?
Oprócz wspomnianej wcześniej zgody osoby uprawnionej, rozporządzenie za legalne uznaje przetwarzanie danych w sytuacjach, gdy:
- jest ono niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- jest ono niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
- jest ono niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- jest ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.
Wykonanie umowy
Proces przetwarzania danych jest zgodny z prawem, jeżeli jest on związany z zawarciem umowy lub wykonaniem czynności, które zmierzają do zawarcia umowy. Oznacza to, że dokonanie czynności przed zawarciem umowy, które podejmowane są na żądanie osoby, której dane dotyczą, nie wymaga uzyskiwania dodatkowej zgody od tej osoby.
Obowiązek prawny
Przetwarzanie danych jest uznawane za legalne, jeżeli ono konieczne do spełnienia obowiązku prawnego ciążącego na administratorze. W tej sytuacji podstawą prawną są przepisy prawa UE lub państwa członkowskiego (np. polskie przepisy).
RODO nie wymaga, żeby dla każdej czynności wchodzącej w zakres procesu przetwarzania istniała szczegółowa podstawa prawna. Obowiązek prawny, któremu podlega administrator, może być podstawą różnych działań związanych z przetwarzaniem danych. Ponadto źródłem obowiązku mogą być nie tylko ustawy, ale także akty prawa miejscowego.
Ochrona żywotnych interesów
Proces przetwarzania jest zgodny z art. 6 RODO także w sytuacji, gdy jest on niezbędny do ochrony interesu mającego istotne znaczenie dla osoby, której dane dotyczą lub innej osoby fizycznej. Przesłanka ta może być podstawą przetwarzania tylko wtedy, gdy przetwarzanie danych osobowych jest wymagane do ratowania życia lub zdrowia osób.
Realizacja interesu publicznego
W sytuacji, gdy przetwarzanie danych jest niezbędne do wykonania zadania realizowanego w interesie publicznym, proces ten legalizowany jest przez prawo UE lub państwa członkowskiego. Rozporządzenie nie wymaga, by do każdego procesu przetwarzania istniała oddzielna podstawa prawna. Niemniej prawo to powinno określać, kto będzie administratorem tych danych oraz jaki interes publiczny jest w tym przypadku realizowany.
Prawnie uzasadniony interes administratora
Przesłanka ta ma miejsce w sytuacji, gdy istnieją odpowiednie powiązania między osobą, której dane dotyczą, a administratorem danych (np.: osoba ta jest klientem administratora lub z nim współpracuje). Występuje ona także wtedy, gdy przetwarzanie danych jest niezbędne do zapobiegania oszustwom, np. zastosowanie monitoringu. Za taki interes można również uznać przetwarzanie danych w ramach marketingu bezpośredniego. Przesłanka ta nie ma jednak zastosowania do działalności organów publicznych w zakresie wykonywania przez nich zadań ustawowych, dla których podstawę prawną przetwarzania danych powinien określić ustawodawca.
Podsumowanie
Reasumując, zgoda osoby uprawnionej nie jest jedyną przesłanką przetwarzania danych osobowych. Art. 6 RODO wymienia także zestaw innych warunków, które mogą stać się podstawą prawną przetwarzania. Warto pamiętać, że jest to katalog niezależny od siebie, w związku z czym spełnienie jednej przesłanki jest wystarczające do tego, by działanie było zgodne z prawem. Od tych przesłanek należy odróżnić przetwarzanie danych szczególnych kategorii (czyli danych wrażliwych, określonych w art. 9 RODO). Do tej kategorii danych będziemy stosować również inne podstawy prawne niż w przypadku danych osobowych zwykłych.