W poprzednim artykule z naszego cyklu „Jak przetwarzać dane” omówiliśmy prawdopodobnie najpopularniejszą podstawę prawną, tj. zgodę, o której mowa w art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych. Jak pamiętacie, cały art. 23 ust. 1 dotyczy możliwych podstaw do przetwarzania danych osobowych „zwykłych”. Dzisiaj chcemy się z Wami podzielić wyjaśnieniem kolejnej przesłanki.
2. Przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Druga przesłanka legalizująca przetwarzanie danych to przepis obowiązującego powszechnie prawa, który traktowałby o uprawnieniu lub obowiązku administratora danych do ich przetwarzania. Pamiętajmy, że „przetwarzanie” to zarówno wgląd, zbieranie, jak i przechowywanie, udostępnianie oraz inne formy operacji na danych osobowych.
Co to jest: Oparcie się na omawianej podstawie prawnej wymaga spełnienia łącznie dwóch warunków. Po pierwsze, administrator danych musi wykazać, że istnieje przepis prawa, który daje mu uprawnienie lub obowiązek do przetwarzania danych. Po drugie, do realizacji potwierdzonego w przepisach obowiązku lub uprawnienia przetwarzanie danych jest niezbędne.
W jakich sytuacjach: Bez wątpienia, jeżeli znajdziemy przepis, który wprost nakłada obowiązek lub uprawnienie do przetwarzania danych, np. wprost dotyczy uprawnienia do ich zebrania czy obowiązku przechowania, to w zakresie, o jakim mowa w tym przepisie przetwarzanie danych jest dopuszczalne. Co ciekawe, może być jednak taka sytuacja, kiedy z przepisu nie wynika wprost potrzeba pracy na danych, lecz zadanie, kompetencja, których realizacja wymaga przetwarzania danych. W tym przypadku oczywiście należy postawić sobie pytanie: „Czy to zadanie (obowiązek, uprawnienie), można wykonać bez pracy z danymi osobowymi?”. Jeżeli odpowiedź na takie pytanie brzmi „nie”, to spełniamy kryterium niezbędności i tym samym stosujemy omawianą podstawę prawną, jako właściwą.
Pamiętajmy, że ta przesłanka jest, tak samo jak i zgoda, i każda inna dostępna podstawa z ustawy o ochronie danych osobowych, niezależna od swoich „towarzyszek” z art. 23 ust. 1. W praktyce wystarczy więc wykazanie, że spełniamy wyżej omówione warunki i proszenie podmiotu danych o zgodę nie musi, a nawet nie powinno mieć miejsca. W orzecznictwie i doktrynie utrwalił się pogląd, że występowanie o zgodę w przypadkach, kiedy nie jest ona podstawą prawną przetwarzania danych nie jest właściwe, ponieważ budzi mylne przekonanie, iż oświadczenie woli faktycznie uzależnia dopuszczalność przetwarzania danych (a tak przecież nie jest). Powstrzymajmy się zatem od mnożenia klauzul zgód w tych miejscach, kiedy nie jest to konieczne.
Przykłady użycia (stan prawny na 18.07.2016):
- Obszar kadrowo-płacowy jest bardzo wdzięczny, jeżeli chodzi o powołanie omawianej podstawy prawnej:
– wypełniamy kwestionariusze osobowe, oświadczenia i inne niezbędne dokumenty do prowadzenia dokumentacji pracowniczej (np. art. 221 Kodeksu pracy, Rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28.05.1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika)
– zgłaszamy osoby uprawnione do ZUS (art. 36 ustawy o systemie ubezpieczeń społecznych)
– rozliczamy się z Urzędem Skarbowym, wysyłamy deklaracje PIT (przepisy ustawy o podatku dochodowych od osób fizycznych)
– przechowujemy listy płac (przez okres 50 lat od dnia zakończenia przez ubezpieczonego pracy, art. 125a ust. 4 ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych)
- Zbieramy dane do wystawienia faktury, mamy wgląd do danych i konieczne jest dalsze ich przetwarzanie na wystawionej na naszą rzecz fakturze (art. 106e ustawy o podatku od towarów i usług)
- Przechowujemy dokumenty księgowe, rachunkowe (np. art. 74 ust. 1 ustawy o rachunkowości)
- Przechowujemy dane w celu archiwizacji ze względu na ustawowe terminy dotyczące przedawnienia roszczeń (art. 117 i nast. Kodeksu cywilnego)
- Udostępniamy dane osobowe, jako właściciel lub posiadacz pojazdu właściwym organom (np. Policja, Straż Miejska), na żądanie dotyczące wskazania osoby, której pojazd powierzono do kierowania lub używania (art. 78 ust. 4 ustawy Prawo o ruchu drogowym)
- W procedurze udzielania zamówień w oparciu o ustawę Prawo zamówień publicznych, zbieramy dane wykonawcy, jako zamawiający (art. 25 ustawy Prawo zamówień publicznych, Rozporządzenie Prezesa Rady Ministrów z dnia 19 lutego 2013 r. w sprawie rodzajów dokumentów, jakich może żądać zamawiający od wykonawcy, oraz form, w jakich te dokumenty mogą być składane)
- Zbieramy dane osobowe pacjentów do dokumentacji medycznej (art. 25 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta)
- Jako podmiot udzielający świadczeń zdrowotnych udostępniamy dokumentację medyczną (art. 26 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta)
- Udostępniamy dane osobowe jako bank (art. 105 Prawa bankowego)
- Gromadzimy, przechowujemy, czy udostępniamy dane osobowe studentów jako uczelnia (przepisy ustawy Prawo o szkolnictwie wyższym)