iSecure logo
  • pl
  • en
    • Blog

    Jak przetwarzać dane – poradnik (cz. III)

    Maria Lothamer
    Jak przetwarzać dane - poradnik (cz. III)
    Kategorie

    W ostatnich dwóch poradnikach z cyklu „Jak przetwarzać dane” przedstawiliśmy i krótko opisaliśmy Wam dwie z pięciu przesłanek, umożliwiających przetwarzanie danych tzw. „zwykłych” zgodnie z ustawą o ochronie danych osobowych. Jak się zapewne domyślacie, w tej części poradnika przedstawimy Wam kolejną, trzecią już, przesłankę legalizującą przetwarzanie danych (w praktyce ustawodawca w art. 23 ust. 1 pkt. 3 określił na dobrą sprawę dwie sytuacje legalizujące przetwarzanie danych), a mianowicie:

    3. Przetwarzanie danych jest dopuszczalne, gdy jest  to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest  jej stroną lub gdy jest  to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.

    Co to jest: Zastanówmy się nad pierwszą z sytuacji wskazanych przez ustawodawcę tj. dopuszczalnym przetwarzaniu danych, jeżeli jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną. Na przesłankę tę możemy się powołać wyłącznie w obliczu zawartej umowy. Istotnym w kontekście przetwarzania danych w granicach tej przesłanki jest to, że legalizuje ona przetwarzanie wyłącznie danych osobowych stron umowy oraz wskazuje na konieczność ich przetwarzania wyłącznie dla celu wykonaniu umowy. W związku z czym, na tej podstawie nie możemy przetwarzać  danych osób innych niż strony umowy.  Co ciekawe, „umową”, która tu się pojawia jest nie tylko umowa w formie pisemnej zawarta np. z bankiem o udzielenie kredytu, ale również przykładowo regulamin serwisu internetowego. Co oznacza, że użytkownik serwisu akceptując regulamin tego serwisu, powinien liczyć się z możliwością przetwarzania jego danych osobowych, jeżeli jest to konieczne do wykonania postanowień regulaminu, na podstawie którego świadczone są usługi na rzecz tego użytkownika i nie będzie takie przetwarzanie wymagało jego zgody.

    W tym miejscu powinniśmy postawić duży wykrzyknik z uwagą na czele – możemy przetwarzać dane drugiej strony umowy, lecz jedynie w celu wykonania umowy tzn. do każdego innego celu wykraczającego poza konieczność realizacji umowy (tj. np. cele marketingowe) musimy mieć bądź zgodę strony, bądź oparcie w kolejnej innej podstawie prawnej, omawianej już wcześniej w naszym poradniku albo kolejnych wpisach z tego cyklu.

    Natomiast w drugiej sytuacji wskazanej w dyspozycji art. 23 ust. 1 pkt. 3 tj. gdy przetwarzanie jest niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą sprawa wygląda nieco inaczej. Dopuszczalność przetwarzania danych została uzależniona od spełnienia łącznie dwóch warunków:

    1) Przetwarzanie jest niezbędne do podjęcia działań przed zawarciem umowy,

    2) Zawarcie umowy następuje na żądanie osoby, której dane dotyczą.

    Niezbędność przetwarzania danych do podjęcia działań przed zawarciem umowy, zgodnie z poglądem doktryny, może przykładowo obejmować sytuację zawierania umowy o dużym znaczeniu gospodarczym, gdy równocześnie przetwarzane dane dotyczą sytuacji majątkowej podmiotu danych.

    Drugi warunek –  zawarcie umowy następuje na żądanie osoby, której dane dotyczą – stanowi, że do legalnego przetwarzania danych osobowych może dochodzić, gdy to przyszła strona umowy w sposób jednoznaczny wyrazi chęć zawarcia umowy. Ponadto, należy pamiętać, że to osoba, której dane dotyczą powinna wyrazić stanowczą inicjatywę zawarcia umowy(przy czym propozycja taka niekoniecznie musi być ofertą w rozumieniu przepisów kodeksu cywilnego.

    Przykłady użycia:

    • Wszelkie umowy w których jesteśmy stroną, a dla zrealizowania umowy musimy przetwarzać dane drugiej strony.
    • Zawarliśmy umowę kupna-sprzedaży samochodu, wykonujemy umowę, gdy zrealizujemy płatność wskazaną w umowie kupna-sprzedaży, w związku z czym przetwarzamy dane potrzebne do przelewu bankowego – jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest  jej stroną(przy czym pamiętajmy, że z tej przesłanki skorzystać możemy dopiero po zawarciu umowy).
    • biuro usług turystycznych załatwiając w ramach umowy zawartej z klientem formalności związane z zapewnieniem mu przejazdu i zakwaterowania przekazuje jego dane przewoźnikowi, hotelowi i firmie ubezpieczeniowej.
    • Zakupiliśmy ofertę masażu na portalu internetowym (np. Groupon), w związku z czym Groupon przetwarza nasze dane w celu przyjęcia zamówienia.
    • Zawarliśmy telefonicznie umowę zakupu sprzętu audio podając przy tym nasze dane adresowe w celu otrzymywania wysyłki – firma z którą zawarliśmy umowę w celu realizacji umowy przetwarzać będzie nasze dane adresowe.
    • Rejestrujemy się w serwisie świadczącym usługi akceptując przy tym regulamin serwisu -administrator serwisu może przetwarzać nasze dane w celu realizacji regulaminu serwisu.
    • Zamawiamy prenumeratę u wydawcy i podajemy dane do zamówienia – wydawca może przetwarzać nasze dane w celu przyjęcia zamówienia i jego realizacji.
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Olga Skotnicka

    Rekordowa kara PUODO dla administratora – a kontrola podmiotu przetwarzającego

    Czy korzystasz z usług podmiotów przetwarzających? Czy przykładasz szczególną wagę do odpowiedniej weryfikacji procesorów przed powierzeniem im danych osobowych do przetwarzania? A może zlecasz kontrolę prawidłowości przetwarzania danych w trakcie współpracy? 19 stycznia br. Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO) wydał decyzję w sprawie niewdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. […]

    Czytaj więcej
    Zmiany w ustawie od 7 marca 2011r.
    Piotr Miśkiewicz

    Autonomiczne podporządkowanie Inspektora Ochrony Danych

    Administrator danych osobowych, a więc podmiot, który ustala cele oraz sposoby przetwarzania danych osobowych ma obowiązek wyznaczenia Inspektora Ochrony Danych zasadniczo w trzech sytuacjach: kiedy przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; gdy główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, […]

    Czytaj więcej
    Michał Sztąberek

    Ocena naruszenia przy błędnie wysłanym PIT – case study

    Czas wysyłania PIT-11 do pracowników to szczególnie gorący okres dla inspektorów ochrony danych. Przesyłek jest mnóstwo, nic zatem dziwnego, że niektóre z nich trafiają do niewłaściwych osób. A to potencjalnie oznacza naruszenie ochrony danych osobowych, które należy przeanalizować pod kątem naruszenia praw i wolności osoby, która została takim incydentem objęta. Z pomocą przychodzi nam na […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki