W jakich przypadkach można przetwarzać dane?

Odpowiedź

Twoja firma/organizacja może przetwarzać dane tylko w następujących okolicznościach:

• za zgodą osób, których dane dotyczą,
• jeżeli istnieje zobowiązanie umowne (umowa między Twoją firmą/organizacją a klientem),
• w celu spełnienia wymogów prawnych (określonych w przepisach unijnych bądź krajowych),
• jeżeli przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym (określonym w ustawodawstwie unijnym bądź krajowym),
• w celu ochrony żywotnych interesów danej osoby,
• dla celów wynikających z prawnie uzasadnionych interesów Twojej organizacji, ale dopiero po weryfikacji, że nie będzie to miało poważnych skutków dla podstawowych praw i wolności osoby, której dane dotyczą. Jeśli prawa przysługujące osobie, której dane dotyczą, są nadrzędne wobec Twoich interesów, nie możesz przetwarzać danych, powołując się na prawnie uzasadnione interesy firmy. Ocena tego, czy prawnie uzasadnione interesy Twojej firmy/organizacji dotyczące przetwarzania danych są nadrzędne wobec interesów osób, których dotyczą, zależy od indywidualnych okoliczności danej sprawy.

Przykłady

Zgoda
Twoja firma/organizacja oferuje aplikację muzyczną i w związku z tym prosi o zgodę na przetwarzanie informacji na temat muzycznych preferencji różnych osób, aby móc proponować im wybrane specjalnie dla nich utwory oraz koncerty.

Zobowiązania umowne
Twoja firma/organizacja sprzedaje towary za pośrednictwem internetu. Może przetwarzać dane, które są niezbędne do podjęcia czynności w związku z zapytaniem osoby zainteresowanej, przed zawarciem umowy i w celu wykonania umowy. W tym celu możesz przetwarzać takie dane jak imię i nazwisko, adres dostawy, numer karty kredytowej (w przypadku płatności kartą) itd.

Wymogi prawne
Jesteś właścicielem firmy zatrudniającej pracowników. W celu uzyskania ubezpieczenia społecznego prawo wymaga przekazania do właściwego organu określonych danych osobowych (np. kwoty miesięcznego wynagrodzenia Twoich pracowników).

Interes publiczny
Przykład: stowarzyszenia zawodowe, takie jak izba adwokacka lub izba lekarska, posiadające oficjalne uprawnienia, mogą przeprowadzać postępowania dyscyplinarne wobec niektórych swoich członków.

Żywotne interesy jednostki
W szpitalu leczony jest pacjent po poważnym wypadku drogowym; szpital nie potrzebuje jego zgody na wykorzystanie danych z jego dowodu tożsamości, aby sprawdzić, czy w bazie danych szpitala znajduje się jego wcześniejsza dokumentacja medyczna, lub skontaktować się z jego rodziną.

Prawnie uzasadniony interes Twojej organizacji
Twoja firma/organizacja zapewnia swoje bezpieczeństwo sieciowe, monitorując korzystanie z urządzeń IT przez swoich pracowników. Twoja firma/organizacja może w tym celu zgodnie z prawem przetwarzać dane osobowe, ale tylko wtedy, gdy wybrano metodę o najmniejszym stopniu ingerencji w prywatność Twoich pracowników i ich prawa ochrony danych, na przykład poprzez ograniczenie dostępności określonych stron internetowych. (Należy pamiętać, że nie jest to możliwe w państwach członkowskich UE, w których prawo przewiduje surowsze przepisy dotyczące przetwarzania danych w związku z zatrudnieniem).

Odnośniki

• art. 6 oraz motywy 40–49 RODO
• Grupa Robocza Art. 29: Opinia 06/2014 w sprawie pojęcia uzasadnionych interesów administratora danych zawartego w art. 7 dyrektywy 95/46/WE

Consent

Your company/organisation offers a music app and ask for citizens’ consent to process their musical preferences in order to suggest tailored songs and possible concerts to them. 

Contractual obligation
Your company/organisation sell goods online. It can process data that is necessary to take steps at the request of the individual prior to entering into the contract and for the performance of the contract. So you can process the name, delivery address, credit card number (if payment by card), etc.

Legal obligation
You own a company with employees. In order to obtain social security cover, the law obliges you to provide personal data (for example weekly income of your employees) to the relevant authority.

Public interest
Example: a professional association such as a bar association or a chamber of medical professionals vested with an official authority to do so may carry out disciplinary procedures against some of their members.

Vital interests of a person
A hospital is treating a patient after a serious road accident; the hospital doesn't need his consent to search for his ID to check whether that person exists in the hospital's database to find previous medical history or to contact his next of kin.

Your organisation’s legitimate interests
Your company/organisation ensures its network security by monitoring the use of its employees’ IT devices. Your company/organisation may legitimately process personal data for that purpose, only if the least intrusive method is chosen as regards the privacy and data protection rights of your employees, for example, by limiting the accessibility of certain websites. (Note that this can’t be done in EU Member States where national law sets out stricter rules for processing in the employment context).

• Article 6 and Recitals (40) to (49) of the GDPR
• Article 29 Working Party Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/E