W marcu na naszym blogu opublikowany został artykuł, który rozpoczął serię poświęconą podstawom przetwarzania danych osobowych. Zawierał on ogólne informacje o przesłankach legalizujących przetwarzanie danych osobowych oraz o pierwszej z nich – czyli zgodzie osoby, której dane dotyczą.
W tym miesiącu kontynuujemy cykl, przybliżając kolejną z podstaw przetwarzania danych osobowych, uregulowaną przez prawodawcę unijnego w art. 6 ust. 1 lit. c RODO, związaną z wypełnieniem obowiązku prawnego ciążącego na administratorze.
Po lekturze tej publikacji czytelnik będzie wiedział:
- W jakich przypadkach przetwarzanie danych można oprzeć na wypełnieniu obowiązku prawnego ciążącego na administratorze
- W jaki sposób obowiązek prawny powinien być określony w przepisach prawa
- Na jakiej przesłance z art. 6 ust. 1 RODO należy oprzeć realizację uprawnienia określonego w przepisach prawa
- Czy podstawa przetwarzania z art. 6 ust. 1 lit. c RODO ma pierwszeństwo przed innymi przesłankami
- Jakie przykładowe przepisy nakładają na administratora obowiązki wymagające przetwarzania danych osobowych
Wypełnienie obowiązku prawnego ciążącego na administratorze jako podstawa przetwarzania danych osobowych
Zgodnie z art. 6 ust. 1 lit. c RODO przetwarzanie danych jest zgodne z prawem, kiedy „jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze”.
Z powyżej przytoczonej treści przepisu wynika, że przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. c RODO jest dopuszczalne pod warunkiem łącznego spełnienia dwóch przesłanek:
1) istnieje przepis prawa, który nakłada na administratora obowiązek prawny,
2) przetwarzanie danych jest niezbędne do realizacji tego obowiązku prawnego.
Przesłanki te legalizują przetwarzanie danych osobowych w przypadku istnienia obowiązku określonego przepisami prawa, którym podlega administrator. Chodzi tu zarówno o przepisy prawa unijnego, jak i krajowego.
Sposób określenia obowiązku w przepisach prawa
Zgodnie z motywem (45) RODO: „Niniejsze rozporządzenie nie nakłada wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne. Wystarczyć może to, że dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator, lub że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej”.
Z powyższego wynika, że nie jest konieczne uregulowanie w przepisach prawa każdej operacji wykonywanej na danych osobowych. Wystarczające jest, aby przepisy regulowały konkretny obowiązek prawny ciążący na administratorze, który wymaga dla jego realizacji przetwarzania danych osobowych.
Realizacja uprawnienia określonego w przepisach prawa
Z literalnego brzmienia omawianego przepisu wynika, że może on stanowić przesłankę legalizującą przetwarzanie danych wyłącznie w zakresie wypełnienia obowiązku prawnego. Natomiast nie może on być podstawą przetwarzania danych w zakresie realizacji uprawnienia przewidzianego przepisem prawa, co ogranicza zakres stosowania wskazanej przesłanki. Podstawą przetwarzania danych do realizacji uprawnienia administratora będzie przepis, z którego ono wynika oraz art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes administratora.
Przykładem przepisu, który uprawnia (ale nie zobowiązuje) administratora do konkretnego działania jest art. 222 Kodeksu pracy. Przepis ten daje pracodawcy możliwość wprowadzenia monitoringu w miejscu pracy. Wypełniając obowiązek informacyjny (np. w stosunku do pracowników) pracodawca powinien podać jako podstawę przetwarzania art. 6 ust. 1 lit. f RODO w zw. z art. 222 Kodeksu pracy.
Pierwszeństwo podstawy przetwarzania z art. 6 ust. 1 lit.c RODO
Według dr Paweł Litwińskiego powołującego się na stanowiska innych przedstawicieli doktryny „jeżeli okoliczności przetwarzania danych osobowych regulowane są bezpośrednio przepisami prawa, podstawę przetwarzania danych osobowych, o której mowa w art. 6 ust. 1 lit. c RODO, należy stosować przed innymi podstawami” (P. Litwiński [w:] Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, 2021).
Powyższy pogląd przypisuje przesłance z art. 6 ust. 1 lit. c RODO pierwszeństwo przed innymi podstawami przetwarzania danych uregulowanymi w art. 6 RODO. Przykładem, który dobrze zobrazuje tę zasadę może być przetwarzanie danych osób zgłaszających nieprawidłowości, czyli sygnalistów. W czerwcu uchwalono ustawę o ochronie sygnalistów, która obowiązywać będzie od września br. Do tego czasu wiele organizacji postanowiło już wcześniej dostosować swoje wewnętrzne regulacje, działając w oparciu o Dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Z uwagi na konieczność zaimplementowania dyrektywy do przepisów krajowych i dotychczasowy brak w Polsce odpowiednich regulacji, administratorzy opierali przetwarzanie danych w tym zakresie na prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f RODO). Było to działanie prawidłowe do momentu powstania konkretnych obowiązków prawnych związanych z rejestracją zgłoszeń (zakres gromadzonych danych – w zależności od rejestru – jest określony w art. 29 lub art. 46, a okres ich przechowywania w art. 8 przedmiotowej ustawy). Przetwarzanie danych niezbędnych do realizacji w/w obowiązków powinno być zatem od września oparte na wskazanych przepisach oraz art. 6 ust. 1 lit. c RODO.
Podsumowując, dopóki przepisami prawa nie jest nałożony na administratora konkretny obowiązek, to ma on pewną swobodę przy wyborze przesłanki przetwarzania danych osobowych. Natomiast w momencie, gdy taki przepis się pojawi, to wówczas przetwarzanie danych powinno być oparte na nim oraz na art. 6 ust. 1 lit. c RODO.
Przepisy prawa nakładające obowiązki na administratorów
W polskim porządku prawnym można znaleźć wiele przepisów nakładających obowiązki na administratorów. Należą do nich m.in.:
- zbieranie określonego zakresu danych od kandydatów do pracy, wymagane art. 221 ustawy z dnia 26 czerwca 1974 r. kodeks pracy (t.j. Dz. U. z 2023 r. poz. 1465 z późn. zm.),
- udostępnianie danych identyfikacyjnych pracownika przez płatnika składek do ZUS, w związku z obowiązkiem zgłoszenia go do ubezpieczeń społecznych, wynikającym z 36 ust. 2 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (t.j. Dz. U. z 2024 r. poz. 497 ze zm.),
- przechowywanie przez wskazany okres dokumentów (zawierających dane osobowe, takich jak m.in.: listy płac, karty wynagrodzeń), na podstawie których następuje ustalenie podstawy wymiaru emerytury lub renty, wymagane art. 125a ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (t.j. Dz. U. z 2023 r. poz. 1251 ze zm.).
Podkreślmy raz jeszcze, że art. 6 ust. 1 lit. c RODO samodzielnie nie stanowi podstawy przetwarzania danych. Należy zawsze połączyć go z odpowiednim przepisem prawa, który nakłada na administratora konkretny obowiązek.
Podsumowanie
Przetwarzanie danych osobowych w celu wypełnienia obowiązku prawnego ciążącego na administratorze jest kluczowym elementem zapewnienia zgodności z przepisami prawa. W celu skutecznego oparcia przetwarzania danych na tej przesłance ważne jest, aby administratorzy znali swoje obowiązki określone w przepisach prawa. Kolejnym ważnym aspektem jest odróżnianie obowiązków od uprawnień, ponieważ dane osobowe niezbędne do realizacji tych drugich nie mogą być przetwarzane na podstawie przesłanki omawianej w niniejszym artykule.
Należy pamiętać, że przetwarzanie danych na podstawie art. 6 ust. 1 lit. c RODO może odbywać się wyłącznie w niezbędnym zakresie. Wynika on z celu, w jakim dane są przetwarzane. Okres przetwarzania danych powinien być ograniczony do czasu realizacji określonego celu. Aczkolwiek bardzo często czas ten jest wprost określony w przepisach prawa.