Podstawy przetwarzania danych osobowych – obowiązek prawny

Autor: Malgorzata Cwynar pod red. Marcina Soczko — w kategorii Blog — 22 lipca 2024

22

lip
2024

W marcu na naszym blogu opublikowany został artykuł, który rozpoczął serię poświęconą podstawom przetwarzania danych osobowych. Zawierał on ogólne informacje o przesłankach legalizujących przetwarzanie danych osobowych oraz o pierwszej z nich – czyli zgodzie osoby, której dane dotyczą.

W tym miesiącu kontynuujemy cykl, przybliżając kolejną z podstaw przetwarzania danych osobowych, uregulowaną przez prawodawcę unijnego w art. 6 ust. 1 lit. c RODO, związaną z wypełnieniem obowiązku prawnego ciążącego na administratorze.

Po lekturze tej publikacji czytelnik będzie wiedział:

Wypełnienie obowiązku prawnego ciążącego na administratorze jako podstawa przetwarzania danych osobowych

Zgodnie z art. 6 ust. 1 lit. c RODO przetwarzanie danych jest zgodne z prawem, kiedy „jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze”.

Z powyżej przytoczonej treści przepisu wynika, że przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. c RODO jest dopuszczalne pod warunkiem łącznego spełnienia dwóch przesłanek:

1) istnieje przepis prawa, który nakłada na administratora obowiązek prawny,

2) przetwarzanie danych jest niezbędne do realizacji tego obowiązku prawnego.

Przesłanki te legalizują przetwarzanie danych osobowych w przypadku istnienia obowiązku określonego przepisami prawa, którym podlega administrator. Chodzi tu zarówno o przepisy prawa unijnego, jak i krajowego.

Sposób określenia obowiązku w przepisach prawa

Zgodnie z motywem (45) RODO: „Niniejsze rozporządzenie nie nakłada wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne. Wystarczyć może to, że dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator, lub że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej”.

 

Z powyższego wynika, że nie jest konieczne uregulowanie w przepisach prawa każdej operacji wykonywanej na danych osobowych. Wystarczające jest, aby przepisy regulowały konkretny obowiązek prawny ciążący na administratorze, który wymaga dla jego realizacji przetwarzania danych osobowych.

Realizacja uprawnienia określonego w przepisach prawa

Z literalnego brzmienia omawianego przepisu wynika, że może on stanowić przesłankę legalizującą przetwarzanie danych wyłącznie w zakresie wypełnienia obowiązku prawnego. Natomiast nie może on być podstawą przetwarzania danych w zakresie realizacji uprawnienia przewidzianego przepisem prawa, co ogranicza zakres stosowania wskazanej przesłanki. Podstawą przetwarzania danych do realizacji uprawnienia administratora będzie przepis, z którego ono wynika oraz art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes administratora.

 

Przykładem przepisu, który uprawnia (ale nie zobowiązuje) administratora do konkretnego działania jest art. 222 Kodeksu pracy. Przepis ten daje pracodawcy możliwość wprowadzenia monitoringu w miejscu pracy. Wypełniając obowiązek informacyjny (np. w stosunku do pracowników) pracodawca powinien podać jako podstawę przetwarzania art. 6 ust. 1 lit. f RODO w zw. z art. 222 Kodeksu pracy.

 

Pierwszeństwo podstawy przetwarzania z art. 6 ust. 1 lit.c RODO

Według dr Paweł Litwińskiego powołującego się na stanowiska innych przedstawicieli doktryny „jeżeli okoliczności przetwarzania danych osobowych regulowane są bezpośrednio przepisami prawa, podstawę przetwarzania danych osobowych, o której mowa w art. 6 ust. 1 lit. c RODO, należy stosować przed innymi podstawami” (P. Litwiński [w:] Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, 2021).

 

Powyższy pogląd przypisuje przesłance z art. 6 ust. 1 lit. c RODO pierwszeństwo przed innymi podstawami przetwarzania danych uregulowanymi w art. 6 RODO. Przykładem, który dobrze zobrazuje tę zasadę może być przetwarzanie danych osób zgłaszających nieprawidłowości, czyli sygnalistów. W czerwcu uchwalono ustawę o ochronie sygnalistów, która obowiązywać będzie od września br. Do tego czasu wiele organizacji postanowiło już wcześniej dostosować swoje wewnętrzne regulacje, działając w oparciu o Dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Z uwagi na konieczność zaimplementowania dyrektywy do przepisów krajowych i dotychczasowy brak w Polsce odpowiednich regulacji, administratorzy opierali przetwarzanie danych w tym zakresie na prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f RODO). Było to działanie prawidłowe do momentu powstania konkretnych obowiązków prawnych związanych z rejestracją zgłoszeń (zakres gromadzonych danych – w zależności od rejestru – jest określony w art. 29 lub art. 46, a okres ich przechowywania w art. 8 przedmiotowej ustawy). Przetwarzanie danych niezbędnych do realizacji w/w obowiązków powinno być zatem od września oparte na wskazanych przepisach oraz art. 6 ust. 1 lit. c RODO.

 

Podsumowując, dopóki przepisami prawa nie jest nałożony na administratora konkretny obowiązek, to ma on pewną swobodę przy wyborze przesłanki przetwarzania danych osobowych. Natomiast w momencie, gdy taki przepis się pojawi, to wówczas przetwarzanie danych powinno być oparte na nim oraz na art. 6 ust. 1 lit. c RODO.

 

Przepisy prawa nakładające obowiązki na administratorów

W polskim porządku prawnym można znaleźć wiele przepisów nakładających obowiązki na administratorów. Należą do nich m.in.:

 

  1. zbieranie określonego zakresu danych od kandydatów do pracy, wymagane art. 221 ustawy z dnia 26 czerwca 1974 r. kodeks pracy (t.j. Dz. U. z 2023 r. poz. 1465 z późn. zm.),
  2. udostępnianie danych identyfikacyjnych pracownika przez płatnika składek do ZUS, w związku z obowiązkiem zgłoszenia go do ubezpieczeń społecznych, wynikającym z 36 ust. 2 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (t.j. Dz. U. z 2024 r. poz. 497 ze zm.),
  3. przechowywanie przez wskazany okres dokumentów (zawierających dane osobowe, takich jak m.in.: listy płac, karty wynagrodzeń), na podstawie których następuje ustalenie podstawy wymiaru emerytury lub renty, wymagane art. 125a ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (t.j. Dz. U. z 2023 r. poz. 1251 ze zm.).

Podkreślmy raz jeszcze, że art. 6 ust. 1 lit. c RODO samodzielnie nie stanowi podstawy przetwarzania danych. Należy zawsze połączyć go z odpowiednim przepisem prawa, który nakłada na administratora konkretny obowiązek.

Podsumowanie

Przetwarzanie danych osobowych w celu wypełnienia obowiązku prawnego ciążącego na administratorze jest kluczowym elementem zapewnienia zgodności z przepisami prawa. W celu skutecznego oparcia przetwarzania danych na tej przesłance ważne jest, aby administratorzy znali swoje obowiązki określone w przepisach prawa. Kolejnym ważnym aspektem jest odróżnianie obowiązków od uprawnień, ponieważ dane osobowe niezbędne do realizacji tych drugich nie mogą być przetwarzane na podstawie przesłanki omawianej w niniejszym artykule.

Należy pamiętać, że przetwarzanie danych na podstawie art. 6 ust. 1 lit. c RODO może odbywać się wyłącznie w niezbędnym zakresie. Wynika on z celu, w jakim dane są przetwarzane. Okres przetwarzania danych powinien być ograniczony do czasu realizacji określonego celu. Aczkolwiek bardzo często czas ten jest wprost określony w przepisach prawa.

 

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.