Rok 2021 kończymy kolejnym artykułem w ramach serii dotyczącej podstawowych zasad przetwarzania danych osobowych, wymienionych w art. 5 RODO. Jest to szósty i przedostatni odcinek tej serii, którą zakończymy już w przyszłym roku. Czytelnik znajdzie w tekście odpowiedzi na następujące pytania:
Czym jest zasada „ograniczenie celu”?
Zasada „ograniczenie celu”, zwana również zasadą celowości, jest jedną z najważniejszych zasad przetwarzania danych osobowych. Ma ona wpływ na sposób realizacji pozostałych zasad wymienionych w art. 5 RODO, a także zasadniczo oddziałuje na cały proces przetwarzania danych.
Zasada „ograniczenie celu” została określona w art. 5 ust. 1 lit. b RODO i stanowi, że dane osobowe muszą być:
„zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”)”.
Zacytowany powyżej przepis składa się z dwóch części. Pierwsza określa czym jest zasada celowości. Parafrazując przepis można powiedzieć, że aby przetwarzać dane osobowe trzeba mieć ustalony, zgodny z prawem cel.
W drugiej natomiast wskazano sytuacje, gdy dalsze przetwarzanie po zrealizowaniu celów pierwotnych jest dopuszczalne. Tylko dwie zasady, które dalece się ze sobą łączą, tj. „ograniczenie celu” i „ograniczenie przechowywania”, zawierają przy okazji swojej definicji również wskazanie wyjątków od tych generalnych reguł. Kwestię wyjątków poruszymy w dalszej części artykułu.
Jakie obowiązki omawiana zasada nakłada na administratora?
Teraz zajmijmy się zastosowaniem zasady w praktyce. Przepis wskazuje trzy cechy jakie musi spełniać cel, aby można było stwierdzić, że przetwarzanie jest nim ograniczone. I właśnie do takiego zdefiniowania celów przetwarzania zobowiązany jest administrator. Po pierwsze, cel musi być konkretny. Zgodnie ze Słownikiem języka polskiego oznacza to, że musi być realny (a więc nie hipotetyczny) i sprecyzowany (a więc nie może być określony ogólnie). Po drugie, cel musi być wyraźny, co znaczy łatwy do zrozumienia (a zatem nie może być określony w sposób zbyt skomplikowany) i jednoznaczny (czyli nie powinien budzić wątpliwości lub kontrowersji). I wreszcie po trzecie, cel musi być prawnie uzasadniony. Co z kolei oznacza, że cel nie może być sprzeczny z prawem (naruszać przepisów prawa), a w przypadku podmiotów publicznych musi wprost wynikać z przepisów (dowolny przepis prawa międzynarodowego lub krajowego musi zawierać wzmiankę na temat takiej działalności).
Dalsza część sformułowania zasady celowości zabrania przetwarzania danych osobowych w sposób niezgodny z poprawnie określonymi celami i po ich realizacji. A więc zważywszy, że cel to coś do czego się dąży, przetwarzanie nie może być kontynuowane, gdy cel zostanie osiągnięty. Ta kwestia wyraźnie łączy zasadę „ograniczenie celu” z zasadą „ograniczenie przechowywania”, bowiem w obydwu jest mowa o nieprzetwarzaniu dalej, czyli dłużej niż jest to konieczne.
Co istotne, opis zasady celowości wskazuje również, że cel powinien zostać określony jeszcze przed rozpoczęciem przetwarzania danych, ponieważ nie mogą być one zbierane zanim nastąpi zdefiniowanie celu. Wiąże się to z innymi obowiązkami wynikającymi z RODO, o czym będzie mowa w następnej części artykułu.
Podsumowując natomiast obowiązki administratora wynikające wprost z zasady ograniczenia celu można przyjąć następującą kolejność działań: zdefiniowanie celu zgodnie z w/w zasadami, zebranie danych niezbędnych do realizacji celu (o czym dokładniej mówi zasada „minimalizacja danych”), następnie przetwarzanie danych w związku z realizacją celu i na koniec usunięcie danych po osiągnieciu celu.
Nie można więc zbierać danych „na zapas”, na poczet przyszłych, ewentualnych, nieokreślonych celów lub w celach niejasnych, których nie da się wytłumaczyć podmiotom danych.
Jaki zachodzi związek pomiędzy zasadą ograniczenia celu a innymi obowiązkami wynikającymi z RODO?
Kilka powiązań zasady „ograniczenie celu” z innymi zasadami można było wychwycić już w pierwszej części artykułu. Zauważyć można przede wszystkim kluczowy, wręcz nierozerwalny, związek z zasadą „ograniczenie przechowywania”. Podobieństwo zaczyna się już przy nazwach zasad, a następnie obie jako jedyne odnoszą się do art. 89 ust. 1 RODO, dotyczącego zabezpieczeń i wyjątków przy przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych (co zgłębimy w następnej części). Ale najistotniejsze w tym związku jest to, że cel przetwarzania wyznacza okres przechowywania danych. Znając cel, administrator powinien znać również okres retencji danych. Retencja może zaczynać się w momencie zebrania danych lub kończyć w momencie osiągniecia celu, w zależności od jego istoty.
Jest jeszcze drugi związek z inną zasadą z art. 5 – oczywiście chodzi o minimalizację danych. Zakres zbieranych danych, czy – inaczej – ich kategorie, nie mogą zależeć od niczego innego niż prawidłowo zdefiniowany cel przetwarzania.
Kolejny powiązanie zauważamy w relacji z art. 6 RODO, który zawiera warunki zgodności przetwarzania z prawem. Koresponduje to z cechą prawnego uzasadnienia celu. Innymi słowy, jeśli dla danego celu jesteśmy w stanie przypisać jedną z przesłanek przetwarzania określonych w art. 6 i spełnione są wszystkie warunki z nią związane, nasz cel jest zgodny z prawem. W przypadku, gdy do realizacji celu potrzebne jest przetwarzanie szczególnych kategorii danych, konieczne jest jeszcze spełnienie jednego z warunków wymienionych w art. 9 ust. 2 RODO.
Oczywiście można rzec, że z zasadą celowości mają związek wszystkie przepisy Rozdziałów od II do V RODO, ponieważ cel przetwarzania będzie warunkował zarówno przebieg procesu, jak środki ochrony danych osobowych oraz konieczność zastosowania poszczególnych wymagań RODO nałożonych na administratora, tudzież podmiot przetwarzający. Jednakże dwa przepisy związane z uprawnieniami podmiotów danych mają z omawianą zasadą związek szczególny, bowiem mogą wpływać na cel przetwarzania.
Jednym z nich jest prawo do sprzeciwu, określone w art. 21 RODO. Osoba, której dane dotyczą, może w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych opartego na interesie publicznym lub prawnie uzasadnionym interesie administratora. Podmiot danych musi uargumentować sprzeciw swoją szczególną sytuacją, za wyjątkiem wniesienia sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, który jest bezwarunkowy. W pozostałych przypadkach administrator może jeszcze wykazać istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. Wówczas wniosek może zostać odrzucony. Jednakże jeśli argumentacja podmiotu danych będzie istotna, wpłynie to na realizację celu przetwarzania względem tej osoby – właściwie „Administratorowi nie wolno już przetwarzać tych danych osobowych”, jeśli cel opierał się na jednej z tych dwóch w/w przesłanek.
Zaś drugie z tych wyjątkowych uprawnień podmiotu danych jest określone w przepisie art. 18 RODO, dającego osobie, której dane dotyczą prawo do ograniczenia przetwarzania jej danych osobowych. Na mocy tego uprawnienia administrator musi wstrzymać regularne procesy, a więc de facto realizację celu, do czasu weryfikacji prawidłowości danych lub sprawdzenia czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą. W innych przypadkach na wniosek podmiotu danych, administrator będzie musiał przechowywać dane dla realizacji celów tego wnioskodawcy, chociaż prawidłowy cel administratora nie istnieje (przetwarzanie było niezgodne z prawem) lub został już zrealizowany.
Jak widać na powyższych przykładach nie zawsze raz określony cel jest niezmienny do zakończenia przetwarzania danych. Cele przetwarzania mogą zostać ograniczone lub zmienione przez podmiot danych, ale również przez administratora.
Jakie są warunki dalszego przetwarzania bez naruszenia zasady „ograniczenie celu”?
W drugiej części definicji przedmiotowej zasady prawodawca unijny stwierdza, że dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami jeśli spełnione są warunki określone art. 89 ust. 1. Warunki te to przede wszystkim zastosowanie zasady minimalizacji danych lub pseudonimizacja. Z dalszej części tego przepisu można wyczytać, że im dalej będzie posunięta ta minimalizacja lub pseudonimizacja, których najwyższym poziomem będzie wręcz nieodwracalna anonimizacja, to tym lepiej.
Innymi słowy RODO pozwala na realizację dalszego przetwarzania danych w w/w celach po zrealizowaniu głównego celu, o ile podjęte zostaną pewne działania, aby zmniejszyć zakres przetwarzanych danych, oddzielić dane identyfikujące osoby od wykorzystywanych do tych celów lub całkiem zanonimizować wykorzystywane dane. Zatem brak stosownych działań może zostać uznany za naruszenie zasady celowości.
Jakie skutki może pociągać za sobą nieprzestrzeganie zasady „ograniczenie celu”?
Tak jak każde naruszenie przepisów RODO, również złamanie zasady celowości może stać się powodem nałożenia kary przez organ nadzorczy. Nie ulega wątpliwości, że uchybienie przepisom art. 5 RODO zawsze jest sprawą poważną i może się wiązać z nałożeniem administracyjnej kary pieniężnej. Jednakże niedopełnienie zasady „ograniczenie celu” może być uznane za jedno z najpoważniejszych naruszeń przepisów RODO. W przypadku gdyby organ uznał, że cel wskazany przez administratora nie jest konkretny lub uzasadniony, oznaczałoby to, że przetwarzanie odbywało się niezgodnie z prawem. Organ zapewne w takim przypadku zabroni dalszego przetwarzania danych. Ponadto nieuprawnione wykorzystywanie danych osobowych może zostać uznane nawet za przestępstwo, penalizowane zgodnie art. 107 (nowej) ustawy o ochronie danych osobowych:
Art. 107. 1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
W przypadku, gdyby w sposób niedopuszczalny wykorzystywane byłyby dane szczególnych kategorii, maksymalny wymiar kary to trzy lata więzienia.
Podsumowanie
Przetwarzanie danych w zgodzie z zasadą „ograniczenie celu” oznacza de facto przetwarzanie uprawnione. Nie oznacza to jeszcze, że przetwarzanie będzie w pełni zgodne z prawem. Trzeba spełnić wiele innych wymagań określonych w RODO, ale definicja celu będzie te wymagania rozróżniać – obligatoryjne w danym przypadku od nieadekwatnych. Cel będzie wpływał na zakres zbieranych danych i czas ich przetwarzania. W dużej mierze będzie również wyznaczał podstawę przetwarzania, która z kolei wpłynie na zakres uprawnień podmiotów danych. Wreszcie cel określi środki do jego osiągniecia, a więc czynności i narzędzia wykorzystywane do przetwarzania oraz – na podstawie zasady „privacy by design” i wyników analizy ryzyka – odpowiednie środki ochrony. Może się wręcz okazać, na podstawie wyników oceny skutków dla ochrony danych (art. 35 RODO) i konsekwencji z tego wynikających, że administrator powinien zaniechać przetwarzania danych w założonym celu.
Prawidłowe określenie celu będzie więc miało wpływ na całokształt przetwarzania danych osobowych służącego do jego realizacji. Śmiało zatem można powiedzieć, że zasada „ograniczenie celu” ma kluczowe znaczenie z perspektywy wymagań RODO.
Polecamy nasze pozostałe artykuły dotyczące prawidłowej realizacji zasad przetwarzania określonych w art. 5 RODO: