W tym miesiącu kontynuujemy serię poświęconą podstawom przetwarzania danych osobowych, które zostały uregulowane przez prawodawcę unijnego w art. 6 RODO. Tym razem zostanie omówiona sytuacja, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze.
CHARAKTER OBOWIĄZKU PRAWNEGO JAKO PODSTAWY PRZETWARZANIA DANYCH
Podstawę przetwarzania danych osobowych związaną z wypełnieniem obowiązku prawnego reguluje art. 6 ust. 1 lit. c RODO, zgodnie z którym przetwarzanie danych jest legalne, jeżeli „jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze”. W praktyce oznacza to, że administrator może oprzeć przetwarzanie danych na tej przesłance wyłącznie wtedy, gdy konkretny przepis prawa nakłada na niego określony obowiązek, a jego realizacja wymaga przetwarzania danych osobowych. Konieczne jest więc jednoczesne spełnienie dwóch warunków. Po pierwsze, obowiązek musi wynikać z przepisów prawa krajowego lub unijnego. Po drugie, przetwarzanie danych musi być niezbędne do jego wykonania.
Nie oznacza to jednak, że prawo musi szczegółowo regulować każdą operację wykonywaną na danych osobowych. Jak wskazano w motywie 45 RODO „Niniejsze rozporządzenie nie nakłada wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne.” Wystarczające jest, aby przepisy ustanawiały określony obowiązek, którego realizacja wymaga przetwarzania danych. Przykładowo art. 36 ust. 2 ustawy o systemie ubezpieczeń społecznych zobowiązuje pracodawcę do zgłoszenia pracownika do ubezpieczeń społecznych. Choć nie zawarto w nim sentencji o przetwarzaniu danych osobowych, wykonanie obowiązku nie byłoby możliwe bez zebrania danych pracownika i przekazania ich do ZUS na właściwym formularzu.
OBOWIĄZEK A UPRAWNIENIE
W praktyce bardzo istotne znaczenie ma odróżnienie obowiązku prawnego od uprawnienia przyznanego administratorowi. Przesłanka z art. 6 ust. 1 lit. c RODO znajduje zastosowanie wyłącznie wtedy, gdy administrator jest zobowiązany do określonego działania przez przepisy prawa. Nie może ona natomiast stanowić podstawy przetwarzania danych w sytuacji, gdy przepisy jedynie dopuszczają możliwość podjęcia określonych działań, pozostawiając decyzję w tym zakresie administratorowi. Jeżeli przepis przyznaje administratorowi określone uprawnienie, ale nie nakłada obowiązku jego realizacji, konieczne jest zastosowanie innej podstawy przetwarzania danych osobowych. W takich przypadkach najczęściej zastosowanie znajduje prawnie uzasadniony interes administratora, o którym mowa w art. 6 ust. 1 lit. f RODO.
Różnica ta jest widoczna w brzmieniu przepisów. Obowiązek prawny najczęściej wyrażany jest za pomocą sformułowań takich jak „jest obowiązany”, „ma obowiązek”, „przekazuje”, „zgłasza” czy „prowadzi”. Z kolei uprawnienia administratora są zwykle formułowane przy użyciu zwrotów „może”, „jest uprawniony” lub „ma prawo”.
PIERWSZEŃSTWO OBOWIĄZKU PRAWNEGO
Jeżeli konieczność przetwarzania danych wynika bezpośrednio z przepisów prawa, administrator powinien w pierwszej kolejności oprzeć je na art. 6 ust. 1 lit. c RODO. Oznacza to, że jeżeli ustawodawca nałożył konkretny obowiązek związany z przetwarzaniem danych, administrator nie powinien poszukiwać innych podstaw prawnych, takich jak zgoda czy prawnie uzasadniony interes. Przetwarzanie powinno być wówczas oparte na art. 6 ust. 1 lit. c RODO oraz właściwym przepisie prawa.
Przykładem mogą być obowiązki wynikające z przepisów dotyczących ochrony sygnalistów. Dopóki nie istniały szczegółowe regulacje krajowe, organizacje często opierały przetwarzanie danych sygnalistów na prawnie uzasadnionym interesie. W momencie wejścia w życie przepisów nakładających na część podmiotów konkretne obowiązki związane z prowadzeniem rejestrów zgłoszeń oraz przechowywaniem danych, właściwą podstawą przetwarzania stał się obowiązek prawny.
PRZYKŁADY OBOWIĄZKÓW WYNIKAJĄCYCH Z PRZEPISÓW PRAWA
W polskim porządku prawnym jest wiele przepisów nakładających na administratorów obowiązki, których realizacja wymaga przetwarzania danych osobowych. Kolejnym przykładem jest art. 22¹ Kodeksu pracy, który określa zakres danych osobowych, jakich pracodawca może żądać od osoby ubiegającej się o zatrudnienie.
Przepisy prawa nakładają również na administratorów obowiązki związane z przechowywaniem dokumentacji zawierającej dane osobowe. Przykładowo art. 125a ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych zobowiązuje do przechowywania dokumentów stanowiących podstawę ustalenia prawa do świadczeń emerytalnych i rentowych przez okres wskazany w tym przepisie.
We wszystkich opisanych przypadkach przetwarzanie danych osobowych nie jest wynikiem swobodnej decyzji administratora, lecz konsekwencją obowiązków nałożonych przez ustawodawcę. Właśnie dlatego właściwą podstawą przetwarzania danych jest w takich sytuacjach art. 6 ust. 1 lit. c RODO w powiązaniu z odpowiednim przepisem prawa nakładającym konkretny obowiązek.
PODSUMOWANIE
Należy pamiętać, że sam art. 6 ust. 1 lit. c RODO nie stanowi samodzielnej podstawy przetwarzania danych. Zawsze powinien być powiązany z konkretnym przepisem prawa nakładającym określony obowiązek. To właśnie ten przepis wyznacza cel przetwarzania, a niejednokrotnie również zakres danych oraz okres ich przechowywania.
Zainteresowani pogłębioną analizą tematu, więcej informacji mogą znaleźć w tym artykule.