iSecure logo
  • pl
  • en
    • Blog

    Jak przetwarzać dane – poradnik (cz. III)

    Maria Lothamer
    Jak przetwarzać dane - poradnik (cz. III)
    Kategorie

    W ostatnich dwóch poradnikach z cyklu „Jak przetwarzać dane” przedstawiliśmy i krótko opisaliśmy Wam dwie z pięciu przesłanek, umożliwiających przetwarzanie danych tzw. „zwykłych” zgodnie z ustawą o ochronie danych osobowych. Jak się zapewne domyślacie, w tej części poradnika przedstawimy Wam kolejną, trzecią już, przesłankę legalizującą przetwarzanie danych (w praktyce ustawodawca w art. 23 ust. 1 pkt. 3 określił na dobrą sprawę dwie sytuacje legalizujące przetwarzanie danych), a mianowicie:

    3. Przetwarzanie danych jest dopuszczalne, gdy jest  to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest  jej stroną lub gdy jest  to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.

    Co to jest: Zastanówmy się nad pierwszą z sytuacji wskazanych przez ustawodawcę tj. dopuszczalnym przetwarzaniu danych, jeżeli jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną. Na przesłankę tę możemy się powołać wyłącznie w obliczu zawartej umowy. Istotnym w kontekście przetwarzania danych w granicach tej przesłanki jest to, że legalizuje ona przetwarzanie wyłącznie danych osobowych stron umowy oraz wskazuje na konieczność ich przetwarzania wyłącznie dla celu wykonaniu umowy. W związku z czym, na tej podstawie nie możemy przetwarzać  danych osób innych niż strony umowy.  Co ciekawe, „umową”, która tu się pojawia jest nie tylko umowa w formie pisemnej zawarta np. z bankiem o udzielenie kredytu, ale również przykładowo regulamin serwisu internetowego. Co oznacza, że użytkownik serwisu akceptując regulamin tego serwisu, powinien liczyć się z możliwością przetwarzania jego danych osobowych, jeżeli jest to konieczne do wykonania postanowień regulaminu, na podstawie którego świadczone są usługi na rzecz tego użytkownika i nie będzie takie przetwarzanie wymagało jego zgody.

    W tym miejscu powinniśmy postawić duży wykrzyknik z uwagą na czele – możemy przetwarzać dane drugiej strony umowy, lecz jedynie w celu wykonania umowy tzn. do każdego innego celu wykraczającego poza konieczność realizacji umowy (tj. np. cele marketingowe) musimy mieć bądź zgodę strony, bądź oparcie w kolejnej innej podstawie prawnej, omawianej już wcześniej w naszym poradniku albo kolejnych wpisach z tego cyklu.

    Natomiast w drugiej sytuacji wskazanej w dyspozycji art. 23 ust. 1 pkt. 3 tj. gdy przetwarzanie jest niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą sprawa wygląda nieco inaczej. Dopuszczalność przetwarzania danych została uzależniona od spełnienia łącznie dwóch warunków:

    1) Przetwarzanie jest niezbędne do podjęcia działań przed zawarciem umowy,

    2) Zawarcie umowy następuje na żądanie osoby, której dane dotyczą.

    Niezbędność przetwarzania danych do podjęcia działań przed zawarciem umowy, zgodnie z poglądem doktryny, może przykładowo obejmować sytuację zawierania umowy o dużym znaczeniu gospodarczym, gdy równocześnie przetwarzane dane dotyczą sytuacji majątkowej podmiotu danych.

    Drugi warunek –  zawarcie umowy następuje na żądanie osoby, której dane dotyczą – stanowi, że do legalnego przetwarzania danych osobowych może dochodzić, gdy to przyszła strona umowy w sposób jednoznaczny wyrazi chęć zawarcia umowy. Ponadto, należy pamiętać, że to osoba, której dane dotyczą powinna wyrazić stanowczą inicjatywę zawarcia umowy(przy czym propozycja taka niekoniecznie musi być ofertą w rozumieniu przepisów kodeksu cywilnego.

    Przykłady użycia:

    • Wszelkie umowy w których jesteśmy stroną, a dla zrealizowania umowy musimy przetwarzać dane drugiej strony.
    • Zawarliśmy umowę kupna-sprzedaży samochodu, wykonujemy umowę, gdy zrealizujemy płatność wskazaną w umowie kupna-sprzedaży, w związku z czym przetwarzamy dane potrzebne do przelewu bankowego – jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest  jej stroną(przy czym pamiętajmy, że z tej przesłanki skorzystać możemy dopiero po zawarciu umowy).
    • biuro usług turystycznych załatwiając w ramach umowy zawartej z klientem formalności związane z zapewnieniem mu przejazdu i zakwaterowania przekazuje jego dane przewoźnikowi, hotelowi i firmie ubezpieczeniowej.
    • Zakupiliśmy ofertę masażu na portalu internetowym (np. Groupon), w związku z czym Groupon przetwarza nasze dane w celu przyjęcia zamówienia.
    • Zawarliśmy telefonicznie umowę zakupu sprzętu audio podając przy tym nasze dane adresowe w celu otrzymywania wysyłki – firma z którą zawarliśmy umowę w celu realizacji umowy przetwarzać będzie nasze dane adresowe.
    • Rejestrujemy się w serwisie świadczącym usługi akceptując przy tym regulamin serwisu -administrator serwisu może przetwarzać nasze dane w celu realizacji regulaminu serwisu.
    • Zamawiamy prenumeratę u wydawcy i podajemy dane do zamówienia – wydawca może przetwarzać nasze dane w celu przyjęcia zamówienia i jego realizacji.
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Olga Skotnicka

    Budowanie RODO świadomości w organizacji – bo pracownik stanowi jeden z kluczowych elementów systemu ochrony danych

    Mimo upływu czasu od wdrożenia RODO, temat świadomości pracowników i współpracowników w każdej organizacji jest tematem nadal interesującym. Pomimo stworzenia części prawno-proceduralnej w organizacji, czyli wdrożenia procedur, dostosowania witryny internetowej, zbudowania rejestrów, obowiązków informacyjnych czy zgód, u osób zarządzających nadal pojawia się niepewność. O szkoleniach i ich rodzajach pisaliśmy już wcześniej tutaj. W dzisiejszym artykule […]

    Czytaj więcej
    Daniel Taberski

    Wniosek o usunięcie danych osobowych z perspektywy branży e-commerce i gamingowej

    „Proszę o niezwłoczne usuniecie wszystkich moich danych osobowych!” Tego typu wiadomości e-mail coraz częściej trafiają na skrzynki e-mail przedsiębiorstw. Z naszych doświadczeń wynika, że ta zmiana dotyczy szczególnie branży e-commerce, czy gamingowej. Jak traktować takie wiadomości? Czy naprawdę musimy usunąć wszystkie dane? Nie stracił na aktualności casus omawiany już w 2018 roku: Klub fitness prowadzi […]

    Czytaj więcej
    Pobieraczek.pl ukarany przez UOKiK
    Damian Bielecki

    Główne cele audytu ochrony danych

    Z powodu coraz częstszych strat finansowych, jak i w szczególności wizerunkowych, działanie w zgodności z RODO i szeroko pojętą ochroną danych osobowych nie jest już traktowane tylko jako niepotrzebny obowiązek, lecz także jako działanie marketingowe, bardzo pożądane wśród kontrahentów lub klientów przedsiębiorstwa. Oprócz wdrażania rozwiązań zgodnych z RODO, przedsiębiorcy coraz częściej starają się posiadać i […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki