iSecure logo
  • pl
  • en
    • Blog

    Jak przetwarzać dane – poradnik (cz. III)

    Maria Lothamer
    Jak przetwarzać dane - poradnik (cz. III)
    Kategorie

    W ostatnich dwóch poradnikach z cyklu „Jak przetwarzać dane” przedstawiliśmy i krótko opisaliśmy Wam dwie z pięciu przesłanek, umożliwiających przetwarzanie danych tzw. „zwykłych” zgodnie z ustawą o ochronie danych osobowych. Jak się zapewne domyślacie, w tej części poradnika przedstawimy Wam kolejną, trzecią już, przesłankę legalizującą przetwarzanie danych (w praktyce ustawodawca w art. 23 ust. 1 pkt. 3 określił na dobrą sprawę dwie sytuacje legalizujące przetwarzanie danych), a mianowicie:

    3. Przetwarzanie danych jest dopuszczalne, gdy jest  to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest  jej stroną lub gdy jest  to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.

    Co to jest: Zastanówmy się nad pierwszą z sytuacji wskazanych przez ustawodawcę tj. dopuszczalnym przetwarzaniu danych, jeżeli jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną. Na przesłankę tę możemy się powołać wyłącznie w obliczu zawartej umowy. Istotnym w kontekście przetwarzania danych w granicach tej przesłanki jest to, że legalizuje ona przetwarzanie wyłącznie danych osobowych stron umowy oraz wskazuje na konieczność ich przetwarzania wyłącznie dla celu wykonaniu umowy. W związku z czym, na tej podstawie nie możemy przetwarzać  danych osób innych niż strony umowy.  Co ciekawe, „umową”, która tu się pojawia jest nie tylko umowa w formie pisemnej zawarta np. z bankiem o udzielenie kredytu, ale również przykładowo regulamin serwisu internetowego. Co oznacza, że użytkownik serwisu akceptując regulamin tego serwisu, powinien liczyć się z możliwością przetwarzania jego danych osobowych, jeżeli jest to konieczne do wykonania postanowień regulaminu, na podstawie którego świadczone są usługi na rzecz tego użytkownika i nie będzie takie przetwarzanie wymagało jego zgody.

    W tym miejscu powinniśmy postawić duży wykrzyknik z uwagą na czele – możemy przetwarzać dane drugiej strony umowy, lecz jedynie w celu wykonania umowy tzn. do każdego innego celu wykraczającego poza konieczność realizacji umowy (tj. np. cele marketingowe) musimy mieć bądź zgodę strony, bądź oparcie w kolejnej innej podstawie prawnej, omawianej już wcześniej w naszym poradniku albo kolejnych wpisach z tego cyklu.

    Natomiast w drugiej sytuacji wskazanej w dyspozycji art. 23 ust. 1 pkt. 3 tj. gdy przetwarzanie jest niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą sprawa wygląda nieco inaczej. Dopuszczalność przetwarzania danych została uzależniona od spełnienia łącznie dwóch warunków:

    1) Przetwarzanie jest niezbędne do podjęcia działań przed zawarciem umowy,

    2) Zawarcie umowy następuje na żądanie osoby, której dane dotyczą.

    Niezbędność przetwarzania danych do podjęcia działań przed zawarciem umowy, zgodnie z poglądem doktryny, może przykładowo obejmować sytuację zawierania umowy o dużym znaczeniu gospodarczym, gdy równocześnie przetwarzane dane dotyczą sytuacji majątkowej podmiotu danych.

    Drugi warunek –  zawarcie umowy następuje na żądanie osoby, której dane dotyczą – stanowi, że do legalnego przetwarzania danych osobowych może dochodzić, gdy to przyszła strona umowy w sposób jednoznaczny wyrazi chęć zawarcia umowy. Ponadto, należy pamiętać, że to osoba, której dane dotyczą powinna wyrazić stanowczą inicjatywę zawarcia umowy(przy czym propozycja taka niekoniecznie musi być ofertą w rozumieniu przepisów kodeksu cywilnego.

    Przykłady użycia:

    • Wszelkie umowy w których jesteśmy stroną, a dla zrealizowania umowy musimy przetwarzać dane drugiej strony.
    • Zawarliśmy umowę kupna-sprzedaży samochodu, wykonujemy umowę, gdy zrealizujemy płatność wskazaną w umowie kupna-sprzedaży, w związku z czym przetwarzamy dane potrzebne do przelewu bankowego – jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest  jej stroną(przy czym pamiętajmy, że z tej przesłanki skorzystać możemy dopiero po zawarciu umowy).
    • biuro usług turystycznych załatwiając w ramach umowy zawartej z klientem formalności związane z zapewnieniem mu przejazdu i zakwaterowania przekazuje jego dane przewoźnikowi, hotelowi i firmie ubezpieczeniowej.
    • Zakupiliśmy ofertę masażu na portalu internetowym (np. Groupon), w związku z czym Groupon przetwarza nasze dane w celu przyjęcia zamówienia.
    • Zawarliśmy telefonicznie umowę zakupu sprzętu audio podając przy tym nasze dane adresowe w celu otrzymywania wysyłki – firma z którą zawarliśmy umowę w celu realizacji umowy przetwarzać będzie nasze dane adresowe.
    • Rejestrujemy się w serwisie świadczącym usługi akceptując przy tym regulamin serwisu -administrator serwisu może przetwarzać nasze dane w celu realizacji regulaminu serwisu.
    • Zamawiamy prenumeratę u wydawcy i podajemy dane do zamówienia – wydawca może przetwarzać nasze dane w celu przyjęcia zamówienia i jego realizacji.
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania
    Agnieszka Rapcewicz

    Zakup bazy marketingowej w świetle RODO

    Proces samodzielnego tworzenia bazy marketingowej potencjalnych klientów wymaga zazwyczaj czasu, który dla przedsiębiorców jest często zbyt długi. Prostszym rozwiązaniem wydaje się pozyskanie bazy marketingowej od innego podmiotu. W przypadku np. przejęcia jednej spółki przez inną lub połączenia kilku podmiotów (spółek), sprawa jest w miarę prosta, ponieważ nowy podmiot wstępuje w prawa i obowiązki spółki, która […]

    Czytaj więcej
    Przemysław Siarka

    Czy muszę udostępniać dane na żądanie osoby fizycznej? Jeżeli tak, to jak bezpiecznie zrealizować prawo dostępu do danych?

    Europejska Rada Ochrony Danych (EROD) udostępniła wytyczne do konsultacji publicznych przedstawiając różne aspekty prawa dostępu do danych https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-012022-data-subject-rights-right_pl. Konsultacje zostały zakończone, pierwszą część wytycznych opisałem w poprzednim artykule https://www.isecure.pl/blog/prawo-dostepu-do-danych-w-oczach-erod/, teraz zapraszam na drugą część. Na co powinieneś zwrócić uwagę obsługując wniosek dostępu do danych? Za wytycznymi ERODu powtórzmy ogólne zasady prawa dostępu do danych. Co […]

    Czytaj więcej
    Mateusz Jakubik

    Aplikacje mobilne i webowe, a plan kontroli UODO

    Niniejszy artykuł omawia plan kontroli sektorowych na rok 2023, przyjęty przez Urząd Ochrony Danych Osobowych (UODO) w Polsce. Należy zaznaczyć, że kontrola będzie obejmować różne podmioty, które przetwarzają dane osobowe w ramach określonych sektorów. W szczególności, plan kontroli dotyczy organów przetwarzających dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym (SIS/VIS), jak również podmiotów […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki