iSecure logo
Blog

Zmiana celu przetwarzania danych osobowych na gruncie RODO

Aleksandra Eluszkiewicz

Przetwarzanie danych osobowych na gruncie RODO rządzi się swoimi prawami i powinno odbywać się w oparciu o zasady w nim określone. Jedną z naczelnych zasad jest zasada ograniczenia celu, według której dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (art. 5 ust. 1 lit. b RODO). Oznacza to więc, że co do zasady kiedy pozyskujemy dane osobowe w jakimś celu, to nie powinny być one potem wykorzystywane w innych celach. Co jednak jeśli już po pozyskaniu danych osobowych konieczna będzie zmiana celu przetwarzania? Na szczęście, jak to zazwyczaj w prawie bywa, od zasad istnieją wyjątki i takie też w tym przypadku przewiduje RODO, a konkretnie art. 6 ust. 4 RODO. I tak, na gruncie przepisów RODO, możemy mówić o następujących sytuacjach:

  1. Przede wszystkim przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, może odbywać się na podstawie zgody osoby, której dane dotyczą.

Należy pamiętać, że zgoda musi spełniać kryteria określone w RODO, a przetwarzanie danych na jej podstawie musi być zgodne z wszystkimi zasadami wyrażonymi w RODO.

 

  1. Przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, może odbywać się na podstawie prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1 RODO.

Cele, o których mowa w ww. art. mają służyć np.: bezpieczeństwu narodowemu; obronie; bezpieczeństwu publicznemu; zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu lub ściganiu czynów zabronionych lub wykonywaniu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom; ochronie niezależności sądów i postępowania sądowego; ochronie osoby, której dane dotyczą, lub praw i wolności innych osób; egzekucji roszczeń cywilnoprawnych.

 

  1. Przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, może odbywać się gdy jest ono zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane. Aby to ustalić administrator bierze pod uwagę między innymi:
  • wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;
  • kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;
  • charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych zgodnie z art. 10;
  • ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;
  • istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.

 

Takiej oceny administrator powinien dokonywać w sytuacji, gdy chce zmienić cel przetwarzania danych osobowych, a przetwarzania w tym nowym celu nie może oprzeć na jednej z podstaw, o których mowa w pkt 1 i 2 powyżej (zgoda podmiotu danych bądź przepis prawa). Użycie sformułowania „między innymi” oznacza, że katalog ten jest otwarty i może się okazać, że na gruncie konkretnego stanu faktycznego za uznaniem, iż spełniona została (lub nie została) przesłanka „zgodności z celem, w którym dane osobowe zostały pierwotnie zebrane”, będą przemawiały inne kryteria niż powyżej wymienione. W literaturze przyjmuje się, że np. takim dodatkowym kryterium może być wiek podmiotu danych, a konkretnie to czy podmiot danych jest dzieckiem (RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. n. E. Bielak-Jomaa, D. Lubasz, wyd. Wolters Kluwer Polska, Warszawa 2017)  – w przypadku przetwarzania danych osobowych osób poniżej 16 roku życia RODO przewiduje pewne ograniczenia. Niezależnie jednak od tego, jakie kryteria będą brane pod uwagę przy ocenie, chodzi tutaj o ich obiektywną ocenę. Dlatego zawsze warto w takiej sytuacji poradzić się specjalisty w zakresie ochrony danych osobowych (np. Inspektora Ochrony Danych). Pozytywna ocena oznacza, że administrator nie musi powoływać się na nową podstawę prawną – w motywie 50 preambuły RODO wskazano bowiem wprost, że w takim przypadku nie jest wymagana odrębna podstawa prawna inna niż podstawa prawna, która umożliwiła zbieranie danych osobowych.

 

Swoisty wyjątek wskazany jest też w zdaniu drugim art. 5 ust. 1 lit. b RODO, zgodnie z którym: dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami. Takie przetwarzanie obwarowane jest jednak pewnymi warunkami, co jest już tematem na inny artykuł.

 

Oczywiście, administrator musi też mieć na względzie, że po zmianie celu aktualne są wszystkie zasady i obowiązki, jakie nakłada na niego RODO w związku z przetwarzaniem danych osobowych. Przede wszystkim takie przetwarzanie musi być zgodne z zasadami wyrażonymi w art. 5 RODO i musi opierać się na podstawie wskazanej w art. 6 ust. 1 RODO. Konieczne może okazać się dopełnienie obowiązku informacyjnego, o którym mowa w przepisach RODO, w zakresie w jakim nastąpiła zmiana celu. Może się np. zmienić katalog odbiorców danych (np. poszerzyć o dodatkowe podmioty), może zmienić się okres przechowywania danych osobowych (np. wydłużyć z uwagi na nowy okres przedawnienia), mogą się również zmienić w tym przypadku przysługujące podmiotowi danych prawa, itd. Każdorazowo należy więc dokonać oceny pierwotnej klauzuli informacyjnej i odpowiednio przedstawić nowe informacje podmiotowi danych. Również i w tym zakresie pomoc specjalisty z zakresu ochrony danych osobowych (a zwłaszcza Inspektora Ochrony Danych) może okazać się nieoceniona.

Podobne wpisy:

Dane osobowe w kopiach zapasowych
Olga Jaworowska

Dane osobowe w kopiach zapasowych

Po wejściu w życie RODO, administratorzy danych nie mają łatwego zadania – praktyczne wdrożenie przepisów unijnej regulacji jest bowiem czasochłonne i dotyka wielu sfer funkcjonowania firmy, w tym także w obszarze IT. Za przykład niech posłuży pionierska aplikacja na telefon za pomocą której można umawiać się na wizytę do usługodawców, takich jak zakłady fryzjerskie, czy […]

RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych
Maria Lothamer

RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych

W kolejnej części cyklu o zmianach wprowadzanych przez Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO/GDPR) przybliżamy jedne z najgorętszych zagadnień – kary finansowe i odpowiedzialność administratora danych osobowych.

RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania
Olga Skotnicka

RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania

W drugiej części cyklu o najważniejszych zmianach, jakie wprowadza Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO/GDPR) wyjaśniamy na czym polega obowiązek prowadzenia rejestru przetwarzania. W przepisach unijnego Rozporządzenia (RODO) zrezygnowano z często uciążliwego dla administratorów obowiązku rejestracji zbiorów danych osobowych w GIODO.