iSecure logo
Blog

Zmiana celu przetwarzania danych osobowych na gruncie RODO

Autor tekstu: Aleksandra Eluszkiewicz

Przetwarzanie danych osobowych na gruncie RODO rządzi się swoimi prawami i powinno odbywać się w oparciu o zasady w nim określone. Jedną z naczelnych zasad jest zasada ograniczenia celu, według której dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (art. 5 ust. 1 lit. b RODO). Oznacza to więc, że co do zasady kiedy pozyskujemy dane osobowe w jakimś celu, to nie powinny być one potem wykorzystywane w innych celach. Co jednak jeśli już po pozyskaniu danych osobowych konieczna będzie zmiana celu przetwarzania? Na szczęście, jak to zazwyczaj w prawie bywa, od zasad istnieją wyjątki i takie też w tym przypadku przewiduje RODO, a konkretnie art. 6 ust. 4 RODO. I tak, na gruncie przepisów RODO, możemy mówić o następujących sytuacjach:

  1. Przede wszystkim przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, może odbywać się na podstawie zgody osoby, której dane dotyczą.

Należy pamiętać, że zgoda musi spełniać kryteria określone w RODO, a przetwarzanie danych na jej podstawie musi być zgodne z wszystkimi zasadami wyrażonymi w RODO.

 

  1. Przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, może odbywać się na podstawie prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1 RODO.

Cele, o których mowa w ww. art. mają służyć np.: bezpieczeństwu narodowemu; obronie; bezpieczeństwu publicznemu; zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu lub ściganiu czynów zabronionych lub wykonywaniu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom; ochronie niezależności sądów i postępowania sądowego; ochronie osoby, której dane dotyczą, lub praw i wolności innych osób; egzekucji roszczeń cywilnoprawnych.

 

  1. Przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, może odbywać się gdy jest ono zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane. Aby to ustalić administrator bierze pod uwagę między innymi:
  • wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;
  • kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;
  • charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych zgodnie z art. 10;
  • ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;
  • istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.

 

Takiej oceny administrator powinien dokonywać w sytuacji, gdy chce zmienić cel przetwarzania danych osobowych, a przetwarzania w tym nowym celu nie może oprzeć na jednej z podstaw, o których mowa w pkt 1 i 2 powyżej (zgoda podmiotu danych bądź przepis prawa). Użycie sformułowania „między innymi” oznacza, że katalog ten jest otwarty i może się okazać, że na gruncie konkretnego stanu faktycznego za uznaniem, iż spełniona została (lub nie została) przesłanka „zgodności z celem, w którym dane osobowe zostały pierwotnie zebrane”, będą przemawiały inne kryteria niż powyżej wymienione. W literaturze przyjmuje się, że np. takim dodatkowym kryterium może być wiek podmiotu danych, a konkretnie to czy podmiot danych jest dzieckiem (RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. n. E. Bielak-Jomaa, D. Lubasz, wyd. Wolters Kluwer Polska, Warszawa 2017)  – w przypadku przetwarzania danych osobowych osób poniżej 16 roku życia RODO przewiduje pewne ograniczenia. Niezależnie jednak od tego, jakie kryteria będą brane pod uwagę przy ocenie, chodzi tutaj o ich obiektywną ocenę. Dlatego zawsze warto w takiej sytuacji poradzić się specjalisty w zakresie ochrony danych osobowych (np. Inspektora Ochrony Danych). Pozytywna ocena oznacza, że administrator nie musi powoływać się na nową podstawę prawną – w motywie 50 preambuły RODO wskazano bowiem wprost, że w takim przypadku nie jest wymagana odrębna podstawa prawna inna niż podstawa prawna, która umożliwiła zbieranie danych osobowych.

 

Swoisty wyjątek wskazany jest też w zdaniu drugim art. 5 ust. 1 lit. b RODO, zgodnie z którym: dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami. Takie przetwarzanie obwarowane jest jednak pewnymi warunkami, co jest już tematem na inny artykuł.

 

Oczywiście, administrator musi też mieć na względzie, że po zmianie celu aktualne są wszystkie zasady i obowiązki, jakie nakłada na niego RODO w związku z przetwarzaniem danych osobowych. Przede wszystkim takie przetwarzanie musi być zgodne z zasadami wyrażonymi w art. 5 RODO i musi opierać się na podstawie wskazanej w art. 6 ust. 1 RODO. Konieczne może okazać się dopełnienie obowiązku informacyjnego, o którym mowa w przepisach RODO, w zakresie w jakim nastąpiła zmiana celu. Może się np. zmienić katalog odbiorców danych (np. poszerzyć o dodatkowe podmioty), może zmienić się okres przechowywania danych osobowych (np. wydłużyć z uwagi na nowy okres przedawnienia), mogą się również zmienić w tym przypadku przysługujące podmiotowi danych prawa, itd. Każdorazowo należy więc dokonać oceny pierwotnej klauzuli informacyjnej i odpowiednio przedstawić nowe informacje podmiotowi danych. Również i w tym zakresie pomoc specjalisty z zakresu ochrony danych osobowych (a zwłaszcza Inspektora Ochrony Danych) może okazać się nieoceniona.

Podobne wpisy:

RODO w rekrutacji

Za nami cykl webinarów „Akademia RODO w rekrutacji”, które prowadziliśmy wspólnie z elevato S.A. (dostawcą przyjaznego i bezpiecznego systemu do rekrutacji). Podczas trzech spotkań poruszyliśmy wiele tematów istotnych ze strony praktycznej. Zdajemy sobie sprawę, że w codziennej pracy rekrutera są kwestie wymagające pochylenia się i zastanowienia, jak faktycznie przetwarzać dane osobowe kandydatów zgodnie z RODO, jednocześnie z […]

Udostępnienie danych osobowych do organów publicznych – czy pracodawca może to zrobić?

Jednym z wielu wyzwań, z którym mierzą się pracodawcy, zapewniając pełną zgodność organizacji z przepisami ogólnego rozporządzenie o ochronie danych osobowych (RODO), jest konieczność udostępniania danych osobowych pracowników do organów publicznych tj. Policja, Prokuratura, Sąd, Urzędy. Przy dużej organizacji zatrudniającej po kilkadziesiąt, a nawet kilkaset pracowników takie sytuacje występują dość regularnie. Czy pracodawca może udostępnić […]

Omówienie wytycznych CNIL w sprawie stosowania cookiewalls

Wstęp Niniejszy artykuł ma na celu omówienie wytycznych CNIL – Commission Nationale de l’Informatique et des Libertés, poruszających tematykę cookiewalls o charakterze paywalls. Należy zaznaczyć, iż CNIL zaproponował również kryteria oceny, która pozwala na weryfikację czy stosowanie cookiewalls jest dopuszczalne. Cookiewalls Jako cookiewall należy rozumieć taki banner cookie, który wymaga, by użytkownik końcowy odwiedzający stronę, […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki