iSecure logo
Blog

Zmiana celu przetwarzania danych osobowych na gruncie RODO

Katarzyna Ułasiuk

Autor tekstu: Aleksandra Eluszkiewicz

Przetwarzanie danych osobowych na gruncie RODO rządzi się swoimi prawami i powinno odbywać się w oparciu o zasady w nim określone. Jedną z naczelnych zasad jest zasada ograniczenia celu, według której dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (art. 5 ust. 1 lit. b RODO). Oznacza to więc, że co do zasady kiedy pozyskujemy dane osobowe w jakimś celu, to nie powinny być one potem wykorzystywane w innych celach. Co jednak jeśli już po pozyskaniu danych osobowych konieczna będzie zmiana celu przetwarzania? Na szczęście, jak to zazwyczaj w prawie bywa, od zasad istnieją wyjątki i takie też w tym przypadku przewiduje RODO, a konkretnie art. 6 ust. 4 RODO. I tak, na gruncie przepisów RODO, możemy mówić o następujących sytuacjach:

  1. Przede wszystkim przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, może odbywać się na podstawie zgody osoby, której dane dotyczą.

Należy pamiętać, że zgoda musi spełniać kryteria określone w RODO, a przetwarzanie danych na jej podstawie musi być zgodne z wszystkimi zasadami wyrażonymi w RODO.

 

  1. Przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, może odbywać się na podstawie prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1 RODO.

Cele, o których mowa w ww. art. mają służyć np.: bezpieczeństwu narodowemu; obronie; bezpieczeństwu publicznemu; zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu lub ściganiu czynów zabronionych lub wykonywaniu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom; ochronie niezależności sądów i postępowania sądowego; ochronie osoby, której dane dotyczą, lub praw i wolności innych osób; egzekucji roszczeń cywilnoprawnych.

 

  1. Przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, może odbywać się gdy jest ono zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane. Aby to ustalić administrator bierze pod uwagę między innymi:
  • wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;
  • kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;
  • charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych zgodnie z art. 10;
  • ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;
  • istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.

 

Takiej oceny administrator powinien dokonywać w sytuacji, gdy chce zmienić cel przetwarzania danych osobowych, a przetwarzania w tym nowym celu nie może oprzeć na jednej z podstaw, o których mowa w pkt 1 i 2 powyżej (zgoda podmiotu danych bądź przepis prawa). Użycie sformułowania „między innymi” oznacza, że katalog ten jest otwarty i może się okazać, że na gruncie konkretnego stanu faktycznego za uznaniem, iż spełniona została (lub nie została) przesłanka „zgodności z celem, w którym dane osobowe zostały pierwotnie zebrane”, będą przemawiały inne kryteria niż powyżej wymienione. W literaturze przyjmuje się, że np. takim dodatkowym kryterium może być wiek podmiotu danych, a konkretnie to czy podmiot danych jest dzieckiem (RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. n. E. Bielak-Jomaa, D. Lubasz, wyd. Wolters Kluwer Polska, Warszawa 2017)  – w przypadku przetwarzania danych osobowych osób poniżej 16 roku życia RODO przewiduje pewne ograniczenia. Niezależnie jednak od tego, jakie kryteria będą brane pod uwagę przy ocenie, chodzi tutaj o ich obiektywną ocenę. Dlatego zawsze warto w takiej sytuacji poradzić się specjalisty w zakresie ochrony danych osobowych (np. Inspektora Ochrony Danych). Pozytywna ocena oznacza, że administrator nie musi powoływać się na nową podstawę prawną – w motywie 50 preambuły RODO wskazano bowiem wprost, że w takim przypadku nie jest wymagana odrębna podstawa prawna inna niż podstawa prawna, która umożliwiła zbieranie danych osobowych.

 

Swoisty wyjątek wskazany jest też w zdaniu drugim art. 5 ust. 1 lit. b RODO, zgodnie z którym: dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami. Takie przetwarzanie obwarowane jest jednak pewnymi warunkami, co jest już tematem na inny artykuł.

 

Oczywiście, administrator musi też mieć na względzie, że po zmianie celu aktualne są wszystkie zasady i obowiązki, jakie nakłada na niego RODO w związku z przetwarzaniem danych osobowych. Przede wszystkim takie przetwarzanie musi być zgodne z zasadami wyrażonymi w art. 5 RODO i musi opierać się na podstawie wskazanej w art. 6 ust. 1 RODO. Konieczne może okazać się dopełnienie obowiązku informacyjnego, o którym mowa w przepisach RODO, w zakresie w jakim nastąpiła zmiana celu. Może się np. zmienić katalog odbiorców danych (np. poszerzyć o dodatkowe podmioty), może zmienić się okres przechowywania danych osobowych (np. wydłużyć z uwagi na nowy okres przedawnienia), mogą się również zmienić w tym przypadku przysługujące podmiotowi danych prawa, itd. Każdorazowo należy więc dokonać oceny pierwotnej klauzuli informacyjnej i odpowiednio przedstawić nowe informacje podmiotowi danych. Również i w tym zakresie pomoc specjalisty z zakresu ochrony danych osobowych (a zwłaszcza Inspektora Ochrony Danych) może okazać się nieoceniona.

Podobne wpisy:

RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych
Maria Lothamer

RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych

W kolejnej części cyklu o zmianach wprowadzanych przez Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO/GDPR) przybliżamy jedne z najgorętszych zagadnień – kary finansowe i odpowiedzialność administratora danych osobowych.

Zanim znajdziemy wykonawcę aplikacji
Bartosz Migas

Brak osoby koordynującej wdrożenie, czyli pisz Pan na Berdyczów

Wdrożenie i utrzymanie zgodności z RODO to nie projekt, który można przeprowadzić od A do Z, podpisane dokumenty włożyć do segregatora i oczyszczać z pajęczyn tylko w przypadku kontroli. Jest to proces ciągły, który wymaga stałego monitorowania działalności administratora, szybkiego reagowania na zmiany i brania udziału w projektowaniu nowych rozwiązań. Do tego należy doliczyć jeszcze […]

Bartosz Migas

Informowanie o zakażeniach zgodne z RODO – COVID-19

W związku z tym, że wielu pracodawców ma ogromny problem z odpowiedzią na pytanie: „Czy można informować pracowników o przypadkach zakażenia koronawirusem?” przygotowaliśmy kolejny poradnik. Przedstawiamy w nim odpowiedzi na to pytanie oraz wyjaśniamy, jak informować o obecności koronawirusa innych pracowników bez naruszania przepisów o ochronie danych osobowych.  Widzimy potrzebę zebrania w jednym miejscu odpowiedzi […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki