iSecure logo
Blog

Zmiana celu przetwarzania danych osobowych na gruncie RODO

Aleksandra Eluszkiewicz

Przetwarzanie danych osobowych na gruncie RODO rządzi się swoimi prawami i powinno odbywać się w oparciu o zasady w nim określone. Jedną z naczelnych zasad jest zasada ograniczenia celu, według której dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (art. 5 ust. 1 lit. b RODO). Oznacza to więc, że co do zasady kiedy pozyskujemy dane osobowe w jakimś celu, to nie powinny być one potem wykorzystywane w innych celach. Co jednak jeśli już po pozyskaniu danych osobowych konieczna będzie zmiana celu przetwarzania? Na szczęście, jak to zazwyczaj w prawie bywa, od zasad istnieją wyjątki i takie też w tym przypadku przewiduje RODO, a konkretnie art. 6 ust. 4 RODO. I tak, na gruncie przepisów RODO, możemy mówić o następujących sytuacjach:

  1. Przede wszystkim przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, może odbywać się na podstawie zgody osoby, której dane dotyczą.

Należy pamiętać, że zgoda musi spełniać kryteria określone w RODO, a przetwarzanie danych na jej podstawie musi być zgodne z wszystkimi zasadami wyrażonymi w RODO.

 

  1. Przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, może odbywać się na podstawie prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1 RODO.

Cele, o których mowa w ww. art. mają służyć np.: bezpieczeństwu narodowemu; obronie; bezpieczeństwu publicznemu; zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu lub ściganiu czynów zabronionych lub wykonywaniu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom; ochronie niezależności sądów i postępowania sądowego; ochronie osoby, której dane dotyczą, lub praw i wolności innych osób; egzekucji roszczeń cywilnoprawnych.

 

  1. Przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, może odbywać się gdy jest ono zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane. Aby to ustalić administrator bierze pod uwagę między innymi:
  • wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;
  • kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;
  • charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych zgodnie z art. 10;
  • ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;
  • istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.

 

Takiej oceny administrator powinien dokonywać w sytuacji, gdy chce zmienić cel przetwarzania danych osobowych, a przetwarzania w tym nowym celu nie może oprzeć na jednej z podstaw, o których mowa w pkt 1 i 2 powyżej (zgoda podmiotu danych bądź przepis prawa). Użycie sformułowania „między innymi” oznacza, że katalog ten jest otwarty i może się okazać, że na gruncie konkretnego stanu faktycznego za uznaniem, iż spełniona została (lub nie została) przesłanka „zgodności z celem, w którym dane osobowe zostały pierwotnie zebrane”, będą przemawiały inne kryteria niż powyżej wymienione. W literaturze przyjmuje się, że np. takim dodatkowym kryterium może być wiek podmiotu danych, a konkretnie to czy podmiot danych jest dzieckiem (RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. n. E. Bielak-Jomaa, D. Lubasz, wyd. Wolters Kluwer Polska, Warszawa 2017)  – w przypadku przetwarzania danych osobowych osób poniżej 16 roku życia RODO przewiduje pewne ograniczenia. Niezależnie jednak od tego, jakie kryteria będą brane pod uwagę przy ocenie, chodzi tutaj o ich obiektywną ocenę. Dlatego zawsze warto w takiej sytuacji poradzić się specjalisty w zakresie ochrony danych osobowych (np. Inspektora Ochrony Danych). Pozytywna ocena oznacza, że administrator nie musi powoływać się na nową podstawę prawną – w motywie 50 preambuły RODO wskazano bowiem wprost, że w takim przypadku nie jest wymagana odrębna podstawa prawna inna niż podstawa prawna, która umożliwiła zbieranie danych osobowych.

 

Swoisty wyjątek wskazany jest też w zdaniu drugim art. 5 ust. 1 lit. b RODO, zgodnie z którym: dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami. Takie przetwarzanie obwarowane jest jednak pewnymi warunkami, co jest już tematem na inny artykuł.

 

Oczywiście, administrator musi też mieć na względzie, że po zmianie celu aktualne są wszystkie zasady i obowiązki, jakie nakłada na niego RODO w związku z przetwarzaniem danych osobowych. Przede wszystkim takie przetwarzanie musi być zgodne z zasadami wyrażonymi w art. 5 RODO i musi opierać się na podstawie wskazanej w art. 6 ust. 1 RODO. Konieczne może okazać się dopełnienie obowiązku informacyjnego, o którym mowa w przepisach RODO, w zakresie w jakim nastąpiła zmiana celu. Może się np. zmienić katalog odbiorców danych (np. poszerzyć o dodatkowe podmioty), może zmienić się okres przechowywania danych osobowych (np. wydłużyć z uwagi na nowy okres przedawnienia), mogą się również zmienić w tym przypadku przysługujące podmiotowi danych prawa, itd. Każdorazowo należy więc dokonać oceny pierwotnej klauzuli informacyjnej i odpowiednio przedstawić nowe informacje podmiotowi danych. Również i w tym zakresie pomoc specjalisty z zakresu ochrony danych osobowych (a zwłaszcza Inspektora Ochrony Danych) może okazać się nieoceniona.

Podobne wpisy:

Jak przetwarzać dane - poradnik (cz. III)
Maria Lothamer

Jak przetwarzać dane – poradnik (cz. III)

W ostatnich dwóch poradnikach z cyklu „Jak przetwarzać dane” przedstawiliśmy i krótko opisaliśmy Wam dwie z pięciu przesłanek, umożliwiających przetwarzanie danych tzw. „zwykłych” zgodnie z ustawą o ochronie danych osobowych. Jak się zapewne domyślacie, w tej części poradnika przedstawimy Wam kolejną, trzecią już, przesłankę legalizującą przetwarzanie danych (w praktyce ustawodawca w art. 23 ust. 1 pkt. 3 określił na dobrą sprawę dwie sytuacje legalizujące przetwarzanie danych).

RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania
Olga Skotnicka

RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania

W drugiej części cyklu o najważniejszych zmianach, jakie wprowadza Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO/GDPR) wyjaśniamy na czym polega obowiązek prowadzenia rejestru przetwarzania. W przepisach unijnego Rozporządzenia (RODO) zrezygnowano z często uciążliwego dla administratorów obowiązku rejestracji zbiorów danych osobowych w GIODO.

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych
Maria Lothamer

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych

Wśród specjalistów, którzy pracują na styku prawa i nowych technologii trwa dyskusja czy przepisy Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) stoją w sprzeczności z fundamentami działania technologii rejestrów rozproszonych, jak Bitcoin, Ethereum czy Ripple. Jeśli jednak przyjrzeć się fundamentom działania rejestrów rozproszonych, to okaże się, że obawy dotyczące RODO nie mają podstaw. Mało tego, przepisy RODO w wielu wypadkach w ogóle mogą nie mieć zastosowania w odniesieniu do rejestrów rozproszonych.