Przetwarzanie danych osobowych na innej podstawie niż umowa

26 kwietnia 2018

Opublikowano przez: Natalia Stojanowska

KATEGORIA: RODO informator

Stosownie do art. 6 ust. 1 RODO, przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniona jest jedna z przesłanek określonych w tym przepisie[1]. Przesłanki, o których mowa powyżej są względem siebie autonomiczne[2]. Oznacza to, że dla legalności procesu przetwarzania danych osobowych wystarczające jest spełnienie jednej z nich[3].

Administrator na podstawie art. 28 ust. 1 RODO, został uprawniony do umocowania innego podmiotu (podmiotu przetwarzającego) do przetwarzania w jego imieniu danych osobowych[4]. Komornik jako administrator danych osobowych może powierzyć przetwarzanie danych osobowych podmiotowi świadczącemu np. usługi księgowe, na podstawie umowy powierzenia przetwarzania danych osobowych.

Należy jednak zadać sobie pytanie czy biuro rachunkowe, z którym komornik sądowy zawarł umowę powierzenia przetwarzania danych osobowych, powinno zawrzeć z właściwym urzędem skarbowym umowę podpowierzenia przetwarzania danych osobowych? Odpowiedź powinna być w tym przypadku negatywna.

W przypadku podmiotów z sektora publicznego, np. organów administracji publicznej, podstaw przetwarzania danych osobowych należy poszukiwać w art. 6 ust. 1 lit. c RODO (przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze)[5]. Nie jest to jednak jedyna podstawa prawna, która w tym kontekście może znaleźć zastosowanie[6].

Zgodnie z motywem nr 47 preambuły RODO, dla organów publicznych podstawę prawną przetwarzania danych osobowych powinien określić ustawodawca[7]. Urzędy skarbowe, jako organy administracji publicznej, są zobowiązane do działania na podstawie i w granicach prawa (art. 7 Konstytucji RP). W związku z tym, zbierając informacje i dane osobowe o obywatelach powinny legitymować się stosowną podstawą prawną do takiego działania (zob. art. 51 ust. 1 i 2 Konstytucji RP)[8].

Przepis art. 6 ust. 1 lit. c RODO nie stanowi jednak samodzielnej podstawy legalizacyjnej przetwarzania, lecz w połączeniu z odpowiednim przepisem prawa obowiązującego w państwie, któremu podlega administrator, lub też w połączeniu z odpowiednim przepisem unijnym, o treści zgodnej z wymogami określonymi w art. 6 ust. 3 RODO[9]. W przypadku przekazywania danych osobowych zawartych w jednolitym pliku kontrolnym VAT, podstawę prawną do przetwarzania danych osobowych odnajdziemy w przepisie art. 193a Ordynacji podatkowej.

Jak podkreśla się w literaturze przedmiotu, nie jest konieczne, aby dla każdego indywidualnego przetwarzania istniało konkretne uregulowanie prawne. Wystarczy, że podstawa prawna stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator, lub że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej. Oznacza to, że ustawa nie musi wskazywać szeregu operacji przetwarzania danych, ani określać konkretnego katalogu danych, których przetwarzanie jest dopuszczalne. Za wystarczające należy uznać, że opisany jest obowiązek prawny, a bez konkretnego działania, dotyczącego danych osobowych, nie da się zrealizować tego obowiązku. Zastosować więc należy kryterium logicznego związku między obowiązkiem prawnym a przetwarzaniem danych osobowych[10].

Tym samym, ww. przepis stanowi samoistną podstawę prawną dla organów podatkowych do pozyskiwania od podatnika VAT danych osobowych, zaś dla komornika sądowego stanowi podstawę do ich udostępnienia.

Przypisy:

[1] Przesłanki te odnoszą się do wszelkich form przetwarzania danych osobowych, wymienionych w art. 4 ust. 2 RODO.

[2] Zob. także: D. Lubasz, D. Sęczkowski, Nowe europejskie przepisy o ochronie danych osobowych – przygotowania do wdrożenia czas zacząć, Compliance 2016, nr 3, s. 19 i n.; za: W. Chomiczewski, D. Lubasz [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, E. Bielak-Jomaa, D. Lubasz, (red.), komentarz do art. 6, Lex.

[3] Nie jest jednak wykluczone, aby równoległe w danym stanie faktycznym występowały więcej niż jedna przesłanka legalizacyjna.

[4] Przepis art. 28 ust. 3 RODO wprowadza alternatywne podstawy powierzenia przetwarzania danych osobowych – umowę lub inny instrument prawny, podlegających prawu Unii lub innego państwa członkowskiego. Unijny prawodawca określił elementy niezbędne, jakie musi zawierać akt stanowiący podstawę przetwarzania, m.in. przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Oprócz tego, w art. 28 ust. 3 lit. a–h RODO określono szereg wymogów dla umowy lub instrumentu prawnego, dotyczących podmiotu przetwarzającego.

[5] Wedle art. 4 pkt 7 RODO „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

[6] Przetwarzanie może odbywać się na podstawie art. 6 ust. 1 lit. e RODO.

[7]Prawnie uzasadniony interes administratora nie powinien mieć zastosowania jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań (zob. motyw nr 47 preambuły RODO; także art. 6 ust. 1 in fine RODO). Zgodnie zaś z motywem nr 45 preambuły RODO, jeżeli przetwarzanie odbywa się w celu wypełnienia obowiązku prawnego, któremu podlega administrator lub jeżeli jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, podstawę przetwarzania powinno stanowić prawo Unii lub prawo państwa członkowskiego.

[8] Należy także pamiętać, że zgodnie z definicją RODO, określoną w art. 4 pkt 9 RODO, „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii Europejskiej lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców.

[9] W. Chomiczewski, D. Lubasz [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, E. Bielak-Jomaa, D. Lubasz (red.), komentarz do art. 6, Lex.

[10] M. Gawroński, M. Sztąberek, Podstawy prawne przetwarzania danych osobowych, cz. II, Lex.

Zobacz pełny artykuł