Zasada ograniczania celu wg RODO. Radca prawny z kancelarii prawnej Konrada Krasuskiego przybliża jakie znaczenie ma zasada. Artykuł 5 ust. 1 lit. b RODO ustanawia zasadę ograniczenia celu - dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami.
Zasada ograniczania celu dotyczy pierwszego etapu przetwarzania danych osobowych, to znaczy ich zbierania. Na zasadę ograniczenia celu składają się dwie zasady: oznaczoności i wykorzystywania danych zgodnie z celem.
Zasada oznaczoności
Zasada ograniczania celu zakłada, że dane osobowe muszą być zbierane dla konkretnych, wyraźnych i prawnie uzasadnionych celów.
Stosunek do innych zasad
Administrator danych, aby przetwarzać dane osobowe w sposób zgodny z zasadą oznaczoności musi określić cele, w których dane te mają być przetwarzane. Zasada ta ma istotne znaczenie przy ocenie, czy są spełnione inne zasady ogólne przetwarzania danych np. zasada minimalizacja danych. Należy zwrócić na szczególną rolą jaką odgrywa zasada oznaczoności celu dla możliwości realizacji zasady minimalizacji danych. To właśnie ta zasada określa cele, w których dane osobowe mogą być przetwarzane, a zatem granice przetwarzania danych, co oznacza, że nie można zbierać danych na zapas, ponieważ mogą one się przydać w przyszłości dla innego, jeszcze nieokreślonego celu. Zasada ta wpływa również bezpośrednio na możliwość udowodnienia, że dane osobowe przetwarzane są zgodnie z prawem. Administrator bowiem powinien przeprowadzić analizę, jakie dane osobowe będzie przetwarzał w określonych celach.
Szczegółowość określenia celu przetwarzania danych osobowych
Radca prawny podkreśla, że cel przetwarzania danych nie powinien być określony zbyt ogólnie. Musi być określony na tyle precyzyjnie, aby było można określić, jakie działania administrator podejmuje w celu realizacji danego celu. Istotne jest również - jak wskazuje radca prawny - wskazanie celu przetwarzania danych osobom, których one dotyczą. Cele często ze sobą powiązane. Takim przykładem może być realizacja umowy, na którą będzie się składał etap zawarcia umowy, etap wykonania umowy, jak i ewentualne roszczenia stron po jej wykonaniu (np. rękojmia w umowie sprzedaży). Wówczas możliwe jest określenie jednego generalnego celu, jakim jest realizacja umowy.
Wyraźny cel gromadzenia danych osobowych
W pierwszej kolejności należy wskazać, że cel powinien zostać określony wyraźnie, co oznacza że powinien on zostać jednoznacznie określony. Niedopuszczalne jest gromadzenie danych w celach ukrytych, nie ujawnionych osobom, których dane są zbierane. Wyraźne oznaczenie celu gromadzenia danych, uniemożliwia administratorowi podejmowanie innych działań na danych, które nie są objęte zakresem danego celu. Wobec tego, administrator jest zmuszony określić rzeczywiste cele przetwarzania danych osobowych - podkreśla prawnik. Poza przekazaniem informacji o celach przetwarzania danych osobom, które dane dotyczą, powinny one także być znane wszystkim podmiotom, które zostały upoważnione przez administratora do przetwarzania danych np. pracownikom. Oznacza to, że najbardziej pożądaną sytuacją jest zawarcie informacji o celach przetwarzania danych w dokumentacji wewnętrznej, regulującej funkcjonowanie danego podmiotu i przetwarzanie przez niego danych osobowych.
Prawnie uzasadniony cel zbierania danych osobowych
Cel zbierania danych osobowych powinien być także prawnie uzasadniony, a zatem zgodny z prawem. Jednak nie oznacza to tylko przesłanek legalizujących określonych w przepisach RODO, ale także realizację zasady rzetelności.
Zasada wykorzystania danych zgodnie z celem
Zasada wykorzystania danych zgodnie z celem oznacza, że dane osobowe nie mogą być przetwarzane dalej w sposób niezgodny z konkretnym, wyraźnym i prawnie uzasadnionym celem. Dane osobowe mogą być przetwarzane w celach pierwotnych i wtórnych.
Cel pierwotny i wtórny przetwarzania danych osobowych
Dane osoby, która wyrazi zgodę na ich przetwarzania w określonym celu (celu pierwotnym) nie mogą przetwarzane w innym celu. Ewentualna dopuszczalność przetwarzania danych do celów wtórnych, tj. do celów innych niż cele, dla których dane te zostały pierwotnie zebrane pozostaje istotnym zagadnieniem. Motyw 50 Preambuły wskazuje na taką możliwość, jedynie gdy będzie to zgodne z pierwotnymi celami, w których dane zostały zebrane. W takim przypadku nie jest wymagana odrębna podstawa prawna inna niż podstawa prawna, która umożliwiłaby zbieranie danych osobowych. Ponadto zgodnie z art. 6 ust. 4 RODO przetwarzanie danych w celu innym niż cel, w którym zostały one zebrane, może odbywać się na podstawie zgody osoby, której dane dotyczą, albo prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1 RODO. W motywie 50 Preambuły wskazano, że jeżeli przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, prawo Unii lub prawo państwa członkowskiego mogą określać i precyzować zadania i cele, w których dalsze przetwarzanie powinno być uznawane za zgodne z prawem i z pierwotnymi celami. Art. 5 ust. 1 lit. b RODO wprost stanowi, że dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami. Jeżeli nie występują wyżej wymienione okoliczności, to administrator, który chce w dalszym ciągu przetwarzać dane osobowe w celu, który dane zostały pierwotnie zebrane powinien wziąć pod uwagę:
1) wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania,
2) kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem,
3) charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych,
4) ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą,
5) istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudoanimizacji.
Pierwsze kryterium oceny dopuszczalności dalszego przetwarzania danych osobowych wymaga analizy związków między celem pierwotnym i wtórnym pod względem treści, ich wzajemnych relacji. Niedopuszczalne jest przesądzenie z góry, że nowe cele mieszczą się w zakresie pierwotnego celu. Kwestia analizy kontekstu sprowadza się oceny relacji pomiędzy administratorem i osobą, której dane dotyczą. Relacja ta nie może polegać na dominującej pozycji jednej z nich. Ze względu na przewidywalność i pewność prawa konieczne jest sprawdzenie, czy nowe wtórne cele są powiązane z obowiązkami wynikającymi z przepisów prawa, które są nałożone na administratora danych. Trzecie kryterium wpisuje się w ogólną koncepcję specjalnej ochrony przetwarzania danych wrażliwych. Zgodnie z nią dopuszczalność przetwarzania tej kategorii danych w innym celu niż pierwotnie określony, powinna być dogłębnie przeanalizowana. Oczywiście, administrator powinien rozważyć wszelkie konsekwencje dalszego przetwarzania danych osobowych osoby, której dane dotyczą. Ponadto, administrator powinien wziąć pod uwagę, czy posiada odpowiednie zabezpieczenie, które zapobiegają naruszaniu praw osób, których dane przetwarza. Jeżeli nawet pozostałe warunki nie przemawiają za dalszą dopuszczalność przetwarzania danych w innym celu niż pierwotny, to istnienie odpowiednich gwarancji po stronie administratora, może uzasadniać przetwarzanie danych osobowych we wtórnych celach.
Potrzebujesz pomocy w zakresie RODO. Zapraszamy do zapoznania się z ofertą Kancelarii Prawnej we Wrocławiu.