Zasada celowości w RODO

BySylwia Ostrowska

zasada celowościPrzetwarzanie informacji jest obecne na każdym kroku naszego życia. Zgodnie z RODO przetwarzanie danych osobowych, jest to czynność wykonywana na danych osobowych w sposób zmechanizowany lub ręczny. Do przetwarzania danych możemy zaliczyć przechowywanie, zbieranie, wykorzystywanie, udostępnianie, a także usuwanie czy niszczenie danych. Art. 5 RODO pokazuje nam zasady jakie musimy brać pod uwagę w związku z przetwarzaniem danych. Jedną z nich jest zasada celowości.

Zasada celowości, o co chodzi?

RODO wymaga od Administratorów, aby w procesie przetwarzania danych określić jasno cele przetwarzania danych osobowych. Obowiązek ten wynika właśnie z zasady celowości zgodnie z którą Administratorzy mają obowiązek przetwarzać dane w konkretnych, wyraźnych i prawnie uzasadnionych celach. Cele te powinno określić się nie później niż w momencie ich zbierania. Obowiązek oznaczenia celu przetwarzania danych osobowych jest równoznaczny z zakazem zbierania danych osobowych „na zapas” dla przyszłych, nieoznaczonych jeszcze celów.

Oznaczenie celu przetwarzania

Cel w jakim dany podmiot zbiera nasze dane osobowe, musi być przede wszystkim konkretny i wyraźny. Jeżeli konkretny to realnie istniejący i dokładnie określony, jeżeli wyraźny to dodatkowo dający się łatwo i jednoznacznie zrozumieć. W ten sposób ograniczenie zakresu swobody administratorów danych, daje jasny sygnał wszystkim zaangażowanym stronom, że gromadzenie danych musi zostać ograniczone do celów, które najbardziej zainteresowani, czyli posiadacze praw do swoich danych osobowych będą mogli łatwo zrozumieć. Dodatkowo wskazany cel musi być prawnie uzasadniony, tzn. legalny.

Praktyczną implikacją tej zasady dla administratora jest to, że nie może on pominąć lub zataić żadnego z celów. Do których ma zamiar wykorzystywać dane osobowe. Należy jednak pamiętać, że na etapie pozyskiwania danych można określić kilka celów przetwarzania danych osobowych.

Zobowiązane są do tego wszystkie podmioty przetwarzające dane, zaczynając od Administratora, który takie dane zebrał, aż po podmioty, którym takie dane udostępniono.

Cele przetwarzania danych

RODO nie narzuca konkretnych celów przetwarzania danych. Dopuszczalne są wszystkie cele przetwarzania danych przez Administratorów zgodnie z prawem np.:

  • dane osobowe można legalnie przetwarzać, kiedy osoba, której dane dotyczą świadomie wyraziła zgodę;
  • konieczność przetwarzania danych osobowych w celu wywiązania się z warunków określonych w umowie, jeśli osoba, której dane dotyczą jest w tej umowie jedną ze stron;
  • zawarcie umowy kupna-sprzedaży – cele przetwarzania danych osobowych będą obejmować: wykonanie umowy, ewentualną obronę przed roszczeniami czy też dochodzenie roszczeń z tytułu zawartej umowy, a także realizację obowiązków
  • cel przetwarzania danych osobowych można oprzeć o obowiązujące przepisy, np. konieczność udostępnienia danych osobowych funkcjonariuszowi policji;
  • przetwarzanie w celach realizacji procesu rekrutacji;
  • legalne przetwarzanie danych osobowych przy realizacji zadań wykonywanych w ramach interesu publicznego, przykładem może być tutaj np. wypłata świadczeń rodzinnych;
  • przetwarzanie w celach marketingu własnych produktów lub usług;
  • otrzymywanie informacji handlowej drogą elektroniczną;
  • używanie telekomunikacyjnych urządzeń końcowych w celu prowadzenia marketingu bezpośredniego.
Zasada celowości, a obowiązek informacyjny

Zasada ograniczenia celu sprowadza się jednak przede wszystkim do potrzeby wskazywania celu przetwarzania danych. RODO nie przewidują możliwości dokonywania jakichkolwiek czynności na danych osobowych bez wcześniejszego zapoznania właścicieli tych danych z celem, jaki administrator ma zamiar w ten sposób osiągnąć. Istotny jest tu obowiązek informacyjny, który nakazuje poinformowanie osób o wyznaczonym celu, w którym przetwarza się ich dane. Informacje tą musimy przedstawić przed rozpoczęciem lub najpóźniej w chwili rozpoczęcia gromadzenia informacji. Więcej o obowiązkach informacyjnych i zasadach w nich obowiązujących mogą Państwo przeczytać w naszym artykule z 2 maja dostępnym pod linkiem: Obowiązek informacyjny na gruncie przepisów RODO

Wyjątki przetwarzania od zasady celowości

RODO ściśle określa wyjątki pozwalające na przetwarzanie danych do celów innych niż te, dla których dane pierwotnie zebrano. Szczegółowo opisane wyjątki znajdują się w motywie 50 preambuły. Wyjątki te z mocy prawa nie stanowią naruszenia pierwotnego celu przetwarzania danych pod warunkiem, że Administrator przetwarza takie dane:

  • do celów archiwalnych w interesie publicznym;
  • w celach historycznych lub do badań naukowych;
  • do celów statystycznych.

Cele przetwarzania muszą podlegać odpowiednim zabezpieczeniom dla praw i wolności osoby, której przetwarzane dane dotyczą. Wiąże się to z wdrożeniem odpowiednich środków technicznych i organizacyjnych zapewniających uznanie także zasady minimalizacji danych.

Podsumowując, ewentualna dopuszczalność przetwarzania danych do celów wtórnych, tj. do celów innych niż cele, dla których dane pierwotnie zebrano pozostaje istotnym zagadnieniem. Nie można zapominać o art. 6 ust. 4 RODO mówiącym, iż przetwarzanie danych w celu innym niż cel, w którym je zebrano, może odbywać się:

  • na podstawie zgody osoby, której dane dotyczą,
  • albo prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1 RODO.

Niedopuszczalne jest przesądzenie z góry, że nowe cele mieszczą się w zakresie pierwotnego celu. Kwestia analizy kontekstu sprowadza się oceny relacji pomiędzy administratorem i osobą, której dane dotyczą. Relacja ta nie może polegać na dominującej pozycji jednej z nich. Ze względu na przewidywalność i pewność prawa konieczne jest sprawdzenie, czy nowe wtórne cele są powiązane z obowiązkami wynikającymi z przepisów prawa, które są nałożone na administratora danych.