Zgodnie z zasadą legalizmu dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość"), o czym wprost stanowi przepis art. 5 ust. 1 lit. a) RODO.
Powyższe oznacza, iż dane osobowe można przetwarzać jedynie wtedy, gdy istnieje odpowiednia ku temu podstawa prawna. Aby dobrać właściwą podstawę do legalnego przetwarzania danych osobowych należy uświadomić sobie najpierw jakiego rodzaju dane – „zwykłe” czy „wrażliwe” – przetwarzamy. W wypadku danych szczególnych kategorii, które potocznie nazywamy „wrażliwymi” (np. dane dotyczące zdrowia lub seksualności) podstawę prawną odnajdziemy w art. 9 RODO, natomiast w wypadku pozostałych danych w art. 6 tego rozporządzenia.
Z uwagi na fakt, iż z danymi „zwykłymi” częściej mamy do czynienia na co dzień, ograniczymy się tutaj do wskazania podstaw prawnych dla tych właśnie kategorii danych, wśród których wymienić należy:
zgodę podmiotu danych;
realizację czynności na żądanie podmiotu danych przed zawarciem umowy lub wykonanie umowy już zawartej;
realizację obowiązku prawnego ciążącego na administratorze;
ochronę żywotnych interesów podmiotu danych;
realizację zadania w interesie publicznym lub w ramach sprawowania władzy publicznej;
prawnie uzasadniony interes administratora.
Znajomość podstawy prawnej nie może pozostawać w sferze deklaracji ze strony przedsiębiorcy. Swoistym testem dla spełnienia omawianego wymogu jest realizacja obowiązku informacyjnego wobec osób, których dane się przetwarzania (zgodnie z art. 13 i 14 RODO), bowiem klauzula informacyjna winna wskazywać m.in. podstawę prawną przetwarzania.
Pamiętać jednak należy, iż samo dobranie podstawy prawnej przetwarzania to nie wszystko, bowiem uzupełnieniem zasady legalizmu są zasady rzetelności i przejrzystości przetwarzania danych. Wykluczone jest więc przetwarzanie danych w sposób nieuczciwy lub szkodzący osobie, której dane dotyczą, a dodatkowo podmiot przetwarzający dane musi czynić to w taki sposób, by osoba, której dane dotyczą znała zasady postępowania organizacji i mogła bez żadnych przeszkód uzyskać informacje w tym przedmiocie.
Postępowanie w zgodzie z zasadą legalizmu w praktyce może nastręczać sporo trudności, stąd tematyką tą zajmują się głównie działy prawne organizacji lub zewnętrzna obsługa prawna przedsiębiorcy. Określenie właściwej podstawy prawnej przetwarzania wzbudza niekiedy wątpliwości i bywa przedmiotem dyskusji, zwłaszcza gdy przy analizowanej czynności przetwarzania zidentyfikowano kilka celów przetwarzania.
Data publikacji: 24.07.2018.