Przetwarzanie danych osobowych bez zgody osoby, której dane dotyczą, nie zawsze jest niedopuszczalne. Jedną z podstaw legalizujących takie działanie jest art. 6 ust. 1 lit. e RODO, który pozwala na przetwarzanie danych w dwóch szczególnych przypadkach: gdy jest to niezbędne do wykonania zadania realizowanego w interesie publicznym albo do sprawowania władzy publicznej powierzonej administratorowi. To rozwiązanie ma ogromne znaczenie m.in. dla urzędów, szkół, szpitali, a niekiedy także dla firm prywatnych, którym powierzono określone zadania na rzecz społeczeństwa.
Poniżej wyjaśniam, jak rozumieć tę podstawę prawną, w jakich sytuacjach można się na nią powołać i jakie praktyczne konsekwencje z niej wynikają.
Co oznacza „zadanie realizowane w interesie publicznym”?
Zadanie realizowane w interesie publicznym to takie, które nie jest podejmowane wyłącznie w interesie administratora, lecz służy społeczeństwu jako całości lub określonej grupie obywateli. Może to być np.:
- prowadzenie edukacji publicznej,
- świadczenie usług zdrowotnych w ramach systemu ochrony zdrowia,
- zapewnienie bezpieczeństwa i porządku publicznego,
- ochrona środowiska czy dziedzictwa kulturowego.
📄 Przykład 1: Szkoła podstawowa w Krakowie prowadzi elektroniczny dziennik ucznia. Aby realizować zadanie publiczne, jakim jest edukacja, przetwarza dane uczniów (imię, nazwisko, adres, oceny, frekwencję). Dane te są niezbędne, aby szkoła mogła wywiązać się z ustawowego obowiązku prowadzenia dokumentacji przebiegu nauczania.
Co oznacza „sprawowanie władzy publicznej”?
Sprawowanie władzy publicznej dotyczy sytuacji, w których administrator ma uprawnienia typowe dla organów państwa – może wydawać decyzje wiążące obywateli. Dotyczy to głównie urzędów, organów administracji i sądów.
📄 Przykład 2: Urząd gminy prowadzi rejestr mieszkańców. W tym celu przetwarza dane osobowe osób zameldowanych na danym terenie. Przetwarzanie jest konieczne, aby urząd mógł wydawać decyzje administracyjne, np. dotyczące świadczeń socjalnych.
Czy zawsze chodzi o instytucje publiczne?
Nie. Choć w praktyce omawiana przesłanka najczęściej dotyczy organów publicznych, to w wyjątkowych przypadkach może być stosowana także przez podmioty prywatne. Kluczowe jest jednak to, aby dane zadanie było rzeczywiście oparte na przepisach prawa i miało charakter publiczny.
📄 Przykład 3: Prywatna klinika, działająca w ramach kontraktu z NFZ, realizuje program profilaktyki raka piersi finansowany ze środków publicznych. W tym celu przetwarza dane pacjentek, ponieważ zadanie, jakie realizuje, ma charakter publiczny i wynika z przepisów prawa o ochronie zdrowia.
Kiedy można powołać się na tę podstawę?
Aby przetwarzanie danych było legalne na podstawie art. 6 ust. 1 lit. e RODO, muszą być spełnione łącznie dwa warunki:
✔️ zadanie administratora wynika z przepisów prawa (unijnego lub krajowego),
✔️ przetwarzanie danych jest niezbędne do realizacji tego zadania.
Samo wskazanie, że administrator wykonuje zadanie publiczne, nie wystarczy – trzeba jeszcze wykazać, że bez przetwarzania danych nie dałoby się go zrealizować.
Kluczowe wnioski dla praktyki
- Administrator zawsze musi wskazać konkretną podstawę prawną w ustawach lub rozporządzeniach, która potwierdza, że działa w interesie publicznym lub w ramach władzy publicznej.
- Omawiana przesłanka ma charakter niezależny od zgody – osoba, której dane dotyczą, nie może skutecznie sprzeciwić się przetwarzaniu, jeśli administrator działa w granicach prawa.
- Podmioty prywatne mogą korzystać z tej podstawy tylko w wyjątkowych sytuacjach – np. gdy realizują zadania zlecone przez państwo w ramach ochrony zdrowia czy zabezpieczenia społecznego.
Podstawa prawna
- art. 6 ust. 1 lit. e – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO)
Tematy porad zawartych w poradniku
- przetwarzanie danych w interesie publicznym
- RODO art. 6 ust. 1 lit. e
- dane osobowe w administracji publicznej
- obowiązki urzędów i instytucji publicznych