W dokumentach urzędowych najwięcej problemów nie robi samo zbieranie danych, tylko wybór właściwej podstawy prawnej. Artykuł 6 RODO porządkuje to bardzo praktycznie: pokazuje, kiedy urząd, szkoła albo inna instytucja publiczna może przetwarzać dane na podstawie obowiązku prawnego, zadania publicznego, umowy, zgody albo prawnie uzasadnionego interesu. Poniżej wyjaśniam to bez prawniczego nadęcia, z przykładami z polskich realiów i z naciskiem na to, jak poprawnie opisać to w formularzach, klauzulach informacyjnych i innych urzędowych dokumentach.
Najkrócej w dokumentach urzędowych najpierw szuka się przepisu, nie zgody
- W administracji publicznej najczęściej działają podstawy z art. 6 ust. 1 lit. c i e RODO.
- Zgoda nie zastępuje przepisu, jeśli urząd i tak musi przetwarzać dane na podstawie prawa.
- Każdy formularz powinien mieć jasno wskazany cel, podstawę prawną i okres przechowywania danych.
- Jeśli dokument zawiera dane wrażliwe, samo art. 6 nie wystarczy i trzeba sprawdzić też art. 9 albo art. 10 RODO.
- W praktyce błąd najczęściej polega nie na braku ochrony, ale na zbyt ogólnym albo błędnym opisie podstawy.
Co oznacza art. 6 RODO w praktyce
Art. 6 RODO mówi wprost, że przetwarzanie danych osobowych jest legalne tylko wtedy, gdy da się je oprzeć na co najmniej jednej z wymienionych podstaw. To ważne, bo sama obecność formularza, pieczątki albo wewnętrznej procedury nie wystarcza. Najpierw musi istnieć konkretna podstawa prawna, a dopiero potem sposób zbierania i opisywania danych.
W dokumentach urzędowych ta zasada działa szczególnie mocno. Jeśli urząd albo szkoła wykonuje zadanie wynikające z przepisów, zwykle opiera się na obowiązku prawnym albo zadaniu realizowanym w interesie publicznym. Z kolei zgoda ma sens raczej wtedy, gdy dana czynność jest naprawdę dodatkowa i dobrowolna, a odmowa nie wpływa na załatwienie sprawy. Tak właśnie patrzy na to praktyka nadzorcza: w sektorze publicznym podstawowe znaczenie mają lit. c i e, a nie lit. f.
Warto też pamiętać o art. 6 ust. 3 RODO. Ten przepis doprecyzowuje, że przy podstawie z lit. c i e szczegóły muszą wynikać z prawa Unii albo prawa krajowego. W praktyce oznacza to, że dokument urzędowy nie powinien opierać się na ogólnym sformułowaniu typu „na potrzeby realizacji zadań”, tylko na realnym przepisie, który wyznacza cel, zakres i granice przetwarzania. To właśnie odróżnia poprawną podstawę od pustej deklaracji. Przejdźmy teraz do tego, która przesłanka działa najczęściej i dlaczego.
Która przesłanka z art. 6 działa najczęściej w praktyce
Jeśli patrzę na dokumenty urzędowe bez teoretycznego balastu, to widać dość wyraźny układ: publiczne instytucje najczęściej korzystają z obowiązku prawnego albo z zadania publicznego. Zgoda i prawnie uzasadniony interes pojawiają się rzadziej, a w przypadku wielu zadań publicznych po prostu nie są właściwą bazą.
| Podstawa | Kiedy działa | Przykład z dokumentów urzędowych | Uwaga praktyczna |
|---|---|---|---|
| Art. 6 ust. 1 lit. a | Gdy osoba ma realny wybór i może odmówić bez negatywnych skutków | Dobrowolna zgoda na publikację zdjęcia z wydarzenia szkolnego | Nie wolno jej mieszać z obowiązkiem załatwienia sprawy |
| Art. 6 ust. 1 lit. b | Gdy dane są potrzebne do wykonania umowy lub działań przed umową | Umowa z kontrahentem obsługującym jednostkę publiczną | To nie jest typowa podstawa dla klasycznego postępowania administracyjnego |
| Art. 6 ust. 1 lit. c | Gdy przepis nakazuje zebrać, zweryfikować lub przechować dane | Wniosek, rejestr, decyzja, dokumentacja kancelaryjna | To jedna z najczęstszych podstaw w urzędzie |
| Art. 6 ust. 1 lit. d | Gdy trzeba chronić życie lub zdrowie w sytuacji nagłej | Interwencja przy zdarzeniu losowym | To wyjątek, nie codzienna podstawa dla dokumentacji |
| Art. 6 ust. 1 lit. e | Gdy instytucja realizuje zadanie publiczne albo działa w ramach władzy publicznej | Legitymacja szkolna, rekrutacja, wydanie zaświadczenia | W sektorze publicznym ta podstawa pojawia się bardzo często |
| Art. 6 ust. 1 lit. f | Gdy administrator ma prawnie uzasadniony interes i nie przeważają prawa osoby | Ochrona mienia, dochodzenie roszczeń u prywatnego podmiotu | Co do zasady nie jest typową podstawą dla organów publicznych działających w ramach swoich zadań |
UODO wielokrotnie podkreśla, że w przypadku podmiotów publicznych co do zasady pierwsze miejsce zajmują lit. c i e, a nie zgoda czy prawnie uzasadniony interes. To dobrze widać na prostym przykładzie: urząd nie powinien uzależniać załatwienia sprawy od wyrażenia zgody, jeśli przetwarzanie danych wynika już z przepisów. Taki porządek naprawdę upraszcza dokumenty, bo od razu wiadomo, co wolno zebrać i dlaczego. Skoro to jasne, przejdźmy do praktycznego dobierania podstawy do konkretnego formularza.
Jak dobrać podstawę prawną do konkretnego dokumentu
Ja zawsze zaczynam od jednego pytania: po co ten dokument powstaje i czy dany organ w ogóle ma prawo żądać tych danych. Dopiero potem dobieram podstawę. To prostsze niż wygląda, ale tylko wtedy, gdy przejdzie się przez proces w dobrej kolejności.
- Ustal cel dokumentu. Czy chodzi o wydanie decyzji, przyjęcie wniosku, prowadzenie rejestru, potwierdzenie statusu, czy może o czynność dodatkową.
- Znajdź przepis szczególny. W dokumentach urzędowych to zwykle on decyduje, czy baza będzie z lit. c, czy z lit. e.
- Sprawdź, czy dane są niezbędne. Jeśli formularz zbiera coś tylko „na wszelki wypadek”, to zwykle jest to zły kierunek.
- Oddziel dane zwykłe od szczególnych kategorii. Informacja o adresie to nie to samo co dane o zdrowiu, niepełnosprawności albo przekonaniach.
- Wpisz podstawę do dokumentu i do klauzuli informacyjnej. Samo przechowywanie jej w głowie nie wystarcza.
Przykład z życia szkoły lub urzędu wygląda zazwyczaj tak: formularz rekrutacyjny opiera się na przepisach o naborze, wniosek o wydanie zaświadczenia na przepisach określających kompetencje organu, a dodatkowa publikacja zdjęcia z uroczystości szkolnej może już wymagać zgody, jeśli jest naprawdę dobrowolna. To właśnie rozdzielenie czynności obowiązkowych od dodatkowych robi największą różnicę. A kiedy podstawa jest już dobrana, trzeba jeszcze poprawnie opisać ją dla osoby, której dane dotyczą.
Dlaczego klauzula informacyjna musi wskazywać nie tylko cel, ale też podstawę
Przy zbieraniu danych od osoby art. 13 RODO wymaga podania m.in. celu przetwarzania i jego podstawy prawnej. Gdy dane pochodzą nie od samej osoby, tylko z innego źródła, wchodzi w grę art. 14 RODO i obowiązek informacyjny wygląda podobnie, ale obejmuje też źródło danych. W dokumentach urzędowych to nie jest formalność do odhaczenia. To element, który pozwala osobie zrozumieć, dlaczego jej dane są zbierane i jak długo będą przetwarzane.
W praktyce dobra klauzula informacyjna powinna zawierać co najmniej:
- cel przetwarzania opisany konkretnie, a nie ogólnikowo,
- podstawę prawną z podaniem właściwego przepisu,
- odbiorców danych albo ich kategorie,
- okres przechowywania albo kryteria jego ustalania,
- prawa osoby i informację o możliwości wniesienia skargi do Prezesa UODO,
- informację o źródle danych, jeśli nie zostały zebrane bezpośrednio.
W dokumentach urzędowych najlepiej działa jedna spójna klauzula, dopasowana do rzeczywistego procesu, zamiast kilku kopii różniących się drobiazgami. To szczególnie ważne w szkołach i jednostkach edukacyjnych, gdzie ten sam wzór bywa używany w wersji papierowej, elektronicznej i w komunikacji z rodzicami. Gdy klauzula jest zbyt ogólna, osoba nie wie, czego dotyczy przetwarzanie, a administrator sam sobie komplikuje obronę podstawy. Z tego wynika kolejna sprawa: najczęstsze błędy są bardzo powtarzalne i łatwo je wyłapać.
Najczęstsze błędy, które psują zgodność dokumentów urzędowych
W praktyce widzę, że problem rzadko polega na całkowitym braku podstawy. Częściej chodzi o to, że dokument jest napisany zbyt szeroko, zbyt zachowawczo albo po prostu na skróty. UODO często przypomina, że sama zgoda nie rozwiązuje problemu, jeśli przepis już nakazuje pobranie danych. To ważne, bo taki błąd bywa później powielany w kolejnych formularzach.
- Wymuszanie zgody tam, gdzie działa przepis. Jeśli urząd musi zebrać dane, nie powinien udawać, że wszystko zależy od zgody obywatela.
- Zbieranie danych „na zapas”. W dokumentach urzędowych to częsty odruch, ale w RODO jest to słaby nawyk. Zbieraj tylko to, co potrzebne.
- Ogólnikowa podstawa prawna. Samo hasło „RODO” albo „przetwarzamy zgodnie z przepisami” nie wystarcza.
- Pomijanie czasu przechowywania. Dokument urzędowy nie kończy życia w momencie złożenia podpisu. Trzeba wiedzieć, jak długo będzie trzymany i na jakiej podstawie.
- Łączenie różnych celów w jednym formularzu. Inaczej wygląda obsługa wniosku, inaczej działania dodatkowe, a jeszcze inaczej komunikacja promocyjna.
- Brak rozróżnienia między danymi zwykłymi i szczególnymi. To szczególnie ryzykowne przy dokumentach szkolnych, socjalnych i medycznych.
Jeśli miałbym wskazać jeden błąd, który najbardziej szkodzi jakości dokumentów, to byłoby nim mylenie „wygody administracyjnej” z „niezbędnością”. To nie jest to samo. I właśnie dlatego w kolejnym kroku trzeba sprawdzić, czy sam art. 6 w ogóle wystarczy, czy dokument zahacza już o bardziej wymagające przepisy.
Kiedy art. 6 nie wystarcza i trzeba sprawdzić art. 9 albo art. 10
Nie każdy dokument urzędowy ogranicza się do zwykłych danych identyfikacyjnych. Czasem pojawiają się tam informacje o zdrowiu, niepełnosprawności, przekonaniach religijnych, przynależności związkowej, danych biometrycznych albo o wyrokach i naruszeniach prawa. Wtedy sam art. 6 RODO nie wystarczy, bo wchodzą w grę dodatkowe reżimy ochrony.
W przypadku danych szczególnych kategorii trzeba szukać podstawy w art. 9 RODO, a w praktyce administracyjnej często także w przepisie szczególnym prawa krajowego. Dla danych o wyrokach skazujących i naruszeniach prawa znaczenie ma art. 10 RODO i odpowiednie przepisy państwowe. To nie są drobne niuanse. W dokumentach urzędowych błąd w tym miejscu może całkowicie zmienić ocenę legalności przetwarzania.
W szkołach i innych instytucjach edukacyjnych to szczególnie ważne. Formularz pomocy materialnej, dokumenty dotyczące kształcenia specjalnego czy zaświadczenia medyczne często zawierają dane, których nie wolno traktować jak zwykłego adresu czy numeru telefonu. Jeśli dana informacja nie jest potrzebna do załatwienia sprawy, nie powinna trafić do dokumentu tylko dlatego, że „tak się robiło od lat”. To właśnie tutaj najłatwiej o nadmiarowe zbieranie danych. Zostaje więc pytanie, jak spiąć to wszystko w jeden prosty proces.
Jak ułożyć zgodny z RODO dokument od początku, bez poprawiania go po fakcie
Najpraktyczniejsza kolejność jest zaskakująco prosta: najpierw cel, potem podstawa, potem zakres danych, a dopiero później treść formularza i klauzuli informacyjnej. Jeśli ten porządek zostanie zachowany, większość problemów znika jeszcze przed drukiem albo wdrożeniem systemu elektronicznego.
- Opisz sprawę jednym zdaniem. Co dokładnie ma się wydarzyć po złożeniu dokumentu?
- Wskaż przepis, który daje podstawę do żądania danych. Bez tego formularz jest zbyt ogólny.
- Usuń pola, których naprawdę nie potrzebujesz. Im mniej zbędnych danych, tym mniej ryzyka.
- Dodaj jasną klauzulę informacyjną. Osoba ma wiedzieć, kto przetwarza dane, po co i jak długo.
- Sprawdź, czy nie wchodzisz w art. 9 albo art. 10 RODO. To moment, w którym wiele wzorów wymaga dodatkowego zabezpieczenia.
Jeśli dokument urzędowy ma być naprawdę zgodny z RODO, nie wystarczy go „ozdobić” formułką o ochronie danych. Trzeba go oprzeć na konkretnej podstawie, ograniczyć do niezbędnych informacji i opisać wszystko w sposób zrozumiały dla osoby, która składa wniosek albo podpisuje oświadczenie. To zwykle daje lepszy efekt niż późniejsze poprawki po skardze, pytaniu od interesanta albo kontroli.
