Art. 6 ust. 1 lit. c

Bez najmniejszych wątpliwości główną przesłanką legalizująca procesy przetwarzania w administracji publicznej jest wskazana w art. 6 ust. 1 lit. c niezbędność do wypełnienia obowiązku prawnego ciążącego na administratorze. Przy czym należy pamiętać, że prawodawca dopre-cyzował warunki, które są wspólne dla obu przypadków przetwarzania występującego w sektorze publicznym (lit. c i e) i założył, iż podstawa

prawna przetwarzania musi zostać określona w prawie UE lub w prawie państwa członkowskiego, na podstawie którego działa administrator. Co

oznacza, że zasadniczo przetwarzanie powinno opierać się bezpośrednio o normę wywiedzioną z przepisu prawa, który, zważywszy na regulacje

konstytucyjne (art. 31 ust. 3 Konstytucji RP), powinien znajdować się w akcie rangi ustawy. Należy zakładać, że warunek ten dotyczy wyarty-kułowania w niej obowiązku (lub w przypadku przesłanki opisanej w lit. e) tegoż artykułu zadania realizowanego w interesie publicznym czy w ra-mach sprawowania władzy publicznej). Z faktu wskazania w przepisie obowiązku prawnego może wynikać chęć kierowania się precyzyjnymi wskazaniami nakazującymi podejmowanie określonych działań podmio-tom zobligowanym do podporządkowania się takiemu prawu. W odróż-nieniu od wcześniej obowiązującej regulacji, odwołującej się do prze-słanki realizacji ogólnie określonego uprawnienia przewidzianego przepisem prawa, nowa reguła mówi wprost o konieczności wyartyku-łowania celu przetwarzania objętego obowiązkiem. Można zatem stwier-dzić, że każdorazowo wyprowadzając przesłanki legalizujące z tej opi-sanej w literze c), należy wskazać również inny przepis opisujący ów cel, w związku z którym pojawia się obowiązek przetwarzania danych. W praktyce może się zapewne zdarzyć, że będą to także przepisy same-go RODO, które nakładają na administratora szereg obowiązków, z któ-rymi musi wiązać się przetwarzanie danych osobowych. Artykulacja celu i obowiązku nie musi być łączna – zatem przy ogólnym, normatywnym sformułowaniu celu może być precyzowana szczegółowo wyartykuło-wanymi obowiązkami albo przy jasno wskazanym celu obowiązek moż-na wyprowadzić z reguł ogólnych. Jak podnosi doktryna sytuacja

pierw-sza może dotyczyć np. obowiązków pojawiających „… się w przy: 1) realizacji praw osób, których dane dotyczą, związane z ustaleniem

tożsamości osoby żądającej realizacji uprawnienia;

2) adekwatnym umocowaniem personelu administratora do prze-twarzania, w tym z upoważnianiem i poleceniem przetwarzania oraz zobowiązaniem do zachowania odpowiedniego rodzaju tajemnicy czy weryfikacją, czy konkretna osoba spełnia kryte-ria wykonywania zawodu, z którym związana jest tajemnica zawodowa;

3) powierzaniu przetwarzania, które zazwyczaj wymaga zawarcia umowy, a co za tym idzie przetwarzania danych osób reprezen-tujących jej strony;

4) współadministrowaniu, które wymaga dokonania wspólnych ustaleń przez administratorów, gdzie udokumentowanie takich ustaleń powoduje konieczność przetwarzania informacji o oso-bach fizycznych działających w imieniu każdego ze współadmi-nistrujących podmiotów;

5) wyznaczaniu inspektora ochrony danych i informowaniu o nim organu nadzorczego, gdzie nieodzowne jest posługiwanie się danymi osobowymi konkretnej osoby fizycznej wykonującej taką funkcję u administratora itp.”47

Przy konkretnie wskazanym celu charakter przepisu bądź jego usytuowanie w dziedzinie prawa nie ma istotnego znaczenia, jeżeli jego adresatem jest administrator. W tym miejscu mogą pojawiać się wątpli-wości co do możliwątpli-wości działania na podstawie aktów rzędu niższego niż ustawa. Należy założyć, że nie powinno się wykluczać aktów niższe-go rzędu (rozporządzenia i akty prawa miejscoweniższe-go), jeżeli traktować je będziemy jako przepisy uzupełniające określające „[…] ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy przechowywania; oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetel-ność przetwarzania, w tym w innych szczególnych sytuacjach związanych z przetwarzaniem, o których mowa w rozdziale IX” RODO. Przy czym

należy, jeszcze raz podkreślić, że sam cel i obowiązek działania nałożo-ny na ADO musi być wyprowadzonałożo-ny z przepisów rangi ustawy48.

47 A. Nerka, M. Sakowska-Baryła, [w:] M. Sakowska-Baryła (red.), op. cit., s. 162.

48 Warto wskazać, że nawet na gruncie s.u.o.d.o. NSA uznał za nieważną uchwałę rady miejskiej w sprawie regulaminu utrzymania czystości i porządku na terenie miasta,

Nakładając na ADO konieczność szukania podstawy w celach wyprowadzonych z aktów normatywnych, prawodawca wyklucza zasad-niczo jako wyłączne podstawy przetwarzania danych osobowych akty stosowania prawa (decyzje, postanowienia itp.). Z drugiej strony będą one stanowiły częstokroć impuls rozpoczynający proces przetwarzania na określonym jego etapie – należy jednak mieć na uwadze, że za ich wydaniem stoją przepisy rangi ustawy i wskazane w nich cele, obowiąz-ki itd., a samo realizowanie wskazań wynikających z taobowiąz-kiego aktu sto-sowania prawa (szczególnie wyroku) jest obowiązkiem jego adresata.

Istnienie konkretnych przepisów dookreślających zadania ADO może mu ułatwić realizację zasady minimalizacji przetwarzania, ponie-waż w tym wypadku konkretny przepis często będzie wyznaczał zakres niezbędności przetwarzania. W konsekwencji przetwarzanie dokonywa-ne z naruszeniem ram wyznaczonych przez treść takiego przepisu zasad-niczo nie będzie spełniało waloru niezbędności. W przypadku braku przepisów szczegółowych – czego RODO zasadniczo nie wymaga49 ‒ ADO będzie zobowiązany do ustalenia związku między zakresem przetwa-rzania danych a realizacją obowiązku wynikającego z przepisu. Poza tym warto zwrócić uwagę, iż motyw 45 wskazuje na możliwość realizacji zadań podmiotów publicznych nawet przez osoby fizyczne: „Prawo Unii lub prawo państwa członkowskiego powinno określać także, czy admi-nistratorem wykonującym zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powinien być organ

nakładającą obowiązek znakowania psów i rejestrowania danych ich właścicieli. W ocenie NSA nałożenie takiego obowiązku w drodze uchwały rady miasta narusza art. 51 Konsty-tucji RP – również wymagającego ustawowej regulacji obowiązków związanych z ujawnia-niem informacji ‒ por. wyrok NSA z dnia 1 marca 2012 r., II OSK 2599/11.

49 Należy zwrócić uwagę, że w również w motywie 45 wskazano, iż RODO nie nakła-da wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulo-wanie prawne. Wystarczyć może to, że dane uregulouregulo-wanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administra-tor, albo że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie

publiczny czy inna osoba fizyczna lub prawna podlegająca prawu pu-blicznemu lub prawu prywatnemu [...]”. Sytuacje takie są spotykana również na gruncie prawa polskiego np. w przypadku realizowania zadań związanych z ochroną zdrowia publicznego przez lekarzy i to nawet wtedy, gdy nie korzystają oni ze środków publicznych (np. w ramach realizacji obowiązków określonych w ustawie z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi50.

Wymóg istnienia obowiązku prawnego ciążącego na konkretnym administratorze nie musi każdorazowo implikować powiązanego z nim obowiązku podania danych osobowych przez osobę, której dane podlegać mają przetwarzaniu. Zwłaszcza w przypadku istnienia zobowiązania nałożonego na organ lub podmiot publiczny może on dysponować inny-mi sposobainny-mi pozyskiwania informacji o podinny-miotach danych, wykorzy-stywanymi priorytetowo w procesie ich przetwarzania, dającymi dodat-kowo pewność co do poprawności użytych w procesie przetwarzania informacji (chodzi np. o dostęp do zasobów zawartych w Systemie Re-jestrów Państwowych poprzez aplikację ŹRÓDŁO) – konieczność we-ryfikacji danych wskazanych przez osobę, których dane dotyczą, co za-sadniczo jest warunkiem ich pełnej wiarygodności i poprawności, winna zawsze ograniczać chęć gromadzenia danych niesprawdzalnych. Wery-fikacja owa może napotykać w praktyce nieprzezwyciężalne przeszkody i musi się odbywać w formach przewidzianych prawem.