Zasada staranności przetwarzania danych

Warto na wstępie wyjaśnić, co stanowi podstawę i uzasadnienie objęcia zakresem ogólnej zasady staranności przetwarzania danych, zasad nazwanych w treści art. 5 RODO jako zgodność z prawem, rzetelność, przejrzystość, prawidłowość. Można stwierdzić, że podstawowym kryterium przyporządkowującym wymienione zasady do tej grupy jest to, że zasady te nakładają na administratora obowiązek dbałości o przetwarzanie danych na odpowiednim poziomie staranności i jednocześnie wyznaczają kierunek realizacji literalnie sformułowanych w treści RODO praw osób, których dane dotyczą, takich jak prawo do informacji o przetwarzaniu, prawo dostępu do swoich danych, prawo sprostowania i uaktualniania danych.

Z uwagi na sformułowanie zasady rzetelności i przejrzystości (choć bez nadania nazwy) już na gruncie uchylonych przepisów regulujących ochronę danych osobowych (w tym na początku przepisu art. 26 ust. 1 UODO z 1997 r. zgodnie z którym administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą) wydaje się, że jest ona podstawowym i ogólnym standardem ochrony danych osobowych. Odnosząc się do Dyrektywy 95/46/WE, zauważyć należy, że w jej polskim tłumaczeniu używane było słowo rzetelność, a nie staranność jak w UODO z 1997 r., jednakże można przyjąć, że określenia te mają charakter synonimów. Prawodawca unijny sformułował zasadę rzetelności przetwarzania danych osobowych w treści art. 6 ust. 1 lit. a Dyrektywy 95/46/WE, gdzie poprzez sformułowanie, że państwa członkowskie zapewniają, aby dane osobowe były przetwarzane rzetelnie i legalnie, połączono ją wraz z zasadą legalności281

. Na gruncie RODO prawodawca bardzo powierzchownie potraktował regulację zasady rzetelności, stanowiąc jedynie, że przetwarzanie ma być zgodne z prawem, rzetelne i w sposób przejrzysty dla osoby, której dane dotyczą. Istnieje więc konieczność

281

O rzetelności wspominał prawodawca unijny już w treści preambuły Dyrektywy 95/46/WE. W motywie 28 stwierdził, że przetwarzanie danych osobowych musi być zgodne z prawem i rzetelne wobec zainteresowanych osób. Cecha rzetelności w przetwarzaniu danych osobowych rozwinięta została w treści motywu 38 preambuły Dyrektywy, zgodnie z którym jeżeli przetwarzanie danych ma być rzetelne, osoba, której dane dotyczą, musi mieć możliwość dotarcia do informacji o wystąpieniu czynności przetwarzania danych oraz, jeżeli dane są uzyskiwane od niej, musi otrzymać dokładne i pełne informacje, uwzględniające okoliczności pozyskiwania danych.

104

odniesienia się do przepisów obowiązujących przed dniem 25 maja 2018 roku. Pozwalają one przyjąć, że przejawem rzetelnego przetwarzania danych osobowych jest umożliwienie osobie, której dane dotyczą, uzyskania informacji o tym, że jej dane są przetwarzane a także o okolicznościach pozyskiwania danych (co można rozumieć jako informacje o tym skąd są dane, w jakim celu są zbierane, jak długo i przez kogo będą przetwarzane). Z motywu 60 preambuły RODO wynika, że zasady rzetelnego i przejrzystego przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach. Administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych. Jednakże sama zasada jest sformułowana w art. 5 RODO nie w sposób odrębny, lecz w połączeniu z innymi. Zgodnie z jego treścią dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”). Kwestia rzetelności i przejrzystości przetwarzania na gruncie RODO nie ma wypracowanej stałej interpretacji i stanowi przedmiot interpretacji w indywidualnych przypadkach, a wpływ na nią ma m.in. postęp technologiczny czy skala przetwarzania danych i działalności administratora danych²⁸².

Elementem, na który trzeba zwrócić uwagę, jest przejrzystość przetwarzania danych, nie występująca wprost w przepisach Dyrektywy 95/46/WE ani też UODO z 1997 r. Można ją powiązać z zasadą transparentności procesu przetwarzania danych osobowych, która została przewidziana w punkcie 12 Rekomendacji Organizacji Współpracy Gospodarczej i Rozwoju (OECD) z dnia 23 września 1980 r., w sprawie wytycznych dotyczących ochrony prywatności i przekazywania danych osobowych pomiędzy krajami²⁸³. W nauce prawa wskazuje się, że realizacją zasady transparentności jest wymóg

publicznego udostępnienia informacji o dokonywanym przetwarzaniu danych oraz, że zasada ta stanowi podstawy społecznej kontroli nad danymi będącymi w zasobach administratora, a co za tym idzie, buduje system kontroli jednostki nad danymi osobowymi²⁸⁴.

282 M. Krzysztofek, Ochrona…, op. cit., s. 58.

283 Tekst w języku angielskim dostępny na stronie http://www.giodo.gov.pl/pl/147/713. Dokument ten to jedynie zalecenia Rady OECD, nie ma on charakteru wiążącego.

105

Zasada rzetelności i przejrzystości przetwarzania danych osobowych wyraża obowiązek nałożony na administratora danych, polegający na dbaniu o interesy osoby, której dane dotyczą, w trakcie przetwarzania jej danych. W nauce prawa postrzegana jest jako wytyczna postępowania, zgodnie z którą przy podejmowaniu jakichkolwiek czynności przetwarzania administrator powinien dokładać staranności by wybrać taki sposób przetwarzania, który pozwoli mu osiągnąć cel przetwarzania, ale jednocześnie w jak najmniejszym stopniu będzie narażał interesy podmiotu danych (osoby, której dane dotyczą)285. Innymi słowy można powiedzieć, że istotne jest zachowanie równowagi i proporcji pomiędzy celami administratora a prawami osoby, a przetwarzanie ma być jak najmniej uciążliwe dla jej interesów. Podobnie jak w przypadku funkcjonującego do dnia 25 maja 2018 roku elementu definicji danych osobowych, jakim było ograniczenie nadmiernych kosztów czasu i działań, również w tym przypadku odwołać się należy do zasady rozsądku286

.

Przepisy o ochronie danych osobowych (zarówno uchylone jak i aktualnie obowiązujące) wymagają od administratora danych osobowych staranności na poziomie szczególnym, podwyższonej staranności profesjonalisty. Należyta staranność w zakresie prowadzonej działalności gospodarczej oceniana jest z uwzględnieniem zawodowego charakteru tej działalności. Mierniki staranności zawodowej są automatycznie uwzględniane i nie ma znaczenia, czy z charakteru stosunku, jego rodzaju i treści wynikają konkretne wskazania dotyczące wymagań od profesjonalisty287. Podwyższona staranność w tym przypadku wymagana jest przede wszystkim z uwagi na ochronę praw podmiotów danych.

Zdaniem Sądu Administracyjnego w Warszawie administrator przetwarzający dane osobowe powinien uwzględniać zarówno niemajątkowe, jak i majątkowe interesy osób, których te dane dotyczą. Jego działania muszą charakteryzować się "szczególną starannością", jeśli chodzi o respektowanie tych interesów. Ma to być zatem staranność większa od zwykłej, przeciętnej, czy nawet należytej288

. Należy zgodzić się z poglądem, że obowiązek szczególnej staranności powinien być postrzegany jako obowiązek dochowania staranności najwyższej, której można oczekiwać od osoby przetwarzającej dane osobowe,

285 M. Jagielski, Prawo..., op. cit., s. 79.

286 Zob. szerzej: K. Malinowska, Umowa..., op. cit., s. 247 i n.

287 B. Fuchs [w:] M. Habdas, M. Fras (red.) Kodeks cywilny. Komentarz, tom III, Warszawa 2018, s. 59.

288

Wyrok Wojewódzkiego Sądu Administracyjnego siedziba w Warszawie z dnia 5 listopada 2010 r., II SA/Wa 964/10, Legalis nr 379532.

106

ponieważ przemawia za tym cel tego obowiązku, jakim jest ochrona interesów podmiotów danych²⁸⁹.

Dla przykładu jako zachowanie szczególnej staranności w przetwarzaniu danych osobowych postrzegać można to, że administrator danych powinien unikać sytuacji, kiedy przetwarza dane osobowe ze świadomością, że są one pozyskiwane nielegalnie, od podmiotów lub ze źródeł, o których nielegalnym charakterze mógł się dowiedzieć przy dochowaniu należytej staranności290

. Ponadto, należyta staranność administratora przejawia się w sytuacji powierzenia przetwarzania danych osobowych podmiotowi zewnętrznemu. Administrator powinien przed dokonaniem powierzenia zweryfikować, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO). Dopiero uzyskanie takiego zapewnienia może skutkować zawarciem umowy powierzenia. Jako dobrą praktykę wykazującą dochowanie należytej staranności przez administratora można również uznać uprzednie sprawdzenie potencjalnego podmiotu przetwarzającego, jakie zabezpieczenia danych osobowych stosuje (np. poprzez rozeznanie w opiniach na temat tego podmiotu, zadanie mu pytań czy też w ramach profesjonalnego audytu bezpieczeństwa u przyszłego podwykonawcy), jak również weryfikację, czy podmiot nie będzie sprzeciwiał się zawarciu umowy powierzenia.

Przykładem naruszenia tej zasady może być umieszczenie klauzuli zgody na przetwarzanie danych osobowych w celach marketingowych pośród klauzul zgody na inne cele i objęcie ich wszystkich jednym podpisem podmiotu danych, co w konsekwencji praktycznie uniemożliwia mu odmowę wyrażenia zgody na działania marketingowe, kiedy zgadza się na przetwarzanie w reszcie wskazanych celów291

. Innym przypadkiem niedochowania należytej staranności przez administratora będzie niesprawdzenie podmiotu przetwarzającego przed zawarciem umowy powierzenia przetwarzania danych osobowych.

Dokonując analizy przepisów UODO z 1997 r., Dyrektywy 95/46/WE, jak i RODO można wywnioskować, że realizacją zasady rzetelności przetwarzania danych osobowych

289 P. Barta, P. Litwiński, Ustawa…, op. cit., s. 291 i cytowany tam R. Szałowski .

290

Ibidem, s. 292.

107

będzie spełnianie tzw. obowiązku informacyjnego292

przez administratora danych²⁹³. Warto zwrócić uwagę, jak istotna jest to kwestia dla prawodawcy, skoro regulacja prawna bezpośrednio stosowana od 25 maja 2018 roku zmieniła się w sposób bardzo wyraźny. Ustawodawca w treści art. 24 UODO z 1997 r. wypunktował 4 kwestie, o których poinformowanie stanowiło obowiązek administratora danych osobowych. Były to po pierwsze, adres siedziby i pełna nazwa administratora danych, a w przypadku gdy administratorem danych jest osoba fizyczna - miejsce zamieszkania oraz imię i nazwisko; po drugie, cel zbierania danych, a w szczególności znani administratorowi w czasie udzielania informacji lub przewidywani odbiorcy lub kategorie odbiorców danych, po trzecie, prawo dostępu do treści danych oraz ich poprawiania; po czwarte, dobrowolność albo obowiązek podania danych, a jeżeli taki obowiązek istnieje, jego podstawa prawna. W treści art. 13 i 14 RODO wymagania co do treści klauzuli informacyjnej zostały znacznie rozszerzone, dla przykładu o okres, przez który dane osobowe będą przechowywane, czy też informacje o profilowaniu, realizacji szeregu praw podmiotu danych, a także o odbiorcach danych (przy czym na gruncie RODO odbiorcą jest również podmiot przetwarzający, co stanowi novum w odniesieniu do nieobowiązujących przepisów UODO z 1997r.)294. Znacznie więcej informacji ma być przekazywanych podmiotom danych, co jednocześnie może utrudniać działalność administratorów. Komplikacje w spełnianiu zasady rzetelności i przejrzystości przetwarzania po stronie administratora danych są widoczne np. w przypadku konieczności zrealizowania obowiązku informacyjnego w tak rozszerzonej formie podczas rozmów telefonicznych, które są nagrywane czy też podczas udzielania pomocy przez

292 Zagadnienie obowiązków informacyjnych jest znane również innym dziedzinom prawa poza ochroną danych osobowych. Dla przykładu, na gruncie prawa ubezpieczeniowego obowiązki informacyjne pośredników ubezpieczeniowych są istotnym elementem ochrony konsumenta na rynku finansowym, gdzie są one obecnie znacznie rozszerzane w dyrektywach unijnych.

Szerzej na ten temat: M. Szaraniec, Działalność ubezpieczeniowa pośredników ubezpieczeniowych. Studium

publicznoprawne, Warszawa 2017.

293

Obowiązek informacyjny sformułowany jest w treści art. 13 RODO (był w treści art. 24 UODO) – w wersji podstawowej, gdy dane zbierane są od osoby, której dotyczą, oraz w treści art. 14 RODO (wcześniej art. 25 UODO) – w wersji rozszerzonej, w przypadku, gdy dane zbierane są nie od osoby, której dotyczą. Wersja podstawowa jest w praktyce realizowana częściej.

294 Treść art. 4 pkt 9 RODO stanowi że „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania. Natomiast zgodnie z treścią art. 7 pkt 7 UODO odbiorcą był każdy, komu udostępnia się dane osobowe, z wyłączeniem: a) osoby, której dane dotyczą, b) osoby upoważnionej do przetwarzania danych, c) przedstawiciela, o którym mowa w art. 31a, d) podmiotu, o

którym mowa w art. 31, e) organów państwowych lub organów samorządu terytorialnego, którym dane są

108

ratowników medycznych. Zasada staranności przetwarzania danych uwidacznia się przede wszystkim w tym kontekście, że obowiązek informacyjny ma charakter obowiązku aktywnego, co oznacza, że to po stronie administratora danych leży inicjatywa jego wykonania, a nie biernie oczekuje wystąpienia z żądaniem udzielenia informacji przez podmiot danych²⁹⁵.

Warto zauważyć, że zasada rzetelności i przejrzystości w aspekcie redakcyjnym zyskała na ważności poprzez umieszczenie jej jako pierwszej w katalogu zasad w treści art. 5 RODO, podczas gdy na gruncie UODO z 1997 r. nie była wprost nazwana i zawarto ją w odległym artykule 26. Z drugiej jednak strony można powiedzieć, że aktualnie zdeprecjonowano ją poprzez połączenie jej z zasadą zgodności z prawem i ustawienie w szeregu reszty zasad, podczas gdy w treści art. 26 UODO z 1997r. można było przyznać jej miano zasady naczelnej, która była punktem wyjścia dla innych zasad przetwarzania danych. Świadczyło o tym już samo sformułowanie, że podstawowym obowiązkiem administratora jest dołożenie szczególnej staranności w celu ochrony interesów osób, a w szczególności jest on obowiązany do spełnienia wymogów, z których wywodziły się odrębne zasady przetwarzania danych. Ponadto można powiedzieć, że wszystkie pozostałe zasady (legalności, adekwatności i niezbędności danych do celów, merytorycznej poprawności danych, ograniczonego czasu przetwarzania) stanowiły jednocześnie samodzielne dyrektywy działania i elementy składające się na zasadę rzetelności i przejrzystości przetwarzania danych osobowych.

W aspekcie przejrzystości przetwarzania danych osobowych, wypada zająć stanowisko, że realizowana jest ona przede wszystkim poprzez zobowiązanie administratora do podejmowania odpowiednich środków, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji, oraz prowadzić z nią wszelką komunikację w sprawie przetwarzania (art. 12 RODO). Na gruncie nauki prawa wyjaśnia się, że o przejrzystości (transparentności) procesów przetwarzania danych można mówić tylko wtedy, jeżeli osoba, której dane dotyczą, została należycie poinformowana o istotnych dla niej aspektach tego przetwarzania²⁹⁶.Zasada przejrzystości przejawia się w wielu obowiązkach nałożonych przez prawodawcę na administratorów danych również poza treścią powołanego art. 12 RODO. Wśród nich wymienić można: uświadamianie osobom

295

P. Barta, P. Litwiński, Ustawa…, op. cit. ,s. 285.

109

fizycznym ryzyka, zasad, zabezpieczeń i praw związanych z przetwarzaniem danych osobowych, informowanie o prowadzeniu operacji na danych osobowych i celach przetwarzania, o dokonywaniu profilowania i jego konsekwencjach. Wymóg przetwarzania danych osobowych w sposób przejrzysty dla podmiotu danych został dodany w treści RODO, Dyrektywa 95/46/WE nie uwypuklała tej zasady w sposób tak dosłowny, ale też trudno uznać ją za novum, gdyż wywodzona była z zasady rzetelności już wcześniej.

Odnosząc powyższe uwagi dotyczące zasady rzetelności i przejrzystości przetwarzania danych osobowych do problematyki powierzenia przetwarzania danych osobowych, można zająć stanowisko, że aktualnie obowiązujące przepisy nie pozwalają jednoznacznie stwierdzić, czy w aspekcie powierzenia przetwarzania danych osobowych zasada ta jest w pełni realizowana. Trzeba zwrócić uwagę, że do dnia 25 maja 2018 roku administrator danych w ogóle nie miał obowiązku informować osoby, której dane dotyczą, o tym, że powierza jej dane innemu podmiotowi. W treści art. 24 UODO z 1997 r. nie było zobowiązania do informowania o fakcie powierzenia danych. Była natomiast wzmianka o obowiązku administratora poinformowania o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach danych. Jednocześnie z definicji pojęcia odbiorcy zawartej w art. 7 pkt 6 UODO z 1997 r. wyłączony był podmiot przetwarzający. Należy zatem rozumieć, że zasadą było, że osoba, której dane dotyczą nie wiedziała, że jej dane są w dyspozycji zupełnie innego podmiotu, niż administrator danych, któremu osoba podała swoje dane np. na podstawie klauzuli zgody na przetwarzanie. Taki stan rzeczy zdecydowanie powodował niepewność jeśli chodzi o rzetelność i przejrzystość przetwarzania danych. Od 25 maja 2018 roku sytuacja uległa zmianie.

Aktualnie z treści art. 13 i 14 RODO wynika obowiązek informowania podmiotu danych o odbiorcach danych osobowych lub o kategoriach odbiorców, choć bezpośrednio nie wskazuje się podmiotów przetwarzających. Istotne jest przy tym, że na gruncie RODO funkcjonuje nowe rozumienie pojęcia odbiorcy i są to zarówno podmioty, którym udostępniono dane, jak i podmioty przetwarzające dane osobowe na zlecenie administratora, a nawet podwykonawców tych podmiotów297, ponieważ nie ma tu wyłączenia podmiotu przetwarzającego z definicji odbiorcy, które zawierał przepis art. 7 pkt 6 UODO z 1997 r.. Oznacza to, że administrator danych realizując obowiązek

297

P. Kalina [w:] P. Walczak (red.), Dokumentacja wewnętrzna w jednostkach sektora finansów publicznych, 2018, Legalis.

110

informacyjny, jest zobowiązany do poinformowania osoby, której dane dotyczą, o tym, komu powierza przetwarzanie jej danych osobowych. Zrozumiałe jest, że na działanie administratora polegające na powierzeniu danych nie jest wymagana zgoda podmiotu danych. Wynika to z faktu, że powierzenie jest czynnością wchodzącą w zakres przetwarzania, co do którego administrator spełnia (powinien spełniać) co najmniej jedną z przesłanek dopuszczalności. Np. zgoda osoby, której dane dotyczą jest zgodą na cały proces przetwarzania, zatem zbędne jest uzyskiwanie oddzielnej i kolejnej zgody na powierzenie danych. Jednakże kwestia poinformowania osoby o powierzeniu jej danych innemu podmiotowi, stanowi jedno z podstawowych założeń zasady rzetelności i przejrzystości przetwarzania danych

Wątpliwość od strony praktycznej jednak budzi to, jaki jest zakres szczegółowości takiej informacji. Nie wiadomo dokładnie, czy w treści klauzuli informacyjnej podmioty przetwarzające mają być wymienione z nazwy, czy też mogą być określone rodzajowo. Z obserwacji rodzącej się praktyki stosowania art. 13 i 14 RODO wynika, że druga opcja jest dominująca. Nie wszystkie podmioty chcą ujawniać z kim współpracują bo może to być traktowane jako tajemnica przedsiębiorstwa. Ponadto bez wątpienia należy uznać przepis sformułowany w art. 28 ust. 1 RODO za realizujący zasadę rzetelności i przejrzystości przetwarzania danych pod kątem powierzania przetwarzania danych. Stanowi on, że jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają

wystarczające gwarancje wdrożenia odpowiednich środków technicznych

i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą. Rzetelność przejawia się tu w dbałości administratora o staranne i bezpieczne przetwarzanie danych poprzez wybór odpowiedniego podmiotu przetwarzającego, który zagwarantuje stosowanie przepisów RODO.

Przepisy UODO z 1997r. w kontekście powierzenia nie gwarantowały spełnienia zasady rzetelności i przejrzystości. Natomiast w regulacjach RODO rzetelność i przejrzystość przetwarzania w kontekście powierzenia przetwarzania danych osobowych przejawia się w doborze odpowiedniego podmiotu przetwarzającego dane w imieniu administratora jak również w wymogu poinformowania podmiotu danych w treści klauzuli informacyjnej o odbiorcach danych, w tym o podmiotach przetwarzających dane na zlecenie administratora w drodze umowy, a także poprzez transparentną i zrozumiałą komunikację. Z perspektywy osób, których dane dotyczą, jest to zmiana pozytywna,

111

jednakże z perspektywy administratorów, może powodować spore utrudnienia, np. godzić w tajemnice przedsiębiorstwa. Dla zapewnienia spójności przepisów i podkreślenia wagi informacji o dokonywanym powierzeniu można zaproponować de lege ferenda zmianę w treści art. 28 RODO poprzez dodanie ustępu 11, który stanowiłby, że w przypadku, gdy dane osobowe są lub będą przetwarzane w imieniu administratora przez podmiot przetwarzający, administrator danych informuje o tym osobę, której dane dotyczą.

Ogólnie można powiedzieć, że zasada przetwarzania zgodnie z prawem, przyjęta powszechnie jako zasada legalności przetwarzania, wyznacza kryteria oceny tego, czy przetwarzanie w określonej sytuacji jest dozwolone czy zabronione. W nauce prawa wyrażono pogląd, że przetwarzanie nielegalne ignoruje obowiązek lub zakaz określony w przepisach prawa, w szczególności jest to przetwarzanie danych bez podstawy prawnej lub w celu niezgodnym z prawem²⁹⁸.

Niejednokrotnie zasada legalności bywa traktowana jako podstawowy punkt odniesienia dla pozostałych zasad przetwarzania danych osobowych299. W treści RODO (art. 5 ust. 1 lit. a RODO) jest jednakże połączona z zasadą rzetelności i przejrzystości, co formalnie nie daje jej nadrzędnej pozycji nad innymi zasadami przetwarzania danych. Z drugiej jednak strony, niepodważalna wartość zasady legalności przejawia się w tym, że na jej podstawie określone zostały przesłanki dopuszczalności przetwarzania danych osobowych³⁰⁰.

Rozbieżności wśród przedstawicieli nauki prawa nie budzi to, jak należy rozumieć zgodność przetwarzania z prawem. Zdaniem A. Drozda zwrot „zgodnie z prawem” jest na tyle szeroki, że obejmuje wszystkie normy prawne obowiązujące zgodnie z koncepcją źródeł prawa przyjętą w Konstytucji, a ponadto, pomimo braku wyraźnego odniesienia do