ADO nie musi uzyskiwać zgody podmiotu danych, w zakresie, w jakim przetwarza je w celu realizacji prawnego obowiązku

Jak wiadomo, podstawy przetwarzania danych osobowych (zwykłych) określa art. 6 ust. 1 RODO. Jedną z tych podstaw – wskazaną w lit. c przytoczonego przepisu – jest niezbędność przetwarzania do wypełnienia obowiązku prawnego ciążącego na administratorze.

Jeżeli przepis, na podstawie którego administrator będzie przetwarzał dane, nie wskazuje jakie dane administrator może zebrać, należy wówczas przede wszystkim kierować się zasadą minimalizacji danych, zgodnie z którą dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (art. 5 ust. 1 lit. c RODO). Oznacza to, że administrator danych może pozyskać od osoby fizycznej tylko te dane, które są mu niezbędne do realizacji ciążącego na nim prawnego obowiązku. Jeżeli pozyskuje tylko takie niezbędne dane, nie musi uzyskiwać zgody na ich przetwarzanie.

Podstawy przetwarzania danych osobowych wymienione w art. 6 ust. 1 RODO mają charakter równorzędny. Wystarczy spełnić jedną nich, aby przetwarzanie danych było zgodne z prawem. Wszystkie te podstawy mają jednakową moc prawną, a zatem zgoda na przetwarzanie danych (lit. a) jest tak samo ważną podstawą prawną jak np. niezbędność przetwarzania do wypełnienia obowiązku prawnego ciążącego na administratorze (lit. c). W związku z tym, jeżeli administrator danych ma podstawę prawną do ich przetwarzania wynikającą z art. 6 ust. 1 lit. c RODO, to nie musi szukać dodatkowej podstawy do ich przetwarzania, np. pozyskiwać zgody od osób, których dane ma zamiar przetwarzać.

Jeżeli natomiast w ramach wykonywania ciążącego na nim prawnego obowiązku administrator pozyska dodatkowe dane, które nie są mu niezbędne do realizacji tego obowiązku, będzie musiał uzyskać zgodę na ich przetwarzanie. Z tego właśnie względu administrator powinien kierować się zasadą minimalizacji danych.