Jednym z elementów obowiązku informacyjnego administratora jest podanie osobie, której dane dotyczą, podstawy prawnej przetwarzania jej danych osobowych.

Oznacza to, że obecnie nie wystarczy już wskazanie konkretnych celów przetwarzania danych, ale konieczne jest uzupełnienie ich o podstawę prawną, którą – w zależności od okoliczności – może być np. zgoda, przepis ustawy lub unijnego rozporządzenia.

Wybór właściwej podstawy prawnej jest bardzo istotny, o czym przekonała się niedawno jedna z międzynarodowych korporacji. W ramach postępowania prowadzonego przez grecki organ nadzorczy stwierdzono, że spółka ta niezgodnie z zasadami RODO przetwarzała dane osobowe swoich pracowników na podstawie art. 6 ust. 1 lit. a RODO (tj. zgody), podczas gdy przetwarzanie miało na celu wykonywanie czynności bezpośrednio związanych z wykonywaniem umowy o pracę.

W tej sytuacji zgoda nie była właściwą podstawą przetwarzania danych osobowych. Dokonując błędnego wyboru podstawy prawnej spółka naruszyła zasadę przejrzystości przetwarzania danych osobowych, a tym samym RODO.

Za wprowadzenie pracowników w błąd co do podstawy prawnej przetwarzania ich danych, grecki organ ochrony danych osobowych nałożył karę pieniężną w wysokości 150 000 EUR (blisko 650 000 złotych) i nakazał spółce doprowadzenie przetwarzania danych osobowych do stanu zgodności z RODO w terminie 3 miesięcy.

Decyzja greckiego odpowiednika UODO potwierdza, że administrator nie powinien żądać zgody na przetwarzanie danych osobowych w przypadku, gdy istnieje inna podstawa prawna przetwarzania danych.

Takie naruszenie może skutkować nałożeniem kary pieniężnej.