Tymczasem zgodnie z art. 51 ust. 5 konstytucji zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa. Izba skarbowa, posługująca się w swej działalności danymi osobowymi użytkowników serwisów internetowych zebranymi przez ten organ podatkowy samodzielnie lub otrzymanymi od podmiotu zewnętrznego, mogłaby zatem przetwarzać te dane na podstawie ustawy o ochronie danych osobowych, w tym na podstawie ogólnych przesłanek dopuszczalności ujętych w jej art. 23.

Dyrektor izby skarbowej, zgodnie z przytoczonymi przepisami, mógłby przetwarzać dane osobowe, gdy:

• jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2),

• jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (art. 23 ust. 1 pkt 4), lub

• jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5).

Analizując pierwszą z przesłanek, uznać trzeba, że organ jej nie spełni, gdy gromadzenie i posługiwanie się danymi osobowymi użytkowników serwisów internetowych nie będzie służyć realizacji przyznanych ustawowych kompetencji.

Jeśli dojdzie do przetwarzania danych osobowych w celach wykraczających poza ustawowy zakres jego działania, nie będą też spełnione pozostałe dwie przesłanki, gdyż takie przetwarzanie nie będzie także niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego ani dla wypełnienia prawnie usprawiedliwionych celów administratora danych osobowych czy też odbiorcy danych.

Zasada działania organu administracji publicznej na podstawie przepisów prawa i w granicach przyznanych ustawowo kompetencji jest zasadą nadrzędną także wobec przesłanek dopuszczalności przetwarzania danych osobowych.

Nie sposób bowiem zaakceptować tezy, że przesłanki zawarte w ustawie o ochronie danych osobowych mogą być stosowane w przypadku działań organu podatkowego podejmowanych z przekroczeniem jego kompetencji.

Tym samym zgoda osoby, której dane dotyczą, na przetwarzanie jej danych przez organ lub umowne ustalenia pomiędzy organem a podmiotem zewnętrznym w przedmiocie udostępnienia organowi danych, nie mogą sanować wykorzystywania przez organ uzyskanych danych dla wykonywania czynności niemieszczących się w zakresie przyznanych mu uprawnień.

 

—Marcin Berlak jest radcą prawnym w Kancelarii Prawniczej Włodzimierz Głowacki i Wspólnicy sp.k. z siedzibą w Poznaniu