Sprawa dotyczyła jednego z działających w Polsce banków i do jego władz generalny inspektor ochrony danych osobowych (GIODO) wystąpił o zaprzestanie takich praktyk. Jednak można ją uogólnić i odnieść do wszystkich administratorów danych. Naruszenie reguł związanych z prawidłowym przetwarzaniem danych polegało na tym, że osoba kontaktująca się z bankiem za pośrednictwem strony internetowej, niebędąca przy tym jego klientem, musiała wyrazić zgodę na przetwarzanie jej danych osobowych, w szczególności w celach marketingowych związanych z promocją i reklamą produktów oraz usług tej instytucji. Musiała także udzielić zgody na otrzymywanie od banku informacji handlowej w rozumieniu ustawy o świadczeniu usług drogą elektroniczną.

Co więcej, komunikaty o potrzebie wyrażenia powyższych zgód mogły wprowadzać w błąd poprzez informowanie o istnieniu podstaw prawnych takiego działania. Komunikaty te jako podstawę prawną pozyskania danych wskazywały konkretne przepisy z ustawy o ochronie danych osobowych.

Pozyskane przez GIODO informacje wskazywały, że osoby zainteresowane kontaktem z bankiem za pomocą strony internetowej nie miały takiej możliwości bez wyrażenia przywołanych „zgód".

Uprawnienie nie obowiązek

Należy zauważyć, na co wskazał w swoim wystąpieniu GIODO, że wskazany przez bank przepis art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, czyli zgoda osoby, której dane dotyczą, jako jedna z przesłanek legalizujących przetwarzanie danych, nie stanowi o uprawnieniu administratora do (wymuszenia) pozyskania zgody, lecz o prawie udzielającej jej osoby do jej wyrażenia, tylko jeśli będzie chciała to uczynić. Zgodnie bowiem z powołanym przepisem, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. Zaś artykuł 24 ust. 1 pkt 4 ustawy, podawany jako podstawa prawna przetwarzania danych, w istocie nie może być tak traktowany, bowiem odnosi się jedynie do ciążącego na administratorze danych (w tym przypadku banku) obowiązku poinformowania osoby, której dane dotyczą, o dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Wolna wola

W opinii GIODO opisana wyżej praktyka budziła zastrzeżenia w kontekście zasad wynikających z przepisów ustawy, w szczególności w aspekcie określonej ustawą definicji zgody na przetwarzanie danych osobowych. Stosownie do art. 7 pkt 5, ilekroć w ustawie jest mowa o zgodzie osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Jak dalej wskazuje przepis, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Może być ona także odwołana w każdym czasie.

Z definicji tej nie wynikają szczegółowe zasady formułowania zgody, jednak – jak wskazuje się m.in. w doktrynie i orzecznictwie – z treści zgody w sposób niebudzący wątpliwości powinno wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Tym samym zgoda nie powinna mieć charakteru abstrakcyjnego, nie może dotyczyć przetwarzania danych osobowych „w ogóle", a więc nie może np. przybierać formy użytej w tym przypadku przez bank, tj. „w szczególności w celach marketingowych". Chodzi bowiem o to, by odnosiła się do skonkretyzowanego stanu faktycznego, obejmowała tylko określone dane oraz precyzowała sposób i cel ich przetwarzania. Oznacza to, że wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi (potwierdza to np. wyrok NSA z 4 kwietnia 2003 r., II S.A. 2135/ 2002 oraz wyrok NSA z 11 kwietnia 2003 r., II S.A. 3942/2004).

Podkreślić jednocześnie należy, że zgoda na przetwarzanie danych osobowych powinna być udzielana dobrowolnie. Stawianie zaś wymogu, aby na potrzeby kontaktu z administratorem danych wyrazić zgodę na przetwarzanie danych osobowych „w szczególności w celach marketingowych", świadczy o braku swobody w tym względzie. Tymczasem każda osoba ma prawo nie godzić się na uzależnienie swego działania w określonym celu, od wyrażenia zgody na przetwarzanie dotyczących jej danych osobowych w celach innych, określonych (narzuconych) przez administratora danych. Podobnie niedopuszczalną praktyką jest np. działanie administratora danych polegające na uzależnieniu zawarcia umowy od wyrażenia zgody na przetwarzanie danych osobowych w bliżej nieokreślonych celach marketingowych. Zgoda ta powinna spełniać wyżej opisane wymogi i może być udzielona jedynie dobrowolnie, a zatem powinna być zapewniona tzw. opcjonalność jej wyrażenia.

Usługi elektroniczne

Także zbieranie zgód, o których mowa w art. 10 ust. 2 ustawy z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, jako ściśle wiążące się z przetwarzaniem danych osobowych, również powinno być przeprowadzone w sposób zapewniający realizację prawa osoby, której dane dotyczą, do ich niewyrażania.

Warto zaznaczyć, że zgodnie z art. 4 ust. 1 ustawy o świadczeniu usług drogą elektroniczną, jeżeli wymagana jest zgoda usługobiorcy, to ta:

- nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści,

- może być odwołana w każdym czasie.

Zatem wyrażenie takiej zgody musi mieć charakter dobrowolny, tym bardziej że zgodnie z art. 16 ust. 1 powołanej ustawy, do przetwarzania danych osobowych na potrzeby świadczenia usług elektronicznych stosuje się przepisy ustawy o ochronie danych osobowych, o ile przepisy rozdziału 4 ustawy o świadczeniu usług drogą elektroniczną nie stanowią inaczej.

Obowiązek informacyjny

Należy także zaznaczyć, że na gruncie przepisów ustawy o ochronie danych osobowych czym innym jest pozyskiwanie zgody na przetwarzanie danych, a czym innym realizacja obowiązku informacyjnego, o którym mowa w art. 24 i 25 ustawy. Dopełnienie go przez administratora danych powinno polegać na rzetelnym przekazaniu informacji odnoszących się do wszystkich elementów określonych w art. 24 ust. 1 pkt. 1-4 ustawy, chyba że zachodzą przesłanki wyłączające obowiązek jego wypełnienia, przewidziane w art. 24 ust. 2 i art. 25 ust. 2 ustawy. W opisywanej sprawie szczególne znaczenie ma przepis art. 24 ustawy, zgodnie z którym administrator danych powinien wypełnić obowiązek informacyjny wobec osób, których dane pozyskuje bezpośrednio, poprzez podanie informacji o:

- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku,

- celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

- prawie dostępu do treści swoich danych oraz ich poprawiania,

- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Przesłanki legalizujące przetwarzanie

W stosunku do tzw. danych zwykłych warunki ich legalnego przetwarzania reguluje art. 23 ustawy o ochronie danych osobowych. Zgodnie z nim jest ono dopuszczalne tylko wtedy, gdy:

- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

- jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie tej osoby,

- jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

- jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Zdaniem eksperta

dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych

Zgodnie z ustawą o ochronie danych osobowych zgoda osoby, której dane dotyczą, jest tylko jedną z przesłanek, które uprawniają do przetwarzania, w tym pozyskiwania i gromadzenia, danych osobowych tzw. zwykłych (jak imię, nazwisko, adres zamieszkania). Inną może być np. szczególny przepis prawa lub prawnie usprawiedliwiony cel administratora danych. Wszystkie przesłanki legalizujące wykorzystywanie danych osobowych zwykłych wymienione są w art. 23 ust. 1 pkt. 1–5 ustawy i spełnienie którejkolwiek z nich jest wystarczające, aby przetwarzanie danych uznać za zgodne z prawem.

Jednak aby zgoda stanowiła przesłankę uprawniającą do pozyskiwania i wykorzystywania danych, musi być wyrażona dobrowolnie i nie może być wywodzona z oświadczenia woli złożonego w innej sprawie. Zgoda powinna być bowiem udzielona świadomie, a więc w momencie jej wyrażania osoba musi wiedzieć, na co się dokładnie godzi.

Jeśli osoba, która kontaktuje się z firmą, nie jest klientem, ale chce jedynie np. poznać ofertę przedsiębiorcy, to nie można żądać, by wyraziła zgodę na wykorzystywanie jej danych osobowych, zwłaszcza w celach marketingowych. Gdyby zaś kontakt próbował nawiązać klient firmy, to pozyskiwanie od niego zgody na wykorzystywanie danych na potrzeby marketingu własnych produktów i usług jest zbędne. W tym przypadku podstawą uprawniającą do wykorzystywania danych osobowych będzie bowiem prawnie usprawiedliwiony cel administratora danych, o którym mowa w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Przedsiębiorcy prowadzący swoją działalność marketingową z powołaniem się na ich prawnie usprawiedliwiony cel muszą jednak pamiętać, że ustawa o ochronie danych osobowych zezwala na takie działanie do czasu, gdy klient nie wniesie sprzeciwu w tym zakresie. Od tego momentu wykorzystywanie jego danych w celach marketingowych jest zakazane.