Dane osobowe klientów mogą być przetwarzane, gdy spełniona jest jedna z przesłanek wymienionych w art. 23 ustawy o ochronie danych osobowych (DzU z 2002 r., ?nr 101, poz. 926 ze zm.). Przepis ten wskazuje, że jest to dopuszczalne, gdy:

Przedsiębiorca ma więc np. prawo gromadzić i przetwarzać informacje o swoich klientach, gdy ci podpisują z nim umowy, a dane te są potrzebne do sprawnej jej realizacji. Trudno byłoby sobie zresztą wyobrazić odmienną regulację. Z drugiej strony należy pamiętać, że takie uprawnienie nie oznacza dowolności. Innymi słowy przedsiębiorca nie może samodzielnie i bez żadnych ograniczeń ustalać, jakie dane są mu potrzebne. Generalnie powinny to być tylko te informacje, które są niezbędne do realizacji określonych celów wynikających z umowy i relacji łączących przedsiębiorcę (administratora danych) i jego klienta. I każda firma gromadząca dane powinna liczyć się z tym, że będzie musiała udowodnić, dlaczego taki właśnie zakres informacji jest jej potrzebny. Istnieją także sytuacje, gdy konkretne przepisy wyraźnie wskazują, jaki ma być zakres pozyskiwanych informacji. Przykładem jest ustawa o prawie telekomunikacyjnym (DzU z 2014 r., poz. 243). W podobnych wypadkach przedsiębiorca ma prawo pozyskać takie dane bez potrzeby zabiegania o zgodę klienta. Jednak jeżeli potrzebuje jeszcze innych informacji, to już ?o posiadanie zgody musi zadbać. W przeciwnym razie narazi się na zarzut naruszenia przepisów.

Bez numeru telefonu ?i adresu e-mailowego

Postępowanie dotyczące takich naruszeń prowadził generalny inspektor ochrony danych osobowych (decyzja nr DIS/DEC ?– 126/12/8986). Dotyczyło ono przedsiębiorcy oferującego usługi telekomunikacyjne. Chociaż ostatecznie zostało ono umorzone ze względu na to, że usunął on wszystkie nieprawidłowości wskazane przez GIODO, to warto się przyjrzeć tym zarzutom. I tak dotyczyły one przede wszystkim zbyt szerokiego zakresu danych uzyskanych przez przedsiębiorcę od klienta. Przedsiębiorca nie powinien ich pozyskiwać bez jego zgody, a to właśnie czynił. Ponadto nie poinformował klienta o podstawie prawnej gromadzenia tzw. danych obligatoryjnych. Na czym polegały te naruszenia? Przykładowo oprócz takich danych, jak imię, nazwisko, adres klienta, data jego urodzenia, przedsiębiorca na tym samym formularzu żądał podania adresu poczty elektronicznej i numeru telefonu komórkowego. Tymczasem, zgodnie z art. 161 prawa telekomunikacyjnego, treści lub dane objęte tajemnicą telekomunikacyjną mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania. Przetwarzanie w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych. Jak dalej wskazuje ten przepis, dostawca publicznie dostępnych usług telekomunikacyjnych jest uprawniony do przetwarzania następujących danych dotyczących użytkownika będącego osobą fizyczną:

I to jest właśnie ten zakres danych, z którego przedsiębiorca nie musi się tłumaczyć. Ma prawo je pozyskiwać i przetwarzać bez żadnej dodatkowej zgody klienta. Jak widać, nie ma tu mowy o numerze telefonu komórkowego ani też adresie e-mail. Czy to znaczy, że operator telekomunikacyjny nie ma prawa ich poznać? Oczywiście nie.

Wyraźne potwierdzenie

Przedsiębiorca może pozyskać takie dane. Jednak w tym celu musi tak skonstruować umowę (jej wzorzec, formularz informacyjny), aby konsument miał pełną świadomość, że podaje dodatkowe dane, żeby mógł to zrobić dobrowolnie ?i miał możliwość wyraźnego wyrażenia zgody (albo nie) na ich przetwarzanie. Jak wskazuje bowiem ustęp 3 cytowanego wyżej przepisu, oprócz danych, o których mowa w ust. 2 (dane wymienione wyżej), dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, a także adres poczty elektronicznej oraz numery telefonów kontaktowych. Jak wynika z tego przepisu, przetwarzanie dodatkowych danych jest możliwe, ale wymaga wyraźnej zgody osoby, której dane te dotyczą.

Wskaż podstawę

Ponadto, gdy dane osobowe są pozyskiwane na podstawie konkretnych przepisów i te, jak w podanym przykładzie prawa telekomunikacyjnego, wyraźnie określają zakres takich danych, przedsiębiorca ma obowiązek wskazać klientowi te przepisy. Stanowi o tym art. 24 ustawy ?o ochronie danych. Zgodnie ?z nim w wypadku zbierania danych bezpośrednio od zainteresowanej osoby administrator jest obowiązany poinformować tę osobę o:

Zlekceważenie obowiązku wynikającego z art. 24 ust. 1 pkt 4 może oznaczać zarzut nieinformowania klientów, z którymi podpisywane są umowy, o tym, które z danych wymienionych ?w umowie o świadczenie usług telekomunikacyjnych należy podać obligatoryjnie w celu jej zawarcia i realizacji i jaka jest podstawa prawna takiego obowiązku, a które z danych podawane są dobrowolnie i będą przetwarzane na podstawie zgody udzielonej przez klienta.

WNIOSEK

W tym samym formularzu informacyjnym nie wolno żądać wpisania danych, których podanie przez klienta jest obligatoryjne i tych, których podanie jest dobrowolne i powinno być potwierdzone odrębną zgodą na ich przetwarzanie.

Zdaniem eksperta

Wojciech Rafał ?Wiewiórowski generalny inspektor ochrony danych osobowych

Co do zasady zakres danych gromadzonych przez przedsiębiorców powinien być adekwatny do celów, w jakich są pozyskiwane. Jednak niejednokrotnie istnieją przepisy, które wprost wskazują, jakie dane administrator ma prawo w określonej sytuacji pozyskiwać. Tak było ?w analizowanym przypadku, w którym pod uwagę należało wziąć przepisy ustawy – Prawo telekomunikacyjne, stanowiące, jakie dane operator ma prawo pozyskiwać na potrzeby zawarcia i realizacji umowy. Na podstawie całokształtu materiału dowodowego zgromadzonego w tej sprawie ustalono, że operator naruszył przepisy ?o ochronie danych osobowych. Stwierdzone uchybienia polegały m.in. na niepozyskiwaniu od klientów, z którymi podpisywane były umowy na świadczenie usługi, zgody na przetwarzanie danych wykraczających poza zakres wskazany w art. 161 ust. 2 prawa telekomunikacyjnego. Tymczasem zgodnie z art. 26 ustawy o ochronie danych osobowych administrator danych powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, ?a zwłaszcza jest obowiązany zapewnić, aby dane były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów oraz do tych celów adekwatne. W tym przypadku tej zgodności brakowało. Operator wymuszał bowiem na swoich klientach podanie danych w szerszym zakresie niż wskazany w prawie telekomunikacyjnym. Tymczasem legalnie mógłby je pozyskiwać jedynie na podstawie zgody osób zawierających z nim umowę.