Co zrobić, gdy administrator danych nie respektuje prawa

Pani Ania zawarła umowę ?z firmą telekomunikacyjną. Na jej podstawie korzystała z dostępu do telefonu i internetu. W celu zawarcia umowy i jej skutecznego realizowania przedsiębiorca musiał pozyskać jej dane osobowe. Jest to zrozumiałe i oczywiście jak najbardziej dozwolone. Skutecznie i prawidłowo zawarta umowa jest wystarczającą przesłanką legalizującą proces gromadzenia (przetwarzania) danych osobowych. Warto podkreślić, że do tego procesu nie jest wymagana dodatkowa zgoda osoby, której dane dotyczą. Jednak w tym przypadku sprawy potoczyły się w ten sposób, że klientka firmy była notorycznie informowana ?telefonicznie o nowych usługach i promocjach oferowanych przez przedsiębiorcę. ?W związku z tym, najpierw ?w formie ustnej, w trakcie jednej z prowadzonych rozmów, a później w formie pisemnej, zażądała, aby firma przestała wykorzystywać jej dane osobowe w celach marketingowych. Zgodnie z przepisami miała do tego prawo, a administrator danych miał obowiązek dostosować się do takiego żądania.

W myśl przepisów

Zgodnie z art. 23 ust. 1 pkt 5 ustawy z 29 sierpnia 1997 r. ?o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.), przetwarzanie danych jest dopuszczalne wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, ?a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą >patrz ramka. ?Z kolei stosownie do treści ?art. 23 ust. 4 tej ustawy za taki prawnie usprawiedliwiony cel uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych. Jednak bardzo istotny jest także art. 32 ustawy. A stanowi on, że każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, czyli m.in. wtedy, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jego danych osobowych innemu administratorowi danych. ?Z kolei w myśl art. 32 ust. 3 ustawy, w razie wniesienia takiego sprzeciwu dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Administrator danych może tylko pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem. Interpretacja tych przepisów wydaje się jednoznaczna. Uprawnienie administratora do przetwarzania danych osobowych w celach marketingowych wygasa w momencie złożenia przez osobę, której te dane dotyczą, sprzeciwu wobec takiego przetwarzania danych.

I z praktyki

Wracając do przypadku pani Ani, jej pismo, w którym zażądała zaprzestania przetwarzania danych w celach marketingowych, nie odniosło żadnego skutku. W dalszym ciągu otrzymywała telefony z propozycjami nowych usług. W związku z tym wniosła ona skargę do generalnego inspektora ochrony danych osobowych. Ten wszczął postępowanie, które miało wyjaśnić sprawę. W odpowiedzi na pismo skierowane przez GIODO przedsiębiorca telekomunikacyjny przyznał, że przetwarza dane osobowe skarżącej na potrzeby świadczenia usług telekomunikacyjnych i że „obecnie został wprowadzony sprzeciw wobec przetwarzania danych osobowych w celach marketingowych własnych usług i produktów (firmy X) ?w systemach teleinformatycznych, jednocześnie nakazano usunięcie danych skarżącej ze wszystkich kampanii marketingowych (firmy X)". Należy mieć tylko nadzieję, że taka interwencja GIODO wystarczy i że od tego momentu administrator danych rzeczywiście zacznie respektować przepisy. W związku z tym wszystkie osoby, które są w podobnej sytuacji, powinny postępować podobnie. Zawsze w pierwszej kolejności należy wystąpić na piśmie do administratora danych z żądaniem zaprzestania przetwarzania danych w celach marketingowych. Najlepiej, ?w celach dowodowych, wysłać takie pismo listem poleconym za potwierdzeniem odbioru. Dopiero gdy taka prośba nie zostanie spełniona, można zwrócić się do GIODO. Jak widać w opisywanym przypadku, dopiero jego interwencja sprawiła, że przedsiębiorca dostosował swoje działania ?do przepisów prawa (Decyzja GIODO nr DOLiS/DEC-484/13).

Formalne zakończenie

Warto dodać, że w opisywanym przypadku generalny ?inspektor ochrony danych osobowych musiał formalnie odmówić uwzględnienia wniosku. Skarżąca żądała bowiem zobligowania przedsiębiorcy do respektowania złożonego przez nią sprzeciwu wobec przetwarzania jej danych osobowych w celach marketingowych. W piśmie, które dotarło do GIODO, firma oświadczyła, że już przyjęła ten sprzeciw i podjęła kroki ?w celu jego skutecznego wykonania. W związku z tym postępowanie musiało być zakończone. A to dlatego, że w momencie wydawania decyzji przedsiębiorca nie przetwarzał już danych osobowych skarżącej w celach marketingowych. Tym samym nie istniał już stan naruszenia przepisów ustawy i brakowało podstaw do sformułowania jakiegokolwiek nakazu (zaprzestania przetwarzania danych).

Wojciech Rafał ?Wiewiórowski, generalny inspektor ochrony danych osobowych

GIODO może przywrócić stan zgodny z prawem, poprzez wydanie określonych nakazów wymienionych w ustawie o ochronie danych osobowych. Jednak by sformułowanie takiego nakazu było możliwe, stan naruszenia musi istnieć w dacie wydawania decyzji, ?co w opisywanej sprawie nie miało miejsca, gdyż spółka nie przetwarzała już danych skarżącej w celach marketingowych.

Warto jednakże wskazać, iż każdy, kto ma poczucie, że poprzez działalność marketingową firma naruszyła jego dobra osobiste, ?może – w stosunku do osoby winnej naruszenia – wystąpić na drogę postępowania cywilnego w myśl przepisów kodeksu postępowania cywilnego. Stosownie bowiem do treści art. 23 kodeksu cywilnego, niezależnie od ochrony przewidzianej w innych przepisach, dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego. Jeżeli więc wskutek działań firmy doszło, ?w czyjejkolwiek ocenie, do naruszenia jego dóbr osobistych, ?może on dochodzić ich ochrony na gruncie przepisów Kodeksu cywilnego. Zgodnie z jego art. 24 § 1 ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych ?w kodeksie cywilnym może ona również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny. Sądem właściwym w tym zakresie będzie ?sąd cywilny.

Gromadzenie danych zwykłych

Zgodnie z art. 23 ustawy o ochronie danych osobowych, ich przetwarzanie jest dopuszczalne tylko wtedy, gdy:

- ?osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

- ?jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

- ?jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną, lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie tej osoby,

- ?jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

- ?jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, ?a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Warto zaznaczyć, że każda z wymienionych przesłanek ma taką samą moc prawną. Tym samym wystarczy, że administrator będzie mógł skutecznie powołać się na choćby jedną z nich, aby proces przetwarzania danych mógł zostać uznany za prawidłowy.