Dane osobowe, takie jak imię, nazwisko, adres zamieszkania, numer telefonu kontaktowego, podajemy najczęściej przy okazji zawierania różnego rodzaju umów. Jeżeli osoba fizyczna jest stroną takiej umowy, a dane te są wykorzystywane wyłącznie w celu jej realizacji, przedsiębiorca nie musi mieć odrębnej zgody na ich przetwarzanie (gromadzenie, przechowywanie). Stanowi o tym art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.).
Zgodnie z nim przetwarzanie tzw. danych zwykłych jest prawnie dopuszczalne, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie tej osoby. Jest to o tyle oczywiste, że bez możliwości legalnego dysponowania pewnymi informacjami, jak chociażby nazwisko, adres zamieszkania, nie dałoby się skutecznie realizować wielu kontraktów.
Jednak ten sam przepis w punkcie 5 stanowi, że przetwarzanie danych jest także dopuszczalne, gdy jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Usprawiedliwiony cel
Czym jest usprawiedliwiony cel? Wiele zależy od konkretnej sytuacji. Jednak same przepisy ustawy także dają w tym zakresie pewne wskazówki. Zgodnie bowiem z art. 23 ust. 4, za prawnie usprawiedliwiony cel uważa się w szczególności:
- marketing bezpośredni własnych produktów lub usług administratora danych,
- dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Tym samym przedsiębiorca ma prawo wykorzystywać dane do celów marketingowych, o ile nie przekroczy pewnych granic, czyli wykorzystywanie tych danych nie naruszy praw i wolności osoby, której dane te dotyczą. Warto zaznaczyć, że zgodnie z aktualnym orzecznictwem i stanowiskiem doktryny chodzi tu o prawa i wolności konstytucyjne.
Przetwarzanie danych osobowych przez administratora nie może zatem naruszać prawa do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym (art. 47 konstytucji).
Zwykle nie będzie stanowił naruszenia tych fundamentalnych praw fakt przesłania na adres zamieszkania materiałów reklamowych przedsiębiorcy. Oczywiście stan tego uprawnienia po stronie przedsiębiorcy trwa tak długo, jak długo łączy go z osobą fizyczną umowa, a tym samym wciąż istnieje cel, dla którego dane zostały pozyskane i są przetwarzane.
Nie chcę ulotek
Z drugiej strony wiele osób może drażnić to, że wciąż są zasypywane kolejnymi materiałami reklamowymi, że dzwoni do nich konsultant z propozycją zawarcia nowej umowy, otrzymują zaproszenia na pokazy, w których wcale nie chcą uczestniczyć. Jednocześnie głównej umowy łączącej ich z przedsiębiorcą nie chcą wypowiadać, co pozbawiłoby go prawa dalszego wykorzystywania danych.
Co zatem zrobić? Przepisy przywołanej ustawy przewidują możliwość wniesienia sprzeciwu. Natomiast w przypadku nielegalnego wykorzystywania naszych danych wolno skierować skargę do generalnego inspektora ochrony danych osobowych. Warto jednak pamiętać o określonej kolejności. W przeciwnym przypadku skarga może zostać odrzucona.
PRZYKŁAD
Do Biura GIODO wpłynęła skarga klientki banku X na przetwarzanie jej danych w celach marketingowych.
W skardze tej wystąpiła o to, aby urząd zakazał dalszego przetwarzania jej danych w tych celach przez instytucję finansową. Jednak GIODO odrzucił tę skargę, gdy po przeprowadzonym postępowaniu okazało się, że cały proces nie naruszał prawa.
Cały problem sprowadzał się bowiem do tego, że klientka banku nie wykorzystała w pierwszej kolejności przysługującego jej prawa do wniesienia sprzeciwu. Ponieważ była (i cały czas pozostawała) klientką banku, ten nie tylko mógł, ale nawet – zgodnie z prawem bankowym – musiał dysponować jej danymi. Istniały więc przesłanki legalizujące proces przetwarzania danych. Jedna wynikająca z cytowanego wyżej art. 23 ust. 1 pkt 3 i dodatkowo druga z pkt 2, który stanowi, że przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Obowiązek posiadania danych swoich klientów narzuca na instytucje finansowe wspomniane prawo bankowe. Wreszcie bank, z którym skarżącą cały czas łączyła umowa, mógł wykorzystywać jej dane również do celów marketingowych, zgodnie z tym, co wyżej zostało opisane. W związku z tym generalny inspektor badał jedną zasadniczą kwestię. Mianowicie, czy skarżąca złożyła sprzeciw wobec przetwarzania jej danych w celach marketingowych.
Okazało się, że tego nie uczyniła. I dlatego, działając zgodnie z przepisami, musiał odrzucić skargę. Reasumując, przetwarzanie danych osobowych w celu realizacji prawnie usprawiedliwionego celu administratora danych, tj. marketingu własnych produktów i usług, stanowi samodzielną przesłankę legalizującą przetwarzanie danych osobowych (art. 23 ust. 1 pkt 5 ustawy w zw. z art. 23 ust. 4 pkt 1 ustawy). Oznacza to, iż na przetwarzanie danych osobowych w takim celu administrator nie musi pozyskiwać zgody osoby, której dane dotyczą. Osoba ta natomiast, jeśli nie godzi się z tym procesem, ma prawo wnieść sprzeciw wobec przetwarzania jej danych osobowych w celach marketingowych na podstawie art. 32 pkt 8 ustawy. I tu przechodzimy do sedna.
Najpierw sam działaj
W opisywanym przypadku skarga do GIODO mogłaby się okazać skuteczna, gdyby najpierw klientka banku złożyła sprzeciw, a ten, mimo jego wniesienia, dalej wykorzystywałby dane w celach marketingowych. Zgodnie bowiem z art. 32 każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych >patrz ramka.
W szczególności prawo to dotyczy wniesienia sprzeciwu wobec przetwarzania danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, czyli wtedy, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania danych osobowych innemu administratorowi danych (art. 32 ust. 1 pkt 8). I właśnie ten przepis daje prawo złożenia sprzeciwu. Warto z niego skorzystać, jeżeli nie chcemy otrzymywać materiałów marketingowych od przedsiębiorcy, z którym łączy nas umowa. Wówczas dalsze przetwarzanie danych w takim celu staje się bowiem nielegalne. -
Wojciech Rafał Wiewiórowski generalny inspektor ochrony danych osobowych
Komentuje Wojciech Rafał Wiewiórowski, generalny inspektor ochrony danych osobowych
Do biura generalnego inspektora wpływają skargi na rzekomo nielegalne przetwarzanie danych osobowych. Tymczasem wiele osób z jednej strony dobrowolnie takie dane podaje, dziwiąc się potem, że są one wykorzystywane, z drugiej, nie wie, jak skutecznie chronić się przed wykorzystywaniem informacji o nich np. w celach marketingowych.
Dlatego wiele skarg jest odrzucanych. Nawet rozumiejąc rozgoryczenie osób, do których trafiają niechciane materiały reklamowe, GIODO nie może zakazać przedsiębiorcy wykorzystywania danych, jeżeli ten przetwarza je w sposób prawidłowy. To my sami możemy i powinniśmy zatroszczyć się o to, aby nasze dane nie były wykorzystywane wbrew naszej woli.
Dlatego swoje dane należy ujawniać z rozwagą. Natomiast jeśli już to zrobiliśmy, a nie chcemy, aby były one wykorzystywane do celów marketingowych, mamy prawo złożyć sprzeciw. Jeżeli przedsiębiorca nie zastosuje się do niego, wtedy skarga do GIODO może być skutecznym sposobem ochrony.
Uprawnienia do kontroli
Zgodnie z art. 32 ustawy o ochronie danych osobowych każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:
- uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna – jej miejsca zamieszkania oraz imienia i nazwiska,
- uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,
- uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych,
- uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej,
- uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,
- żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane,
- wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację,
- wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.
