Zgoda zainteresowanego na przetwarzanie jego danych osobowych jest jedną z przesłanek legalizujących proces ich gromadzenia. Legalizujących, czyli sprawiających, że proces ten jest zgodny z prawem, a firma ma możliwość wykorzystywania tych danych do celów, dla których zostały one pozyskane.
Jednocześnie w każdym czasie zgoda taka może zostać wycofana. Jednak wcale to nie oznacza, że automatycznie proces przetwarzania nie będzie mógł być przez przedsiębiorcę kontynuowany. Węższy może być tylko zakres uprawnień po jego stronie.
Przykładowo danych tych nie będzie mógł dłużej wykorzystywać do celów marketingowych (na co mógł mieć odrębną zgodę). Dlaczego wycofanie zgody nie zawsze powoduje, że firmie nie wolno dłużej przechowywać informacji o osobie fizycznej? Właśnie dlatego, że jak zostało zauważone, zgoda osoby zainteresowanej jest tylko jedną z przesłanek, która proces ten może czynić legalnym.
PRZYKŁAD
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga klientki firmy ubezpieczeniowej. Jej zastrzeżenia wzbudził fakt, że po wygaśnięciu umowy ubezpieczenia typu autocasco firma nadal przetwarzała jej dane osobowe.
Dlatego wnioskowała do GIODO, aby ten nakazał przedsiębiorcy zaniechania takiej działalności. Jednak jej skarga została odrzucona. Generalny Inspektor nie dopatrzył się bowiem naruszenia przepisów.
Aby wyjaśnić tę kwestię w pierwszej kolejności należy wrócić do przesłanek, od których spełnienia zależy to, czy firma ma prawo dysponować danymi. A te – w odniseniu do danych osobowych tzw. zwykłych, jak np. imię i nazwisko czy adres zamieszkania – wymienia art. 23 ust. 1 ustawy o ochronie danych osobowych (DzU z 2002r. nr 101, poz. 926 ze zm.). Przypomnijmy je. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1),
- jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2),
- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3),
- jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4),
- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5).
Trzy przesłanki
Trzymając się tego przepisu można dojść do wniosku, że początkowo dane osobowe klientki mogłyby być przetwarzane nawet bez jej zgody. Ubezpieczyciel przetwarzał dane osobowe skarżącej w celu realizacji umowy, a więc w oparciu o przesłankę legalizującą ten proces, o której mowa w przepisie art. 23 ust. 1 pkt 3 ustawy.
Zakresem zastosowania tego przepisu ustawy należy bowiem objąć sytuacje, w których w wyniku zawarcia umowy jedna ze stron, po to, aby ją wykonać, musi wykorzystać informacje dotyczące drugiej strony. Innymi słowy chodzi o sytuacje, w których nie dałoby się ani podpisać, ani tym bardziej wykonać umowy bez dysponowania danymi osobowymi. Jednocześnie w tym samym czasie odrębną podstawą legalizującą to przetwarzanie był przepis zawarty w art. 23 ust. 1 pkt 2 ustawy, czyli odnoszący się do obowiązków lub uprawnień wynikających z innych przepisów.
W stosunku do działalności ubezpieczeniowej takim przepisem jest art. 24 ust. 1 ustawy o działalności ubezpieczeniowej (DzU z 2010 r., nr 11, poz. 66 ze zm.), w myśl którego zakład ubezpieczeń może zbierać, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, zawarte w umowach ubezpieczenia lub oświadczeniach ubezpieczających składanych przed zawarciem umowy, dane ubezpieczonych lub uprawnionych z umowy ubezpieczenia.
Brak podstaw
No dobrze. Jednak te przesłanki dotyczą trwającej umowy. A w sprawie, skarżąca zwracała uwagę na to, że umowa ubezpieczeniowa nie wiąże już stron. Czy zatem przetwarzanie jej danych mogło być rzeczywiście legalne? Nadal tak. Należy bowiem zauważyć, że wobec upłynięcia okresu, na który zawarta została umowa ubezpieczenia, dane mogą być przetwarzane w związku z art. 819 § 1 kodeksu cywilnego. A ten stanowi, że roszczenia z umowy ubezpieczenia przedawniają się z upływem lat trzech. W związku z tym da się uznać, że przedsiębiorca przetwarza dane osobowe na podstawie przepisu art. 23 ust. 1 pkt 5 ustawy.
Warunkiem dopuszczalności przetwarzania danych w oparciu o tę przesłankę jest to, aby przetwarzanie nie naruszało żadnego z praw czy wolności konstytucyjnych. Przetwarzanie danych osobowych przez administratora nie może zatem naruszać prawa do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym (art. 47 konstytucji). Ponadto, przetwarzanie danych osobowych jest zgodne z prawem, gdy jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych.
W opisywanym przypadku firma przetwarzała dane w związku z zawartą umową ubezpieczenia pojazdu. Wobec upłynięcia okresu, na który umowa ta była zawarta, zmienił się cel tego przetwarzania.
Zgodnie z zacytowanym art. 819 k.c. w określonym czasie ubezpieczony ma prawo zgłosić ubezpieczającemu szkodę celem likwidacji. A z tego wynika, że przetwarzanie danych podyktowane jest koniecznością udokumentowania relacji łączących ubezpieczyciela z klientem, w przypadku gdyby zechciał on wystąpić z roszczeniem. To wszystko uzasadnia stanowisko, że przez pewien czas firma ubezpieczeniowa może przetwarzać dane osobowe swojego byłego klienta.
Jednocześnie należy podkreślić, że w tym wypadku jasno określony jest cel, w jakim dane te mogą być przetwarzane. A to daje możliwość wniesienia zastrzeżenia do wykorzystywania ich w innych celach, np. marketingowych lub wobec przekazania ich innemu administratorowi.
Wojciech Rafał Wiewiórowski generalny inspektor ochrony danych osobowych
Komentuje Wojciech Rafał Wiewiórowski, generalny inspektor ochrony danych osobowych
Kiedy potrzebna jest zgoda
Zgodnie z ustawą o ochronie danych osobowych na wykorzystywanie danych w celu zawarcia lub wykonania umowy zgoda osoby, której dane dotyczą, w ogóle nie jest potrzebna.
Do zgodnego z prawem przetwarzania danych osobowych wystarczy bowiem spełnienie jednego z pięciu warunków określonych w art. 23 ust. 1 ustawy o ochronie danych osobowych.
Stosownie do pkt 3 tego przepisu wykorzystywanie danych jest dopuszczalne, gdy jest to niezbędne do podjęcia działań przed zawarciem umowy lub do realizacji umowy zawieranej przez osobę, której dane dotyczą. Zatem pozyskiwanie od niej zgody na przetwarzanie danych w celu realizacji umowy jest zbędne. Jeśli firma gromadzi i wykorzystuje dane swojego klienta tylko na te potrzeby, nie powinna zwracać się o zgodę na przetwarzanie danych.
Natomiast, gdyby firma zamierzała wykorzystać dane klienta w innym celu, nie spełniając przy tym żadnego z warunków określonych w art. 23 ust. 1 pkt. 2 – 5 ustawy, wówczas o taką zgodę powinna się zwrócić.
