Istnieją sytuacje, w których musimy udostępnić przedsiębiorcy nasze dane osobowe w celu świadczenia przez niego usług na naszą rzecz. Brak zgody i niepodanie informacji będzie skutkowało tym, że umowa nie dojdzie do skutku (bez określonych danych nie zostanie zawarta). Zupełnie inną sprawą jest to, jaki musi być zakres informacji, które udostępniamy.
O ile ustawa o ochronie danych osobowych w sposób ramowy określa proces przetwarzania danych, wskazując kiedy jest on legalny i prawidłowy, jakie są obowiązki administratora danych, a jakie uprawnienia osób udostępniających informacje o sobie, tak różnego rodzaju przepisy szczegółowe mogą wskazywać, jak należy postępować w konkretnych sytuacjach. I między innymi jest tak w przypadku przedsiębiorców działających na rynku usług telekomunikacyjnych.
PRZYKŁAD
Do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) wpłynęła skarga, w której skarżący żądał, aby inspektor nakazał firmie telekomunikacyjnej usunięcie jego danych osobowych pozyskanych z dowodu osobistego (dostarczonej przez skarżącego kserokopii) i zakazał firmie ich dalszego przetwarzania.
GIODO wydał decyzję, w której odmówił uwzględnienia tej skargi. W trakcie postępowania okazało się, że firma pozyskała te dane w sposób prawidłowy i nie było podstaw do kwestionowania stosowanych przez nią praktyk. Na jakich podstawach oparte zostało to rozstrzygnięcie?
Po pierwsze, odnosząc się do zarzutów związanych z brakiem podstaw do zbierania danych osobowych skarżącego zawartych w kserokopii jego dowodu osobistego, należy zauważyć, że ustawa o ochronie danych osobowych (DzU. z 2002 r. Nr 101, poz. 926 zezm.), nie odnosi się do techniki gromadzenia danych. W związku z tym forma, w jakiej utrwalone są dane osobowe, nie przesądza sama przez się o dopuszczalności lub nie przetwarzania danych.
Natomiast zgodnie z art. 23 ust. 1 ustawy samo przetwarzanie jest dopuszczalne tylko wtedy, gdy:
Wszystkie wymienione przesłanki mają jednakową moc. To znaczy, że gromadzenie danych będzie prawidłowe, gdy przedsiębiorca będzie mógł skutecznie powołać się na którąkolwiek z nich. Ponieważ opisywany przypadek dotyczy jednak szczególnej sytuacji związanej ze świadczeniem usług telekomunikacyjnych, należy sprawdzić, co przepisy związane z taką działalnością mówią na ten temat.
Dodatkowe regulacje
I tak, kwestia dopuszczalności przetwarzania danych osobowych przez dostawców usług telekomunikacyjnych uregulowana została w szczególności w art. 161 ustawy - Prawo telekomunikacyjne (DzU z 2004r., nr 171, poz. 1800 zezm.). Jego ustęp 1 stanowi, że (z zastrzeżeniem ust. 2) treści lub dane objęte tajemnicą telekomunikacyjną mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania.
Przetwarzanie w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych. To wstęp. Natomiast kluczowa dla omawianej sprawy jest treść ustępu 2 i 3. I tak ten pierwszy stanowi, że dostawca publicznie dostępnych usług telekomunikacyjnych jest uprawniony do przetwarzania następujących danych dotyczących użytkownika będącego osobą fizyczną:
Powyższe dane służą prawidłowemu wykonywaniu umowy i przedsiębiorca ma prawo je pozyskać na etapie podpisywania kontraktu. Posługiwanie się nimi (przetwarzanie) nie wymaga więc odrębnej czy dodatkowej zgody zainteresowanego. Jak widać, nie ma w tym zestawieniu wszystkich innych informacji, jakie dodatkowo da się pozyskać z dowodu osobistego, jak chociażby termin ważności takiego dokumentu, wzór podpisu czy płeć. Czy zatem firma telekomunikacyjna rzeczywiście nie miała prawa ich pozyskać i w opisywanym przypadku Generalny Inspektor Ochrony Danych Osobowych powinien uwzględnić skargę?
Tylko w szczególności
Rozstrzygnięcie przynosi ustęp 3 cytowanego artykułu. A stanowi on, że oprócz danych, o których mowa w ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, a także adres poczty elektronicznej oraz numery telefonów kontaktowych.
Jak wynika z tego przepisu przetwarzanie innych danych (niewymienionych w ust. 2) wymaga zgody zainteresowanego. Jednocześnie katalog danych, jakie wolno pozyskać za zgodą, nie jest zamknięty.
Przepis ten wyraźnie wskazuje, że firma może za zgodą osoby fizycznej przetwarzać dane osobowe. I dalej wymienia jakie, ale tylko jako przykłady. Zwrot „w szczególności" daje możliwość rozszerzenia zakresu pozyskiwanych danych. Tym samym mogą to być dane pochodzące z kserokopii dowodu osobistego, o ile zostały udostępnione dobrowolnie, a osoba, której te dane dotyczą, wyraziła na to zgodę.
Liczy się identyfikacja
W rozumieniu ustawy o ochronie danych osobowych (art. 6) za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Jak dalej wyjaśnia ten przepis, osobą możliwą do zidentyfikowania jest taka, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Z kolei mówiąc o przetwarzaniu danych (art. 7) rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Wojciech Rafał Wiewiórowski Generalny Inspektor Ochrony Danych Osobowych
Komentuje Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych
Ponieważ spółka telekomunikacyjna, przetwarzając dane osobowe, dysponowała zgodą skarżącego, brak jest podstaw do stwierdzenia, że działała nielegalnie.
Zgodnie bowiem z art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, przetwarzanie danych jest zgodne z prawem m.in. wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę.
Jednocześnie wskazać należy, że stosownie do treści art. 7 pkt 5 tej ustawy, zgoda może być odwołana w każdym czasie.
W związku z tym, jeżeli intencją skarżącego jest, aby spółka nie przetwarzała w przyszłości jego danych osobowych, w zakresie przekraczającym, w tym konkretnym przypadku, wymogi Prawa telekomunikacyjnego, to powinien skierować do spółki oświadczenie o wycofaniu udzielonych w tym zakresie zgód.
