Dane osobowe: kiedy przedsiębiorca może legalnie przetwarzać informacje

- Wydaje mi się, że moja zgoda na udostępnienie danych o sobie powinna być podstawą do ich legalnego gromadzenia. Jednak jak wynika z ustawy o ochronie danych osobowych istnieją inne warunki, po spełnieniu których firma lub instytucja publiczna może dane przetwarzać także bez takiej zgody. Jakie w praktyce mogą być przykłady na zastosowanie jednej z nich, tj. tej, która mówi o tym, że takie przetwarzanie jest prawidłowe, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Kto i w jakich okolicznościach może się na nią powoływać

– pyta czytelnik.

Rzeczywiście ustawa o ochronie danych osobowych (DzU z 2002r. nr 101, poz. 926 ze zm.) wymienia kilka przesłanek, które legalizują proces przetwarzania danych osobowych >patrz ramka. Innymi słowy gromadzenie informacji o osobach fizycznych i przetwarzanie tych danych jest możliwe tylko wówczas, gdy podmiot, który to robi może powołać się na jedną z nich. Nie ma znaczenia, która to będzie przesłanka. Wszystkie one mają autonomiczny charakter. Tzn. żadna z nich nie jest ważniejsza od innych.

W szczególności zgoda osoby, której dane dotyczą, chociaż wymieniona w art. 24 w pierwszej kolejności, nie ma nadzwyczajnej mocy wobec pozostałych. Jak słusznie zauważa czytelnik jedna z przesłanek mówi o tym, że przetwarzanie danych jest możliwe, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Bardzo trudno byłoby jednak odpowiedzieć na pytanie, kto i w jakich okolicznościach może się na nią powoływać. Takich sytuacji będzie po prostu bardzo dużo.

Zbiór przepisów

Istota tego uprawnienia sprowadza się bowiem do zapewnienia legalności przetwarzania danych wówczas, gdy takie procesy są konieczne dla zapewnienia zgodności ze zobowiązaniami prawnymi, którym podlega administrator.

Zatem przesłanka ta dotyczy sytuacji, w których dane osobowe są przetwarzane na podstawie uprawnienia wskazanego w innych przepisach (innych niż ustawa o ochronie danych) lub w celu wykonania obowiązku narzuconego przez takie przepisy. Innymi słowy muszą istnieć normy, które nakazują podmiotowi dysponującemu danymi wykonanie jakiejś czynności lub podjęcie stosownych działań. I jednocześnie do prawidłowego wykonania takich czynności konieczne jest przetwarzanie danych.

Mówiąc jeszcze inaczej może chodzić o sytuacje, w których brak zgody osoby na przetwarzanie jej danych, gdyby była zawsze bezwzględnie wymagana, pociągałby za sobą niemożność wykonania czynności, do której administrator danych jest zobowiązany. Jeżeli więc istnieją przepisy (ustaw, rozporządzeń), które zobowiązują do określonych czynności, bądź zakazują jakiegoś zachowania, a aktywność osoby zobowiązanej musi wiązać się z przetwarzaniem danych, to zgoda osoby, której dane te dotyczą, nie może być uwzględniana. Inaczej wykonanie takiego zobowiązania mogłoby być niemożliwe.

Garść przykładów

Oczywiście dla lepszego wyjaśnienia mechanizmu działania tej przesłanki można podać kilka przykładów. Takim, który może dotyczyć niemal każdej osoby jest obowiązek meldunkowy. Zgodnie z art. 18 ust. 1 ustawy o ewidencji ludności i dowodach osobistych (DzU z 2006r. nr 139, poz. 993 ze zm.) osoba, która przybywa do domu wczasowego lub wypoczynkowego, pensjonatu, hotelu, motelu, domu wycieczkowego, pokoju gościnnego, schroniska, campingu lub na strzeżone pole biwakowe albo do innego podobnego zakładu, jest obowiązana zameldować się na pobyt czasowy.

Jeżeli więc chcemy skorzystać z usług oferowanych przez hotel niezbędne jest podanie podstawowych danych osobowych. Do ich przetwarzania nie będzie potrzebna dodatkowa zgoda. Właściciel hotelu musi je pozyskać, inaczej sam nie będzie mógł wypełnić ciążących na nim obowiązków.

Spójrzmy teraz na zupełnie inne przepisy, mianowicie kodeksu spółek handlowych (DzU z 2000r. nr 94, poz. 1037 ze zm.). W art. 341 § 1 stanowi on, że zarząd (spółki akcyjnej) jest obowiązany prowadzić księgę akcji imiennych i świadectw tymczasowych (księga akcyjna), do której należy wpisywać nazwisko i imię albo firmę (nazwę) oraz siedzibę i adres akcjonariusza albo adres do doręczeń, wysokość dokonanych wpłat, a także, na wniosek osoby uprawnionej, wpis o przeniesieniu akcji na inną osobę wraz z datą wpisu.

Następnie § 7 tego artykułu stwierdza, że każdy akcjonariusz może przeglądać księgę akcyjną i żądać odpisu za zwrotem kosztów jego sporządzenia. Jednoznacznie więc wynika z tego, że taka księga będzie zawierać dane osobowe (chyba że akcjonariuszami spółki byłyby wyłącznie inne firmy). Ich zgromadzenie i przetwarzanie jest nie tylko uprawnieniem, ale i obowiązkiem spółki (zarządu).

Warto dodać, że zarząd ponosi odpowiedzialność cywilną za szkody spowodowane nienależytym prowadzeniem księgi oraz zgodnie z art. 594 § 1 pkt 2 może również ponieść odpowiedzialność karną w postaci grzywny do 20 tys. zł. Analogiczny obowiązek wiąże się także z funkcjonowaniem spółek z ograniczoną odpowiedzialnością. W myśl art. 188 k.s.h. zarząd takiej spółki ma obowiązek prowadzić księgę udziałów. Także w niej znajdą się takie dane, jak imię i nazwisko oraz adres udziałowca lub udziałowców.

Innym przykładem może być działanie urzędu skarbowego, który np. na potrzeby prowadzonego postępowania będzie pozyskiwał dane na temat weryfikowanego podatnika od instytucji finansowych (banku, biura maklerskiego). Także w tym wypadku będzie on mógł przetwarzać jego dane osobowe, nawet bez zgody zainteresowanego, na podstawie przepisów podatkowych i karnoskarbowych.

Z decyzji GIODO

Kwestia interpretacji i stosowania tej przesłanki była przedmiotem wielu orzeczeń sądowych i decyzji generalnego inspektora ochrony danych osobowych. I tak np. w decyzji z 13 czerwca 2005r. (decyzja GI-DEC-DS-135/05) GIODO uznał, że burmistrz, który wykorzystuje znane mu z urzędu dane osobowe na potrzeby postępowania w sprawie o przyznanie świadczeń socjalnych, prowadzonego na podstawie przepisów kodeksu postępowania administracyjnego, spełnia przesłankę przetwarzania danych, o której mowa, ponieważ przedmiotowe dane są niezbędne do rozstrzygnięcia postępowania.

Z kolei w decyzji nr GI-DEC-DS-273/05 stwierdził on, że syndyk – przez objęcie majątku upadłego – zobowiązany jest również do uporządkowania dokumentacji firmy będącej w upadłości. Tym samym obowiązek ten objął także całą dokumentację pracowniczą, co oczywiste, zawierającą dane osobowe obecnych

i byłych pracowników tego przedsiębiorcy. Trudno byłoby sobie wyobrazić, aby w celu uporządkowania takiego zbioru i przekazania go do właściwego archiwum, syndyk musiał uzyskiwać zgody poszczególnych osób (byłych i obecnych pracowników) na przetwarzanie ich danych.

Dlatego w trakcie całego procesu upadłości i porządkowania spraw firmy, syndyk był uprawniony do przetwarzania danych osobowych na podstawie przesłanki ustawowej, tj. na mocy i w zakresie określonym rozporządzeniem ministra pracy w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (DzU z 1996 r. nr 62, poz. 286 ze zm.).

Brzmienie przepisu

Zgodnie z art. 23 ust.1 przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

• osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

• jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

• jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy, na żądanie tej osoby,

• jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

• jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Wrażliwe wiadomości

Warto podkreślić, że nie wszystkie informacje o osobach mogą być jednak gromadzone i przetwarzane na podstawie omawianej przesłanki. Ustawa o ochronie danych osobowych wyróżnia bowiem tzw. dane wrażliwe. Aby można było je przetwarzać muszą zostać spełnione dodatkowe warunki. Jeżeli nie są, przetwarzanie jest zakazane. O jakie informacje chodzi?

Wymienia je art. 27 ust. 1 ustawy, który stanowi, że zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Warunkiem legalizującym przetwarzanie takich danych może być wyraźna, udzielona na piśmie, zgoda osoby, której one dotyczą.

Prawo do przetwarzania części takich danych (dotyczących np. sytuacji zdrowotnej) będą miały np. szpitale, jeżeli przetwarzanie danych będzie prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych. Podobnie będzie w przypadku kościołów i innych związków wyznaniowych, o ile gromadzone dane będą dotyczyć wyłącznie członków takich organizacji lub osób utrzymujących z nimi stałe kontakty w związku z ich działalnością.

W myśl ust. 2 zacytowanego artykułu przetwarzanie takich informacji jest dopuszczalne także wówczas, gdy dotyczy danych, które są niezbędne do dochodzenia praw przed sądem albo dotyczy danych, które zostały podane do publicznej wiadomości przez osobę, której one dotyczą. Wreszcie będzie to legalne, gdy istnieją przepisy szczególne innych ustaw, które wyraźnie zezwalają na przetwarzanie danych wrażliwych bez zgody osoby, której dotyczą.