Sposoby na legalne przetwarzanie danych osobowych

Często spotykaną praktyką jest ta, gdy przedsiębiorca daje klientowi do podpisania umowę, a ta, oprócz praw i obowiązków związanych z danym stosunkiem prawnym, zawiera klauzulę zgody na przetwarzanie danych. W ten sposób firma chce mieć pewność, że prawidłowo pozyskuje dane osobowe swojego klienta i że będzie je mogła legalnie przetwarzać. Jednak taka klauzula w umowie nie tylko nie jest potrzebna, ale, co więcej, może naruszać przepisy.

Zacznijmy od tego, dlaczego wyraźna zgoda na przetwarzanie danych nie musi być ujęta w umowie podpisywanej przez klienta. A wynika to wprost z przepisów ustawy o ochronie danych osobowych (DzU z 2014 r., poz. 1182 ze zm.). Jej artykuł 23 wskazuje, w jakich sytuacjach przetwarzanie danych jest dopuszczalne, przy czym dotyczy to tzw. danych zwykłych (np.: imię, nazwisko, adres zamieszkania, nr telefonu, adres poczty elektronicznej, nr dowodu). Zgodnie z nim jest to możliwe tylko wtedy, gdy:

- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1),

- jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2);

- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3),

- jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4),

- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5).

Równorzędność

Chociaż powyższe przesłanki wymienione są w pewnej kolejności, to w żaden sposób nie wpływa to na ich ważność czy też moc prawną. Wystarczy, że przedsiębiorca (administrator danych) wykaże, iż spełniona jest choćby jedna z nich, aby proces przetwarzania, a więc np. zbierania, gromadzenia, przechowywania, poprawiania, katalogowania itp., mógł być uznany za prawidłowy i zgodny z przepisami ustawy.

Dlatego to, że na pierwszym miejscu wymieniona jest tam zgoda zainteresowanej osoby na przetwarzanie dotyczącej jej danych, nie ma większego znaczenia. Nie oznacza to, że jest to najważniejsza przesłanka. Równie mocna, w świetle prawa, jest np. przesłanka z punktu trzeciego. A jak widać, mówi ona o tym, że przetwarzanie danych będzie możliwe, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.

Chodzi tu przecież o prostą sytuację. W jaki sposób przedsiębiorca mógłby zrealizować umowę związaną np. z wykonywaniem jakiejś usługi, przyjęciem zamówienia na wykonanie określonego dobra, przyjęciem innego zlecenia, gdyby nie miał danych kontaktowych klienta lub tych potrzebnych do wystawienia rachunku. Jeżeli takie dane są niezbędne do wykonania umowy, to przedsiębiorca ma prawo je pozyskać. I nie potrzebuje dodatkowej zgody na ich przetwarzanie.

Inna sytuacja może mieć miejsce, gdy podanie danych osobowych jest obowiązkowe i wynika z przepisów innych ustaw. Przykładowo może to dotyczyć usług hotelarskich albo bankowych. W pierwszym przypadku będzie to związane z obowiązkiem rejestracji gości, w drugim wynika np. z tego, że rachunek bankowy nie może zostać otwarty anonimowo. Bank ma obowiązek poznać i utrwalić tożsamość osoby, która chciałaby z takiego produktu skorzystać.

Warto także zwrócić uwagę na punkt 5 przepisu. Pozwala on przetwarzać dane, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Jak dalej wyjaśnia art. 23 w ust. 4, za prawnie usprawiedliwiony cel, o którym mowa, uważa się w szczególności:

- marketing bezpośredni własnych produktów lub usług administratora danych,

- dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Dlatego przedsiębiorca nie musi się obawiać tego, że wykorzystanie danych, na których przetwarzanie nie ma zgody, do celów związanych np. z egzekucją należności, będzie działaniem nielegalnym.

Nadgorliwość karana

Jak zostało zauważone, umieszczenie klauzuli wyrażenia zgody na przetwarzanie danych osobowych w umowie będzie zwykle nie tylko niepotrzebne, ale, co więcej, może właśnie naruszać przepisy. Dlaczego? Ponieważ wyrażenie takiej zgody musi mieć charakter dobrowolnego oświadczenia woli, oderwanego od innych oświadczeń.

Jak stanowi bowiem art. 7 pkt 5 ustawy, gdy chodzi o zgodę osoby, której dane dotyczą – to rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Taka zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Wreszcie zgoda może być odwołana w każdym czasie.

Umieszczenie klauzuli zgody w treści umowy powoduje, że konsument nie ma możliwości swobodnego wyrażenia woli. Sprzeciw wobec wykorzystania jego danych musiałby bowiem skutkować odmową podpisania całej umowy. Należy natomiast przyjąć, że konsument powinien mieć możliwość swobodnego podjęcia decyzji co do związania się daną umową i wyrażenia oświadczenia woli w tej kwestii i oddzielnie swobodnego wyrażenia zgody na przetwarzanie jego danych osobowych, w tym np. w celach niezwiązanych z danym kontraktem, czy też zgody na udostępnienie tych danych innym podmiotom (np. z grupy kapitałowej przedsiębiorcy).

Cel i adekwatność

Oprócz legitymowania się jedną z przesłanek wskazanych w art. 23 ustawy o ochronie danych osobowych, każdy administrator danych musi także pamiętać o tym, aby zbierane informacje były adekwatne do celu ich przetwarzania. Oznacza to, że ich zakres (ilość zebranych informacji) musi odpowiadać celowi, dla których są pozyskiwane. Wynika to z art. 26, zgodnie z którym administrator danych powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:

- przetwarzane zgodnie z prawem,

- zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2,

- merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,

- przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Wymieniony ust. 2 stanowi, że przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje:

- w celach badań naukowych, dydaktycznych, historycznych lub statystycznych,

- z zachowaniem przepisów art. 23 i 25.

Dziewiąte dni ochrony

W dniu 28 stycznia 2015 r. generalny inspektor ochrony danych osobowych już po raz dziewiąty organizuje obchody Dnia Ochrony Danych Osobowych. Z tej okazji, jak co roku, odbędzie się konferencja poświęcona najaktualniejszym zagadnieniom dotyczącym prawa do prywatności i ochrony danych osobowych. Konferencja pt. „Ochrona danych osobowych – najnowsze krajowe i europejskie regulacje prawne" będzie miała miejsce w Warszawie w siedzibie Centralnej Biblioteki Rolniczej ul. Krakowskie Przedmieście 66. W programie konferencji znajdą się tematy związane z europejską reformą ochrony danych osobowych, nowelizacją ustawy o ochronie danych osobowych, a także  praktyką europejskich organów ochrony danych osobowych.

Podczas trwania konferencji, jak co roku, pracownicy biura GIODO będą udzielali porad prawnych z zakresu ochrony danych osobowych, aby wszyscy zainteresowani mogli otrzymać kompleksowe informacje w tej dziedzinie, jak i publikacje i inne materiały informacyjne o ochronie danych osobowych.