- ?jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Tym samym, jeżeli możliwość gromadzenia informacji o osobie fizycznej nie wynika z istnienia jakiegoś konkretnego przepisu, nie jest wynikiem umowy łączącej tę osobę z przedsiębiorcą, do której wykonania niezbędne jest dysponowanie takimi danymi, względnie nie ma zastosowania inna przesłanka, do legalnego korzystania z danych potrzebna jest wyraźna zgoda samego zainteresowanego. I trzeba przyznać, że przedsiębiorcy bardzo często korzystają właśnie z tej możliwości. I to nawet wtedy, gdy w świetle prawa takiej zgody mieć nie muszą. Zupełnie inną kwestią jest to, że takie klauzule, w których osoby mają wyrazić zgodę na wykorzystanie ich danych, są błędnie formułowane.
Nie naśladuj
Przykładowo w ostatnim czasie generalny inspektor ochrony danych osobowych zwrócił się do przedsiębiorcy o zmianę stosowanej przez niego klauzuli, zarzucając jej niezgodność z prawem. A takie było brzmienie tej klauzuli: „wyrażam zgodę na przetwarzanie danych osobowych przez Administratora, którym jest Koncern, dla celów związanych z realizacją serwisu internetowego dla klientów Programu (...), w tym na udostępnienie ich Partnerom współpracującym z Koncernem w Programie (...) oraz podmiotom powiązanym kapitałowo z Koncernem". Dlaczego taka klauzula pozostaje w sprzeczności z zasadami wynikającymi z przepisów ustawy o ochronie danych osobowych? Jest bowiem sformułowana w sposób niewłaściwy.
Definicja z przepisów
Przede wszystkim należy zaznaczyć, że zgodnie z art. 7 pkt 5 ustawy przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli ?o innej treści. Definicja ta wyraźnie wskazuje, że zgoda nie może mieć charakteru domniemanego. Istotne jest, aby osoba, której dane dotyczą, miała czynny wpływ na proces przetwarzania danych osobowych, zwłaszcza gdy konieczne jest wyrażenie przez tę osobę zgody. Naczelny Sąd Administracyjny w wyroku ?z 4 kwietnia 2003 r. (II SA 2135/2002) stwierdził, że: „Zgoda (...) musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania (...)". Ponadto ?w wyroku z 11 kwietnia 2003 r. (II SA 3942/2004) Naczelny Sąd Administracyjny orzekł, że: „(...) zgoda (...) nie może mieć charakteru abstrakcyjnego, lecz winna się odnosić do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania (...)". Natomiast zacytowana klauzula nie wyjaśnia, w jakim celu partnerzy koncernu i/lub firmy powiązane z nim kapitałowo miałyby przetwarzać zgromadzone dane osobowe.
Dla jednego administratora
Po drugie, należy wskazać, że formuła zgody na przetwarzanie danych powinna stanowić odrębne od innych oświadczenie osoby, która ją wyraża, zaś z jej treści powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Z tych względów zacytowana wyżej klauzula także została błędnie sformułowana.
Zgoda na przetwarzanie danych osobowych klientów programu przez koncern powinna być oddzielona od zgody na udostępnienie danych osobowych partnerom współpracującym z koncernem i wyrażona oddzielnie podmiotom powiązanym z nim kapitałowo (jeżeli klient chciałby taką zgodę udzielić). Takie stanowisko można uzasadnić, powołując się na orzecznictwo. Jak wskazał w swoim wyroku z 27 kwietnia 2011 r. Wojewódzki Sąd Administracyjny (II SA/Wa 269/11): „umieszczenie zgody na dwa w istocie różne sposoby przetwarzania udzielonych danych osobowych w jednym zdaniu, bez ich rozdzielenia i wskazania, czego ta zgoda dotyczy, w niewątpliwy sposób powoduje, iż osoba wyrażająca zgodę nie wie dokładnie, na co wyraża taką zgodę".
