Każdy przedsiębiorca, w celu gromadzenia danych osobowych swoich klientów, musi wykazać istnienie przynajmniej jednej z przesłanek wskazanych w przepisach ustawy o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.). Zakładając, że chodzi tu wyłącznie o tzw. dane zwykłe (np. imię, nazwisko, adres, numer telefonu), a nie o dane wrażliwe (np. odnoszące się do stanu zdrowia, nałogów, poglądów politycznych), katalog tych przesłanek zawiera art. 23. Zgodnie z nim przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
- ?osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
- ?jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
- ?jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie tej osoby,
- ?jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
- ?jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Tym samym, jeżeli możliwość gromadzenia informacji o osobie fizycznej nie wynika z istnienia jakiegoś konkretnego przepisu, nie jest wynikiem umowy łączącej tę osobę z przedsiębiorcą, do której wykonania niezbędne jest dysponowanie takimi danymi, względnie nie ma zastosowania inna przesłanka, do legalnego korzystania z danych potrzebna jest wyraźna zgoda samego zainteresowanego. I trzeba przyznać, że przedsiębiorcy bardzo często korzystają właśnie z tej możliwości. I to nawet wtedy, gdy w świetle prawa takiej zgody mieć nie muszą. Zupełnie inną kwestią jest to, że takie klauzule, w których osoby mają wyrazić zgodę na wykorzystanie ich danych, są błędnie formułowane.
Nie naśladuj
Przykładowo w ostatnim czasie generalny inspektor ochrony danych osobowych zwrócił się do przedsiębiorcy o zmianę stosowanej przez niego klauzuli, zarzucając jej niezgodność z prawem. A takie było brzmienie tej klauzuli: „wyrażam zgodę na przetwarzanie danych osobowych przez Administratora, którym jest Koncern, dla celów związanych z realizacją serwisu internetowego dla klientów Programu (...), w tym na udostępnienie ich Partnerom współpracującym z Koncernem w Programie (...) oraz podmiotom powiązanym kapitałowo z Koncernem". Dlaczego taka klauzula pozostaje w sprzeczności z zasadami wynikającymi z przepisów ustawy o ochronie danych osobowych? Jest bowiem sformułowana w sposób niewłaściwy.
Definicja z przepisów
Przede wszystkim należy zaznaczyć, że zgodnie z art. 7 pkt 5 ustawy przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli ?o innej treści. Definicja ta wyraźnie wskazuje, że zgoda nie może mieć charakteru domniemanego. Istotne jest, aby osoba, której dane dotyczą, miała czynny wpływ na proces przetwarzania danych osobowych, zwłaszcza gdy konieczne jest wyrażenie przez tę osobę zgody. Naczelny Sąd Administracyjny w wyroku ?z 4 kwietnia 2003 r. (II SA 2135/2002) stwierdził, że: „Zgoda (...) musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania (...)". Ponadto ?w wyroku z 11 kwietnia 2003 r. (II SA 3942/2004) Naczelny Sąd Administracyjny orzekł, że: „(...) zgoda (...) nie może mieć charakteru abstrakcyjnego, lecz winna się odnosić do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania (...)". Natomiast zacytowana klauzula nie wyjaśnia, w jakim celu partnerzy koncernu i/lub firmy powiązane z nim kapitałowo miałyby przetwarzać zgromadzone dane osobowe.
Dla jednego administratora
Po drugie, należy wskazać, że formuła zgody na przetwarzanie danych powinna stanowić odrębne od innych oświadczenie osoby, która ją wyraża, zaś z jej treści powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Z tych względów zacytowana wyżej klauzula także została błędnie sformułowana.
Zgoda na przetwarzanie danych osobowych klientów programu przez koncern powinna być oddzielona od zgody na udostępnienie danych osobowych partnerom współpracującym z koncernem i wyrażona oddzielnie podmiotom powiązanym z nim kapitałowo (jeżeli klient chciałby taką zgodę udzielić). Takie stanowisko można uzasadnić, powołując się na orzecznictwo. Jak wskazał w swoim wyroku z 27 kwietnia 2011 r. Wojewódzki Sąd Administracyjny (II SA/Wa 269/11): „umieszczenie zgody na dwa w istocie różne sposoby przetwarzania udzielonych danych osobowych w jednym zdaniu, bez ich rozdzielenia i wskazania, czego ta zgoda dotyczy, w niewątpliwy sposób powoduje, iż osoba wyrażająca zgodę nie wie dokładnie, na co wyraża taką zgodę".
Wojciech Rafał ?Wiewiórowski, generalny inspektor ochrony danych osobowych
Formuła zgody na przetwarzanie danych osobowych powinna stanowić odrębne oświadczenie dla każdego z celów przetwarzania tych danych, a z treści każdej z takich zgód powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Przy odbieraniu zgody zagwarantowana powinna być opcjonalność, tj. osoba składająca oświadczenie powinna mieć możliwość wyrażenia zgody na określone działania, albo niewyrażania tej zgody. Wskazać także należy, że zgoda powinna być wyrażana dla każdego z podmiotów odrębnie, a nie zbiorczo dla „partnerów" czy „podmiotów powiązanych kapitałowo", gdy nie są oni znani.
Istnieją obowiązki informacyjne
Warto także dodać, że na gruncie przepisów ustawy o ochronie danych osobowych czym innym jest pozyskiwanie zgody ?na przetwarzanie danych osobowych, a czym innym realizacja obowiązku informacyjnego. Dopełnienie przez administratora danych takiego obowiązku powinno polegać na przekazaniu informacji określonych w art. 24 ust. 1 pkt 1–4 ustawy. A jest tam mowa o:
- ?adresie siedziby administratora i jego pełnej nazwie, które to informacje muszą być obowiązkowo wskazane,
- ?celu zbierania danych, a w szczególności o znanych administratorowi w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
- ?prawie dostępu do treści danych oraz ich poprawiania przez osobę zainteresowaną,
- ?dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Zaznaczyć należy, że obowiązek informacyjny powinien zostać zrealizowany wobec osoby, której dane dotyczą najpóźniej ?w momencie zbierania jej danych osobowych, chyba że zachodzą przesłanki wyłączające obowiązek jego wypełnienia, przewidziane w art. 24 ust. 2 i art. 25 ust. 2 ustawy.