Zgoda na przetwarzanie danych przy powierzeniu danych

Zgoda osoby, która udostępnia swoje imię, nazwisko, adres zamieszkania, ewentualnie inne informacje, jest jedną z przesłanek czyniących proces przetwarzania (gromadzenia) danych legalnym. Chodzi tu oto, że firma która w ten sposób uzyskała informacje o osobie fizycznej i ma taką zgodę nie musi się obawiać zarzutu nielegalnego przetwarzania danych osobowych. Może je gromadzić, przetwarzać, operować na nich tak długo, jak długo w mocy pozostaje cel, dla którego zostały zebrane.

Musi więc istnieć związek pomiędzy tym, po co (w jakim celu) dane zostały zebrane a realizacją tego celu. Wtedy zgoda ma cały czas charakter legalizujący ten proces. Zebrane dane powinny być oczywiście chronione, przetwarzane tylko zgodnie z celem, dla którego zostały pozyskane i w szczególności nie mogą być przekazywane osobom trzecim. Jednak to ostatnie nie oznacza, że nikt poza administratorem danych nie będzie miał do nich dostępu. Przepisy przewidują bowiem możliwość powierzenia przetwarzania danych.

PRZYKŁAD

Jedna ze spraw rozpatrywanych przez generalnego inspektora ochrony danych osobowych dotyczyła skargi osoby, która skorzystała z ubezpieczenia komunikacyjnego. Polisę wykupiła w firmie, którą na potrzeby przykładu możemy nazwać X.

Po pewnym czasie, gdy doszło do wypadku i ubezpieczony chciał skorzystać z polisy, okazało się, że procedurę zgłaszania szkód, obsługi ubezpieczenia prowadzi firma, którą możemy nazwać Y. Skarga skierowana do GIODO dotyczyła tego, że zdaniem ubezpieczonego doszło do nielegalnego przekazania jego danych osobowych i żądał on ich usunięcia z bazy firmy Y.

Jednak generalny inspektor odmówił uwzględnienia wniosku. Po przeprowadzeniu postępowania stwierdził bowiem, że wszystkie procedury zostały zachowane i prawo nie zostało naruszone.

Aby wyjaśnić tę kwestię należy wrócić do wspomnianego powierzenia danych.

Tylko na piśmie

Możliwość taką przewiduje art. 31 ustawy o ochronie danych osobowych (DzU z 2002 r., nr 101, poz. 926 ze zm.). Zgodnie z nim administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych (ust. 1). Podmiot, któremu dane powierzono może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie (ust. 2). W opisywanym przypadku takie powierzenie nastąpiło w umowie łączącej oba przedsiębiorstwa. Zachowany został zatem wymóg formy pisemnej.

Na mocy tej umowy powierzenia zostało firmie Y zlecone wykonywanie działań polegających na realizacji ochrony ubezpieczeniowej poprzez „zorganizowanie świadczeń autocasco na rzecz klientów firmy X, w ramach zawartych umów ubezpieczenia". Jak podkreślił w swojej decyzji GIODO (decyzja nr DOLiS/DEC-833/12), analiza treści wskazanej umowy prowadzi do wniosku, że wszelkie działania podejmowane przez Y w związku ze świadczeniem usługi na rzecz X dokonywane były z upoważnienia tego podmiotu.

Podkreślenia wymaga, że skorzystanie z przewidzianej w art. 31 ustawy możliwości powierzenia przetwarzania danych innemu podmiotowi nie powoduje zmiany administratora tych danych, pozostaje nim nadal podmiot, który powierzył przetwarzanie danych. W opisywanym przypadku administratorem danych była i pozostała firma ubezpieczeniowa, u której klient wykupił polisę.

Brak zgody

Warto dodać, że w przypadku takich umów przetwarzanie danych w ogóle nie wymaga zgody klienta. W praktyce nie dałoby się bowiem zawrzeć umowy ubezpieczenia, ani tym bardziej jej realizować, gdyby ubezpieczyciel nie miał dostępu do danych osobowych swojego klienta.