Zgoda osoby, która udostępnia swoje imię, nazwisko, adres zamieszkania, ewentualnie inne informacje, jest jedną z przesłanek czyniących proces przetwarzania (gromadzenia) danych legalnym. Chodzi tu oto, że firma która w ten sposób uzyskała informacje o osobie fizycznej i ma taką zgodę nie musi się obawiać zarzutu nielegalnego przetwarzania danych osobowych. Może je gromadzić, przetwarzać, operować na nich tak długo, jak długo w mocy pozostaje cel, dla którego zostały zebrane.
Musi więc istnieć związek pomiędzy tym, po co (w jakim celu) dane zostały zebrane a realizacją tego celu. Wtedy zgoda ma cały czas charakter legalizujący ten proces. Zebrane dane powinny być oczywiście chronione, przetwarzane tylko zgodnie z celem, dla którego zostały pozyskane i w szczególności nie mogą być przekazywane osobom trzecim. Jednak to ostatnie nie oznacza, że nikt poza administratorem danych nie będzie miał do nich dostępu. Przepisy przewidują bowiem możliwość powierzenia przetwarzania danych.
PRZYKŁAD
Jedna ze spraw rozpatrywanych przez generalnego inspektora ochrony danych osobowych dotyczyła skargi osoby, która skorzystała z ubezpieczenia komunikacyjnego. Polisę wykupiła w firmie, którą na potrzeby przykładu możemy nazwać X.
Po pewnym czasie, gdy doszło do wypadku i ubezpieczony chciał skorzystać z polisy, okazało się, że procedurę zgłaszania szkód, obsługi ubezpieczenia prowadzi firma, którą możemy nazwać Y. Skarga skierowana do GIODO dotyczyła tego, że zdaniem ubezpieczonego doszło do nielegalnego przekazania jego danych osobowych i żądał on ich usunięcia z bazy firmy Y.
Jednak generalny inspektor odmówił uwzględnienia wniosku. Po przeprowadzeniu postępowania stwierdził bowiem, że wszystkie procedury zostały zachowane i prawo nie zostało naruszone.
Aby wyjaśnić tę kwestię należy wrócić do wspomnianego powierzenia danych.
Tylko na piśmie
Możliwość taką przewiduje art. 31 ustawy o ochronie danych osobowych (DzU z 2002 r., nr 101, poz. 926 ze zm.). Zgodnie z nim administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych (ust. 1). Podmiot, któremu dane powierzono może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie (ust. 2). W opisywanym przypadku takie powierzenie nastąpiło w umowie łączącej oba przedsiębiorstwa. Zachowany został zatem wymóg formy pisemnej.
Na mocy tej umowy powierzenia zostało firmie Y zlecone wykonywanie działań polegających na realizacji ochrony ubezpieczeniowej poprzez „zorganizowanie świadczeń autocasco na rzecz klientów firmy X, w ramach zawartych umów ubezpieczenia". Jak podkreślił w swojej decyzji GIODO (decyzja nr DOLiS/DEC-833/12), analiza treści wskazanej umowy prowadzi do wniosku, że wszelkie działania podejmowane przez Y w związku ze świadczeniem usługi na rzecz X dokonywane były z upoważnienia tego podmiotu.
Podkreślenia wymaga, że skorzystanie z przewidzianej w art. 31 ustawy możliwości powierzenia przetwarzania danych innemu podmiotowi nie powoduje zmiany administratora tych danych, pozostaje nim nadal podmiot, który powierzył przetwarzanie danych. W opisywanym przypadku administratorem danych była i pozostała firma ubezpieczeniowa, u której klient wykupił polisę.
Brak zgody
Warto dodać, że w przypadku takich umów przetwarzanie danych w ogóle nie wymaga zgody klienta. W praktyce nie dałoby się bowiem zawrzeć umowy ubezpieczenia, ani tym bardziej jej realizować, gdyby ubezpieczyciel nie miał dostępu do danych osobowych swojego klienta.
W związku z tym przesłankę, która legalizuje proces przetwarzania danych daje art. 23 ust. 1 pkt 3, który stanowi, że przetwarzanie danych jest dopuszczalne, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie tej osoby. Tym samym w opisywanym przypadku w ogóle nie musiała zostać wyrażona odrębna zgoda klienta na przetwarzanie jego danych osobowych. Jednak nawet, gdyby była wymagana i firma ją uzyskała, to nie musiałaby starać się o odrębną zgodę na powierzenie przetwarzania danych innemu podmiotowi.
Zgodnie z zacytowanymi wyżej przepisami ma do tego prawo. Przy tym warto dodać, że na obu podmiotach, tj. powierzającym i przyjmującym dane ciąży obowiązek ich ochrony w sposób przewidziany w ustawie i przepisach wykonawczych.
Wojciech Rafał Wiewiórowski, generalny inspektor ochrony danych osobowych
Powierzenie przetwarzania danych dokonane przez administratora na podstawie umowy powierzenia, nie wymaga uzyskania zgody osoby, której dane dotyczą. Powierzenie jest bowiem odrębną instytucją wskazaną w art. 31 ustawy o ochronie danych osobowych. Zgodnie z jego postanowieniami, powinna ona zostać zawarta na piśmie i określać zakres oraz cel przetwarzania danych, a także prawa i obowiązki zarówno administratora danych, czyli podmiotu zlecającego, jak i podmiotu, któremu powierzono przetwarzanie danych.
Podmiot, któremu powierzono przetwarzanie danych, może je wykorzystywać wyłącznie w zakresie i celu przewidzianym w umowie. Podkreślić należy, iż przed rozpoczęciem przetwarzania danych jest on obowiązany podjąć środki zabezpieczające zbiór danych oraz spełnić wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Co istotne, w zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność tak jak administrator danych.
Z kolei administrator danych, dokonując wyboru podmiotu, któremu chciałby powierzyć dane, także powinien zachować ostrożność. Powierzenie przetwarzania danych nie zwalnia go bowiem z odpowiedzialności za przestrzeganie przepisów ustawy. Administrator danych powierzający, w trybie art. 31 ustawy, dane osobowe innemu podmiotowi musi zachować możliwość kontroli tego, czy podmiot, któremu dane powierzono, przetwarza je m.in. zgodnie z postanowieniami zawartej w tej sprawie umowy.
