Legalność przetwarzania danych osobowych

Artykuł zewnętrzny
Autor: Mariola Malicka, Radca Prawny, www.przetwarzaniedanych.pl

Dane osobowe mogą być przetwarzane przez administratora danych w oparciu o ustawowe przesłanki. Przesłanki te szczegółowo zostały określone w Ustawie o ochronie danych osobowych. Stanowi ona, że dane osobowe mogą być przetwarzane, jeśli:

  • osoba, której dane dotyczą, wyrazi na to zgodę, chyba, że chodzi o usunięcie dotyczących jej danych,
  • jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
  • jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
  • jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
  • jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Wszystkie wymienione wyżej przesłanki są równoprawne i spełnienie się którejkolwiek z nich uprawnia do przetwarzania danych.

Legalność przetwarzania danych osobowych - na co zwrócić uwagę? 

Pierwsza przesłanka, czyli zgoda osoby, której dane dotyczą, jest najczęściej wykorzystywaną podstawą przetwarzania danych. Należy jednak pamiętać, że wszystkie przesłanki są równoprawne.

Z uwagi na fakt, iż zgoda jest najczęściej stosowaną w obrocie podstawą przetwarzania danych, zostanie jej poświęcone nieco więcej uwagi. Należy pamiętać, iż:

  • Zgoda według ustawy nie może być domniemana ani dorozumiana z oświadczeń woli innej treści, czyli powinna być wyraźna,

  • Zgoda powinna być wyrażona jasno i być skonkretyzowana. Osoba udzielająca zgody powinna wiedzieć, o jakie dane chodzi jak również, o jakie cele, do których dane będą używane,

  • Zgoda nie może być blankietowa i odnosić się do bliżej nieokreślonych danych osobowych przetwarzanych w bliżej nieokreślonych celach,

  • Zgoda może być w każdym czasie cofnięta.

Reasumując - zgoda musi mieć charakter wyraźny a jej wszystkie aspekty dla podpisującego powinny być jasne w momencie wyrażenia.

Zgoda na przetwarzanie danych osobowych w postaci oświadczenia woli musi zostać złożona świadomie, wyraźnie i - co ważne - swobodnie. Zdarza się, iż klauzule zgody są wplatane w treść umów, regulaminów czy innych oświadczeń.

Poprzez zamieszczanie klauzul zgody na przetwarzanie danych osobowych w treści regulaminów czy innych oświadczeń woli, osoba której dane dotyczą nie ma szans na swobodne udzielenie tejże zgody.  Konsument zamawiający towar lub usługę zobowiązany jest, bowiem w celu realizacji zamówienia do akceptacji całego regulaminu, w tym zgody, nawet jeśli nie chciałby jej wyrazić. W takim przypadku pozbawia się osobę swobody wyrażenia zgody na przetwarzanie jej danych osobowych.

Rozwiązaniem prawidłowym będzie wyodrębnianie klauzul dotyczących wyrażania zgody na przetwarzanie danych osobowych od innych oświadczeń woli tak, by pozostawiać osobie, która ma zgody udzielić swobodę podjęcia decyzji w tym zakresie.

Podobną praktyką będzie też łączenie w jednej klauzuli zgody różnych celów przetwarzania danych osobowych, na przykład zgody na przetwarzanie danych osobowych we własnych celach marketingowych ze zgodą na udostępnianie danych podmiotom trzecim. Praktyka taka niejednokrotnie już została negatywnie oceniona przez Generalnego Inspektora Danych Osobowych oraz w orzecznictwie sądów administracyjnych.

LReasumując należy pamiętać, iż ustawa stwierdza legalność przetwarzania danych osobowych, gdy spełniona zostanie chociaż jedna wymieniona przez nią przesłanka.  Administrator danych przetwarzający dane osobowe, weryfikując legalność przetwarzanych danych, powinien zawsze odnosić się do podstaw ich legalnego przetwarzania, określonych w Ustawie o ochronie danych osobowych.