Poradnik Przedsiębiorcy

Powered by

wFirma.pl

Poznaj
niezbędne narzędzia
do zarządzania
Twoją firmą!

Dostępne
na wszystkie
platformy

Apple Windows Android BlackBerry

Prawnie usprawiedliwiony cel przetwarzania danych osobowych

Na gruncie polskiego prawa przetwarzanie danych osobowych będzie legalne, jeśli ich administrator spełni jedną z przesłanek wskazanych w art. 23 ust. 1 ustawy o ochronie danych osobowych. Wśród owych przesłanek ustawodawca w punkcie 5 cytowanego przepisu wymienia prawnie usprawiedliwiony cel realizowany przez administratora danych lub odbiorcę danych. Co kryje się za tym pojęciem?

Kiedy przetwarzane są dane osobowe?

Aby odpowiedzieć na pytanie, czym jest prawnie usprawiedliwiony cel przetwarzania danych osobowych, w pierwszej kolejności należy wyjaśnić, czym są dane osobowe i na czym samo przetwarzanie danych może polegać.

Dane osobowe, zgodnie z art. 6 ustawy, to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osoba będzie możliwa do zidentyfikowania, jeśli jej tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Oznacza to, że jeśli na podstawie jakichś danych jesteśmy w stanie bez nadmiernych kosztów czy działań zidentyfikować jakąś osobę, to mamy do czynienia z danymi osobowymi.

Definicję przetwarzania danych osobowych wyjaśniono w art. 7 pkt 2 ustawy:

 

Art. 7. Ilekroć w ustawie jest mowa o: (...)

2)   przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;

 

Przetwarzaniem danych będzie więc wszystko, co wiąże się z wykonywaniem jakichkolwiek operacji na danych osobowych (będzie to zarówno zbieranie danych, ich przechowywanie, a także usuwanie). Można śmiało powiedzieć, że jeśli wejdziemy w posiadanie jakichś danych osobowych, to od tego czasu będziemy je przetwarzali.

Zasady przetwarzania danych osobowych

Żeby przetwarzać dane osobowe legalnie, należy trzymać się zasad określonych w ustawie o ochronie danych osobowych. Zgodnie z art. 23 ust. 1:

 

Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

1)   osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;

2)   jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;

3)   jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;

4)   jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

5)   jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

 

Wymienione przesłanki są równoprawne (jednak nie oznacza to, że jest obojętne, na podstawie której przetwarzane są dane, bowiem konsekwencje prawne w przypadku każdej z nich są różne) oraz nie ma znaczenia, czy zostanie spełniona równocześnie tylko jedna przesłanka, czy kilka. Tak więc przetwarzanie danych osobowych będzie legalne, jeśli uzyskamy na to zgodę, gdy pozwala nam na to uprawnienie lub obowiązek wynikający z przepisów prawa, gdy jest to niezbędne do realizacji umowy, a osoba, której dane dotyczą, jest stroną tej umowy, gdy jest to konieczne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (np. inspektorzy NIK mogą powołać się na tę przesłankę, kiedy domagają się udostępnienia danych niezbędnych do przeprowadzenia kontroli), i gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów.

Prawnie usprawiedliwiony cel - definicja

Punkt 5 omawianego przepisu wprowadza tzw. klauzulę usprawiedliwionego celu. Przesłankę w tym kształcie wprowadzono do ustawy nowelizacją z 2001 r., która była skutkiem implementowania do naszego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady 95/46/WE. Jako prawnie usprawiedliwiony cel możemy rozumieć cel usprawiedliwiony prowadzoną działalnością administratora danych albo odbiorcy danych, przy czym cel ten nie musi wynikać bezpośrednio z żadnego aktu normatywnego, ale też nie może być sprzeczny z jakimkolwiek aktem, zasadami współżycia społecznego czy dobrymi obyczajami (np. nie można przetwarzać danych osobowych w celu szantażu, ale można w celach naukowych).

Niezbędność przetwarzania danych

Przetwarzanie danych musi być ponadto niezbędne. Oznacza to, że można korzystać tylko z takich danych, które są konieczne dla osiągnięcia oznaczonego celu. Cel ten musi być jasny i precyzyjny. Nie jest legalne zbieranie (przetwarzanie) danych na zapas, wykraczając poza przyjęty cel. Należy też podkreślić, że cel ten musi być usprawiedliwiony, co oznacza, że przetwarzanie danych dla realizacji tego celu jest potrzebne i w żaden inny sposób celu tego nie można zrealizować, jedynie dzięki przetwarzaniu tych danych. Należy podkreślić, że to na administratorze danych spoczywa obowiązek udowodnienia, że cel przetwarzania danych jest prawnie usprawiedliwiony i że przetwarzanie danych do tego celu jest niezbędne. Trzeba pamiętać bowiem, że osobie, której dane są przetwarzane, przysługuje prawo uzyskania informacji o celu, zakresie i sposobie przetwarzania danych (art. 32 ust. 1 ustawy).

Zakaz naruszania praw i wolności osób, których dane osobowe dotyczą

Ponadto należy pamiętać, że przetwarzanie danych w prawnie usprawiedliwionym celu nie może naruszać praw i wolności osoby, której dotyczą. Warto w tym miejscu podkreślić, że polski ustawodawca poszedł dalej niż europejski, bowiem implementując dyrektywę 95/46/WE, dodano do przepisu ww. zakaz naruszania praw i wolności osoby, której dane są przetwarzane. Niestety, spowodowało to, że aby przetwarzać dane osobowe zgodnie z tą przesłanką, muszą być w rzeczywistości spełnione dwa warunki (prawnie usprawiedliwiony cel oraz nienaruszanie praw osoby). Doprowadza to do sytuacji, w której interes osoby, której dane są przetwarzane, zawsze będzie na pierwszym miejscu, nawet jeśli obiektywnie interes administratora danych będzie ważniejszy. Zgodnie bowiem z tym zapisem nie można oceniać, czyj interes jest priorytetowy. Zawsze więc istnieje ryzyko, że działania administratora danych, który powołuje się na przesłankę prawnie usprawiedliwionego celu i ten cel jest w rzeczywistości usprawiedliwiony, mogą okazać się nielegalne, jeśli osoba, której dane są przetwarzane, podniesie zarzut, że działania administratora naruszają jej prawa i wolności. Co więcej, traktowanie ww. zakazu w sposób dosłowny i bezdyskusyjny może zupełnie wyłączyć możliwość powoływania się przez administratorów danych na tę przesłankę. Dlatego też wielu przedstawicieli doktryny stanowczo sprzeciwia się takiemu dosłownemu interpretowaniu tego przepisu i stawianiu interesu osoby, której dane są przetwarzane, ponad wszystkim.

Marketing bezpośredni oraz dochodzenie roszczeń

W art. 23 ust. 4 ustawodawca precyzuje, co w szczególności będzie prawnie usprawiedliwionym celem:

 

Art. 23 ust. 4. Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności:

1)   marketing bezpośredni własnych produktów lub usług administratora danych;

2)   dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

 

Nie jest to katalog zamknięty - jak zostało wskazane powyżej, administrator danych może przedstawić inny cel, który będzie uznany za prawnie usprawiedliwiony.

Marketing bezpośredni własnych produktów lub usług nie został zdefiniowany w ustawie, jednak zgodnie z doktryną uznaje się, że polega na indywidualnych kontaktach z wybranym klientem za pomocą różnych mediów reklamowych, przy czym komunikaty kierowane do klienta są zaadresowane bezpośrednio do niego. Komunikaty te, co należy podkreślić, mogą dotyczyć jedynie własnych produktów lub usług administratora danych - nie można więc promować cudzych. Jeśli więc administrator danych pozyskał czyjeś dane osobowe (np. klient wcześniej już skorzystał z usług oferowanych przez administratora), może przetwarzać te dane w celach marketingowych z zastrzeżeniem, że będzie reklamował jedynie własne produkty lub usługi.

Jeśli chodzi o dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej, to należy to rozumieć jako prawo do przetwarzania przez przedsiębiorcę danych osobowych dłużnika, który popadł w zwłokę i nie wykonuje ciążących na nim zobowiązań. Przedsiębiorca więc będzie działał w prawnie usprawiedliwionym celu, kiedy będzie przetwarzał dane osobowe dłużnika bez jego zgody po to, by móc dochodzić swoich roszczeń. Jak zostało wskazane powyżej, teoretycznie dłużnik ma prawo, zgodnie z art. 23 ust. 1 pkt 5, próbować się bronić, argumentując, że działania przedsiębiorcy, polegające na przetwarzaniu danych dłużnika w celu dochodzenia roszczeń,  naruszają prawa i wolności dłużnika. Jednak orzecznictwo sądów administracyjnych uznaje taką argumentację za nieuzasadnioną, bowiem dochodziłoby do kolizji z takim dobrem, jakim jest prawo przedsiębiorcy do dochodzenia swoich roszczeń.

Przetwarzać dane osobowe można także w celu dochodzenia swoich roszczeń nie tylko związanych z prowadzeniem działalności gospodarczej. Przykładem może być przetwarzanie danych osobowych powoda przez pozwanego, który uważa, że wytoczone przeciwko niemu powództwo cywilne było bezzasadne i godzi w jego dobre imię, dlatego postanawia wytoczyć sprawę powodowi za fałszywe oskarżenia. W takiej sytuacji ma on prawo pozyskiwać i przetwarzać dane osobowe powoda, aby móc wytoczyć własne powództwo. Będziemy mieli w tym przypadku do czynienia z wykorzystaniem danych w celu realizacji konstytucyjnie przysługującego prawa do dochodzenia swoich praw w drodze procesu sądowego. Nie będzie można w takiej sytuacji mówić o naruszeniu praw i wolności osób, których dane dotyczą.

Prawo wniesienia sprzeciwu

Należy pamiętać, że osobie, której dane są przetwarzane na podstawie art. 23 ust. 1 pkt 5, przysługuje nie tylko prawo do kontroli sposobu przetwarzania jej danych, ale też prawo do wniesienia sprzeciwu:

 

Art. 32 ust. 1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: (...)

7)  wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację;

8)  wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych; (...)

 

Sprzeciw opisany w punkcie 7 jest możliwy ze względu na szczególną sytuację - taką sytuacją przykładowo mogłaby być groźba ujawnienia przetwarzanych przez administratora danych, które byłyby związane z sytuacją prywatną, np. rodzinną, osoby zainteresowanej. Należy podkreślić, że sprzeciw ten nie jest możliwy, jeśli prawo do przetwarzania tych danych osobowych wynika również z innej przesłanki (np. prawo do przetwarzania danych wynikające z przepisów prawa, jest niezbędne do realizacji umowy czy osoba zainteresowana wyraziła zgodę - zgoda jednak zawsze może być odwołana). Co więcej, sprzeciw musi być wniesiony na piśmie i umotywowany (czyli musi być wskazany szczególny charakter sytuacji).

Punkt 8 odnosi się do sprzeciwu wobec przetwarzania danych, jeśli ich administrator przetwarza je w celach marketingowych lub przekazuje innemu administratorowi danych. Wniesienie sprzeciwu wywołuje bezwzględny obowiązek zaprzestania przetwarzania danych. Zgodnie jednak z art. 23 ust. 4 przetwarzanie danych w celach marketingu bezpośredniego nie wymaga uzyskania zgody od osoby zainteresowanej, ponieważ marketing bezpośredni może wynikać z prawnie usprawiedliwionych celów. Jednak osoba zainteresowana zawsze ma prawo sprzeciwić się takiemu wykorzystaniu jej danych. Jednak podobnie jak w przypadku poprzedniego punktu, jeśli przetwarzanie danych wynika ponadto z innej przesłanki (np. zgoda, przepis prawa itd.), to sprzeciwu na podstawie art. 32 ust 1. wnieść nie można.

Sprzeciw przysługuje także wobec przekazywania danych innemu administratorowi danych. Oznacza to, że nie obejmuje powierzenia przetwarzania danych innemu podmiotowi, który nie ma statusu administratora danych.