Przetwarzanie danych osobowych będzie legalne, jeśli ich administrator spełni jedną z przesłanek wskazanych w art.6 rozporządzenia RODO. Wśród owych przesłanek ustawodawca wymienia prawnie usprawiedliwiony cel realizowany przez administratora danych lub odbiorcę danych. Co kryje się za tym pojęciem?
Kiedy przetwarzane są dane osobowe?
Aby odpowiedzieć na pytanie, czym jest prawnie usprawiedliwiony celprzetwarzania danych osobowych, w pierwszej kolejności należy wyjaśnić, czym są dane osobowe i na czym samo przetwarzanie danych może polegać.
Dane osobowe, zgodnie z art. 4 rozporządzenie, to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osoba będzie możliwa do zidentyfikowania, jeśli jej tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Oznacza to, że jeśli na podstawie jakichś danych jesteśmy w stanie bez nadmiernych kosztów czy działań zidentyfikować jakąś osobę, to mamy do czynienia z danymi osobowymi.
Definicję przetwarzania danych osobowych wyjaśniono w art. 4 pkt 2 rozporządzenie:
Art. 4 pkt 2. "„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie" |
Przetwarzaniem danych będzie więc wszystko, co wiąże się z wykonywaniem jakichkolwiek operacji na danych osobowych (będzie to zarówno zbieranie danych, ich przechowywanie, a także usuwanie). Można śmiało powiedzieć, że jeśli wejdziemy w posiadanie jakichś danych osobowych, to od tego czasu będziemy je przetwarzali.
Zasady przetwarzania danych osobowych
Żeby przetwarzać dane osobowe legalnie, należy trzymać się zasad określonych w przepisach o ochronie danych osobowych. Zgodnie z art. 6 RODO:
Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych; 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa; 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą; 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego; 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. |
Wymienione przesłanki są równoprawne (jednak nie oznacza to, że jest obojętne, na podstawie której przetwarzane są dane, bowiem konsekwencje prawne w przypadku każdej z nich są różne) oraz nie ma znaczenia, czy zostanie spełniona równocześnie tylko jedna przesłanka, czy kilka. Tak więc przetwarzanie danych osobowych będzie legalne, jeśli uzyskamy na to zgodę, gdy pozwala nam na to uprawnienie lub obowiązek wynikający z przepisów prawa, gdy jest to niezbędne do realizacji umowy, a osoba, której dane dotyczą, jest stroną tej umowy, gdy jest to konieczne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (np. inspektorzy NIK mogą powołać się na tę przesłankę, kiedy domagają się udostępnienia danych niezbędnych do przeprowadzenia kontroli), i gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów.
Prawnie usprawiedliwiony cel - definicja
Jako prawnie usprawiedliwiony cel możemy rozumieć cel usprawiedliwiony prowadzoną działalnością administratora danych (np. przedsiębiorcy) albo odbiorcy danych, przy czym cel ten nie musi wynikać bezpośrednio z żadnego aktu prawnego, ale też nie może być sprzeczny z jakimkolwiek aktem, zasadami współżycia społecznego czy dobrymi obyczajami (np. nie można przetwarzać danych osobowych w celu szantażu, ale można w celach naukowych). Stąd, prawnie usprawiedliwionym celem może być np. marketing bezpośredni własnych produktów, czy dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Niezbędność przetwarzania danych
Przetwarzanie danych musi być ponadto niezbędne. Oznacza to, że można korzystać tylko z takich danych, które są konieczne dla osiągnięcia oznaczonego celu. Cel ten musi być jasny i precyzyjny. Nie jest legalne zbieranie (przetwarzanie) danych na zapas, wykraczając poza przyjęty cel. Należy też podkreślić, że cel ten musi być usprawiedliwiony, co oznacza, że przetwarzanie danych dla realizacji tego celu jest potrzebne i w żaden inny sposób celu tego nie można zrealizować, jedynie dzięki przetwarzaniu tych danych. Należy podkreślić, że to na administratorze danych spoczywa obowiązek udowodnienia, że cel przetwarzania danych jest prawnie usprawiedliwiony i że przetwarzanie danych do tego celu jest niezbędne. Trzeba pamiętać bowiem, że osobie, której dane są przetwarzane, przysługuje prawo uzyskania informacji o celu, zakresie i sposobie przetwarzania danych (art. 32 ust. 1 ustawy).
Zakaz naruszania praw i wolności osób, których dane osobowe dotyczą
Ponadto należy pamiętać, że przetwarzanie danych w prawnie usprawiedliwionym celu nie może naruszać praw i wolności osoby, której dotyczą. Aby przetwarzać dane osobowe zgodnie z tą przesłanką, muszą być w rzeczywistości spełnione dwa warunki (prawnie usprawiedliwiony cel oraz nienaruszanie praw osoby, której dane dotyczą). Doprowadza to do sytuacji, w której interes osoby, której dane są przetwarzane, zawsze będzie na pierwszym miejscu, nawet jeśli obiektywnie interes administratora danych będzie ważniejszy. Zgodnie bowiem z tym zapisem nie można oceniać, czyj interes jest priorytetowy. Zawsze więc istnieje ryzyko, że działania administratora danych, który powołuje się na przesłankę prawnie usprawiedliwionego celu i ten cel jest w rzeczywistości usprawiedliwiony, mogą okazać się nielegalne, jeśli osoba, której dane są przetwarzane, podniesie zarzut, że działania administratora naruszają jej prawa i wolności. Co więcej, traktowanie ww. zakazu w sposób dosłowny i bezdyskusyjny może zupełnie wyłączyć możliwość powoływania się przez administratorów danych na tę przesłankę. Dlatego też wielu przedstawicieli doktryny stanowczo sprzeciwia się takiemu dosłownemu interpretowaniu tego przepisu i stawianiu interesu osoby, której dane są przetwarzane, ponad wszystkim.
Marketing bezpośredni oraz dochodzenie roszczeń
Najczęściej spotykanym prawnie usprawiedliwionym celem jest marketing bezpośredni własnych produktów lub usług administratora danych lub dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Jednak administrator danych może przedstawić inny cel, który będzie uznany za prawnie usprawiedliwiony.
Marketing bezpośredni własnych produktów lub usług nie został zdefiniowany w przepisach, jednak zgodnie z doktryną uznaje się, że polega na indywidualnych kontaktach z wybranym klientem za pomocą różnych mediów reklamowych, przy czym komunikaty kierowane do klienta są zaadresowane bezpośrednio do niego. Komunikaty te, co należy podkreślić, mogą dotyczyć jedynie własnych produktów lub usług administratora danych - nie można więc promować cudzych. Jeśli więc administrator danych pozyskał czyjeś dane osobowe (np. klient wcześniej już skorzystał z usług oferowanych przez administratora), może przetwarzać te dane w celach marketingowych z zastrzeżeniem, że będzie reklamował jedynie własne produkty lub usługi.
Jeśli chodzi o dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej, to należy to rozumieć jako prawo do przetwarzania przez przedsiębiorcę danych osobowych dłużnika, który popadł w zwłokę i nie wykonuje ciążących na nim zobowiązań. Przedsiębiorca więc będzie działał w prawnie usprawiedliwionym celu, kiedy będzie przetwarzał dane osobowe dłużnika bez jego zgody po to, by móc dochodzić swoich roszczeń. Jak zostało wskazane powyżej, teoretycznie dłużnik ma prawo próbować się bronić, argumentując, że działania przedsiębiorcy, polegające na przetwarzaniu danych dłużnika w celu dochodzenia roszczeń, naruszają prawa i wolności dłużnika. Jednak orzecznictwo sądów administracyjnych uznaje taką argumentację za nieuzasadnioną, bowiem dochodziłoby do kolizji z takim dobrem, jakim jest prawo przedsiębiorcy do dochodzenia swoich roszczeń.
Przetwarzać dane osobowe można także w celu dochodzenia swoich roszczeń nie tylko związanych z prowadzeniem działalności gospodarczej. Przykładem może być przetwarzanie danych osobowych powoda przez pozwanego, który uważa, że wytoczone przeciwko niemu powództwo cywilne było bezzasadne i godzi w jego dobre imię, dlatego postanawia wytoczyć sprawę powodowi za fałszywe oskarżenia. W takiej sytuacji ma on prawo pozyskiwać i przetwarzać dane osobowe powoda, aby móc wytoczyć własne powództwo. Będziemy mieli w tym przypadku do czynienia z wykorzystaniem danych w celu realizacji konstytucyjnie przysługującego prawa do dochodzenia swoich praw w drodze procesu sądowego. Nie będzie można w takiej sytuacji mówić o naruszeniu praw i wolności osób, których dane dotyczą.
Prawo wniesienia sprzeciwu
Należy pamiętać, że osobie, której dane są przetwarzane przysługuje nie tylko prawo do kontroli sposobu przetwarzania jej danych, ale też prawo do wniesienia sprzeciwu:
Art. 21 RODO 1. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. 2. Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. 3. Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów. 4. Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie, o którym mowa w ust. 1 i 2, oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji. 5. W związku z korzystaniem z usług społeczeństwa informacyjnego i bez uszczerbku dla dyrektywy 2002/58/WE osoba, której dane dotyczą, może wykonać prawo do sprzeciwu za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne. 6. Jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, osoba, której dane dotyczą, ma prawo wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym |
Punkt 1 odnosi się do sprzeciwu wobec przetwarzania danych, jeśli ich administrator przetwarza je w celach marketingowych lub przekazuje innemu administratorowi danych. Wniesienie sprzeciwu wywołuje bezwzględny obowiązek zaprzestania przetwarzania danych. Warto tu zaznaczyć, że przetwarzanie danych w celach marketingu bezpośredniego nie wymaga uzyskania zgody od osoby zainteresowanej, ponieważ marketing bezpośredni może wynikać z prawnie usprawiedliwionych celów. Jednak osoba zainteresowana zawsze ma prawo sprzeciwić się takiemu wykorzystaniu jej danych.
Sprzeciw przysługuje także wobec przekazywania danych innemu administratorowi danych. Oznacza to, że nie obejmuje powierzenia przetwarzania danych innemu podmiotowi, który nie ma statusu administratora danych.