Poradnik Przedsiębiorcy

Prawnie usprawiedliwiony cel przetwarzania danych osobowych

Przetwarzanie danych osobowych będzie legalne, jeśli ich administrator spełni jedną z przesłanek wskazanych w art.6 rozporządzenia RODO. Wśród owych przesłanek ustawodawca wymienia prawnie usprawiedliwiony cel realizowany przez administratora danych lub odbiorcę danych. Co kryje się za tym pojęciem?

Kiedy przetwarzane są dane osobowe?

Aby odpowiedzieć na pytanie, czym jest prawnie usprawiedliwiony cel przetwarzania danych osobowych, w pierwszej kolejności należy wyjaśnić, czym są dane osobowe i na czym samo przetwarzanie danych może polegać.

Dane osobowe, zgodnie z art. 4 rozporządzenie, to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osoba będzie możliwa do zidentyfikowania, jeśli jej tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Oznacza to, że jeśli na podstawie jakichś danych jesteśmy w stanie bez nadmiernych kosztów czy działań zidentyfikować jakąś osobę, to mamy do czynienia z danymi osobowymi.

Definicję przetwarzania danych osobowych wyjaśniono w art. 4 pkt 2 rozporządzenie:

Art. 4 pkt 2.

"„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie"

Przetwarzaniem danych będzie więc wszystko, co wiąże się z wykonywaniem jakichkolwiek operacji na danych osobowych (będzie to zarówno zbieranie danych, ich przechowywanie, a także usuwanie). Można śmiało powiedzieć, że jeśli wejdziemy w posiadanie jakichś danych osobowych, to od tego czasu będziemy je przetwarzali.

Zasady przetwarzania danych osobowych

Żeby przetwarzać dane osobowe legalnie, należy trzymać się zasad określonych w przepisach o ochronie danych osobowych. Zgodnie z art. 6 RODO: 

Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

1)   osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;

2)   jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;

3)   jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;

4)   jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

5)   jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. 

Wymienione przesłanki są równoprawne (jednak nie oznacza to, że jest obojętne, na podstawie której przetwarzane są dane, bowiem konsekwencje prawne w przypadku każdej z nich są różne) oraz nie ma znaczenia, czy zostanie spełniona równocześnie tylko jedna przesłanka, czy kilka. Tak więc przetwarzanie danych osobowych będzie legalne, jeśli uzyskamy na to zgodę, gdy pozwala nam na to uprawnienie lub obowiązek wynikający z przepisów prawa, gdy jest to niezbędne do realizacji umowy, a osoba, której dane dotyczą, jest stroną tej umowy, gdy jest to konieczne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (np. inspektorzy NIK mogą powołać się na tę przesłankę, kiedy domagają się udostępnienia danych niezbędnych do przeprowadzenia kontroli), i gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów.

Prawnie usprawiedliwiony cel - definicja

Jako prawnie usprawiedliwiony cel możemy rozumieć cel usprawiedliwiony prowadzoną działalnością administratora danych (np. przedsiębiorcy) albo odbiorcy danych, przy czym cel ten nie musi wynikać bezpośrednio z żadnego aktu prawnego, ale też nie może być sprzeczny z jakimkolwiek aktem, zasadami współżycia społecznego czy dobrymi obyczajami (np. nie można przetwarzać danych osobowych w celu szantażu, ale można w celach naukowych). Stąd, prawnie usprawiedliwionym celem może być np. marketing bezpośredni własnych produktów, czy dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Niezbędność przetwarzania danych

Przetwarzanie danych musi być ponadto niezbędne. Oznacza to, że można korzystać tylko z takich danych, które są konieczne dla osiągnięcia oznaczonego celu. Cel ten musi być jasny i precyzyjny. Nie jest legalne zbieranie (przetwarzanie) danych na zapas, wykraczając poza przyjęty cel. Należy też podkreślić, że cel ten musi być usprawiedliwiony, co oznacza, że przetwarzanie danych dla realizacji tego celu jest potrzebne i w żaden inny sposób celu tego nie można zrealizować, jedynie dzięki przetwarzaniu tych danych. Należy podkreślić, że to na administratorze danych spoczywa obowiązek udowodnienia, że cel przetwarzania danych jest prawnie usprawiedliwiony i że przetwarzanie danych do tego celu jest niezbędne. Trzeba pamiętać bowiem, że osobie, której dane są przetwarzane, przysługuje prawo uzyskania informacji o celu, zakresie i sposobie przetwarzania danych (art. 32 ust. 1 ustawy).

Zakaz naruszania praw i wolności osób, których dane osobowe dotyczą

Ponadto należy pamiętać, że przetwarzanie danych w prawnie usprawiedliwionym celu nie może naruszać praw i wolności osoby, której dotyczą. Aby przetwarzać dane osobowe zgodnie z tą przesłanką, muszą być w rzeczywistości spełnione dwa warunki (prawnie usprawiedliwiony cel oraz nienaruszanie praw osoby, której dane dotyczą). Doprowadza to do sytuacji, w której interes osoby, której dane są przetwarzane, zawsze będzie na pierwszym miejscu, nawet jeśli obiektywnie interes administratora danych będzie ważniejszy. Zgodnie bowiem z tym zapisem nie można oceniać, czyj interes jest priorytetowy. Zawsze więc istnieje ryzyko, że działania administratora danych, który powołuje się na przesłankę prawnie usprawiedliwionego celu i ten cel jest w rzeczywistości usprawiedliwiony, mogą okazać się nielegalne, jeśli osoba, której dane są przetwarzane, podniesie zarzut, że działania administratora naruszają jej prawa i wolności. Co więcej, traktowanie ww. zakazu w sposób dosłowny i bezdyskusyjny może zupełnie wyłączyć możliwość powoływania się przez administratorów danych na tę przesłankę. Dlatego też wielu przedstawicieli doktryny stanowczo sprzeciwia się takiemu dosłownemu interpretowaniu tego przepisu i stawianiu interesu osoby, której dane są przetwarzane, ponad wszystkim.

Marketing bezpośredni oraz dochodzenie roszczeń

Najczęściej spotykanym prawnie usprawiedliwionym celem jest marketing bezpośredni własnych produktów lub usług administratora danych lub dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Jednak administrator danych może przedstawić inny cel, który będzie uznany za prawnie usprawiedliwiony.

Marketing bezpośredni własnych produktów lub usług nie został zdefiniowany w przepisach, jednak zgodnie z doktryną uznaje się, że polega na indywidualnych kontaktach z wybranym klientem za pomocą różnych mediów reklamowych, przy czym komunikaty kierowane do klienta są zaadresowane bezpośrednio do niego. Komunikaty te, co należy podkreślić, mogą dotyczyć jedynie własnych produktów lub usług administratora danych - nie można więc promować cudzych. Jeśli więc administrator danych pozyskał czyjeś dane osobowe (np. klient wcześniej już skorzystał z usług oferowanych przez administratora), może przetwarzać te dane w celach marketingowych z zastrzeżeniem, że będzie reklamował jedynie własne produkty lub usługi.