Kiedy przetwarzanie danych osobowych jest zgodne z prawem?

Właśnie taką regulacją ustawową jest między innymi art. 23 ustawy o ochronie danych osobowych. Zostały w nim enumeratywnie wyliczone  przypadki, kiedy nasze osobowe mogą być przetwarzane.

Czym jest „przetwarzanie danych osobowych” w świetle ustawy?

Przetwarzanie danych osobowych zgodnie z definicją ustawową obejmuje zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Tak więc czynienie właściwie wszystkiego z danymi osobowymi. Stąd też przydaje się znajomość sytuacji, w których dopuszczalne jest takie postępowanie z naszymi danymi osobowymi.

Przesłanki wyłączenia bezprawności przetwarzania danych osobowych.

I tak, w myśl przepisu art. 23 ust 1 ustawy o ochronie danych osobowych przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, albo jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Kolejnym przypadkiem legalnego przetwarzania danych jest wykorzystanie danych osobowych przy  realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Przetwarzanie danych osobowych jest też zgodne z prawem, jeśli jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego bądź też niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Omawiany przepis określa ogólne materialne przesłanki przetwarzania danych osobowych. Przesłanki te mają charakter generalny, odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz"; a także dotyczą wszystkich danych osobowych. Każda z wymienionych w art. 23 okoliczności usprawiedliwiających przetwarzanie danych ma charakter autonomiczny i niezależny, co oznacza, że wystarczy zaistnienie jednej z nich dla prawnego przetwarzania danych osobowych.

Zgoda osoby, od której pochodzą dane.

Pierwszą z przesłanek przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą (ust. 1 pkt 1). Każda osoba ma bowiem prawo do dysponowania swoimi danymi. Zaznaczyć też trzeba, że na gruncie omawianej ustawy nie istnieje domniemanie, że brak sprzeciwu oznacza zgodę. Nie może być tak, że nastąpi jedynie powiadomienie o zamiarze przetwarzania danych osobowych, a brak sprzeciwu "z drugiej strony", tj. ze strony osoby, której dane mają być przetwarzane będzie traktowane jako oświadczenie w przedmiocie zgody na przetwarzanie danych osobowych.

Zgoda jako oświadczenie woli.

Wyrażenie takiej zgody ma charakter oświadczenia woli, musi być jednoznaczne i wyraźne.

Może mieć ono charakter samodzielny, może też być elementem innej czynności, np.: umowy. Zgoda może upoważniać tylko jeden podmiot do przetwarzania jego danych osobowych, może też odnosić się do dalszych dysponentów danych osobowych. W tym względzie nie ma też miejsca na jakiekolwiek domniemania.

Osoba wyrażająca zgodę dalszym administratorom musi wskazać to w swoim oświadczeniu, a także określić cel, dla którego dane te mogą być udostępniane. 
Ważne jest też, aby osobą składającą oświadczenie co do przetwarzania jej danych osobowych musi mieć pełną zdolność do czynności prawnych. A zatem przetwarzanie danych osobowych małoletnich czy ubezwłasnowolnionych nie może być skutecznie przeprowadzone jedynie za uzyskanym od nich zezwoleniem. Niezbędna jest tutaj zgoda przedstawiciela ustawowego, wyrażona najpóźniej w chwili składania oświadczenia.

Do oświadczenia „zgody” stosuje się przepisy kodeksu cywilnego. Jak wszystkie cywilistyczne oświadczenia woli, tak również zgodę na przetwarzanie danych osobowych tłumaczyć należy w ten sposób, jak tego wymagają - ze względu na okoliczności, w których została złożona - zasady współżycia społecznego oraz ustalone zwyczaje.

Zakres udzielonej zgody.

W praktyce często powstają problemy dotyczące ścisłego ustalenia zakresu udzielonej zgody na przetwarzanie danych. Jest dyskusyjne, czy administrator, który otrzymał taką zgodę, bez dodatkowej zgody może udostępniać dane innemu administratorowi. Przeważa pogląd rygorystyczny wskazujący na ścisłą interpretację „zgody”. I tak przyjmuje się, że jeśli oświadczenie woli o wyrażeniu zgody na przetwarzanie danych nie obejmowało możliwości udostępnienia danych innemu administratorowi, działanie takie jest niedopuszczalne.  Aby udostępnić dane innym podmiotom, należy uzyskać dodatkową zgodę osoby, której dane dotyczą. Zaznacza się jednak też, że Osoba fizyczna udzielając zgody na udostępnianie jej danych osobowych godzi się również na to, że dane te będą przetwarzane przez kolejnego administratora w takim zakresie, w jakim przetwarzał je dotychczasowy administrator. A zatem, że dane będą wykorzystywane przez nowego administratora dla osiągnięcia tego samego skutku, dla osiągnięcia którego wykorzystywał je dotychczasowy administrator oraz przedmiot działalności nowego administratora jest taki sam jak dotychczasowego.

Na przykład, jeśli wyrażamy zgodę na przetwarzanie naszych danych osobowych w celach marketingowych przez sprzedawcę proszku do prania, to w przyszłości być może otrzymamy ofertę od sprzedawcy np.: płynów do zmywania naczyń. Nie powinniśmy natomiast otrzymać oferty biura podróży.

Jeszcze kilka szczegółów…

Zaznaczam też, że decyzja w sprawie wyrażenia zgody powinna być podjęta swobodnie. Nie sugeruję, że ktoś siłą będzie nas zmuszał do wyrażenia zgody na przetwarzanie danych osobowych, ale powszechne są praktyki, gdzie oświadczenie okoliczność takiej zgodzie jest niezbędne dla skorzystania okoliczność usług. Na przykład od osób ubiegających się o kredyt wymaga się często podpisania dokumentu, iż udostępnienie danych jest dobrowolne oraz że mogą być one wykorzystane w innych celach (marketingowych, promocyjnych).

Poza tym zgoda musi być udzielona przed rozpoczęciem przetwarzania danych. Nie może być potwierdzeniem dokonanej czynności.

Przetwarzanie danych osobowych na podstawie przepisu prawa.

Zgodnie z aktualnym brzmieniem art. 23 ust. 1 pkt 2 przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.

Czasami  bowiem to właśnie przepis prawa nakłada na określony podmiot obowiązek przetwarzania danych. Najczęściej takie uprawnienie gwarantowane jest podmiotom, które nie mogłyby wykonywać swoich zadań bez możliwości przetwarzania danych osobowych.

Wątpliwym są jedynie przypadki, kiedy to z przepisów prawa nie wynika wprost uprawnienie lub obowiązek dotyczące możliwości przetwarzania danych osobowych, ale do których wykonania potrzeba przetwarzania danych. W tych sytuacjach zazwyczaj, analizując swoje położenie, należy ocenić, czy przetwarzanie danych jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, czy możliwa byłaby realizacja uprawnienia lub spełnienie obowiązku bez przetwarzania danych.

Kilka przykładów.

Rozstrzygając spór powstały na podstawie właśnie takiego „niejasnego” przepisu art. 36 § 1 ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji Naczelny Sąd Administracyjny uznał, że "Organ egzekucyjny prowadzący egzekucję administracyjną może żądać udostępnienia mu przez Zakład Ubezpieczeń Społecznych danych o miejscu zatrudnienia ubezpieczonych będących dłużnikami" (por. wyrok NSA z dnia 21 marca 2002 r., II SA 1854/01).
Podobnie też za przepis zezwalający na przetwarzanie danych, i to nawet dotyczących preferencji seksualnych, Generalny Inspektor uznał art. 20 ust. 1 ustawy z dnia 6 kwietnia 1990 r. o Policji.

Zawieranie i wykonywanie umów.

Kolejną przesłanką uprawnionego przetwarzania danych osobowych związana jest zawieraniem i wykonywaniem umów. Przetwarzanie danych jest dozwolone w dwóch sytuacji, gdy jest to konieczne do realizacji umowy, której stroną jest osoba, której przetwarzane dane dotyczą lub też wówczas, gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której przetwarzane dane dotyczą.

Jasnym jest, że zawierając umowę podajemy swoje dane, których przetwarzanie przez kontrahenta dopuszczalne jest w taki sposób i w takim zakresie, w jakim jest to niezbędne dla wywiązania się z umowy, która została zawarta.. Dane mogą być przetwarzane jedynie w celu wykonania umowy. Na przykład, biuro podróży zawierając umowę dotyczącą organizacji wycieczki, musi mieć możliwość przekazania danych osobowych  klienta w celu chociażby rezerwacji hotelu.
Istnieje też podstawa legalizująca przetwarzanie danych osobowych w trakcie procedur zmierzających do zawarcia umowy, np.: rekrutacja, konkurs.

Dane osobowe mogą być przechowywane do czasu wygaśnięcia roszczeń z tytułu umowy.

Wykonywanie zadań dla dobra publicznego.

Okolicznością legalizującą przetwarzanie danych osobowych jest fakt, iż dane niezbędne są do wykonania określonych prawem zadań realizowanych dla dobra publicznego. Przyznaję, że kategoria ta jest bardzo szeroka. Omawiana przesłanka dotyczy sytuacji, gdy brak jest odpowiednich przepisów wprost upoważniających do przetwarzania danych, jednakże ze względu na konieczność wykonywania określonych przez prawo zadań realizowanych dla dobra publicznego dane te muszą być przetwarzane bez zgody osób, których dotyczą. Odnosi się to np.: inspektorów NIK w trakcie dokonywania przez nich kontroli.
Dobro publiczne staje się wartością nadrzędną w stosunku do prawa jednostki do ochrony jej danych osobowych. Istnieje obawa, że przepis ten może prowadzić do wielu nadużyć.

W piśmiennictwie wskazano, iż chodzi o działania prowadzone w interesie publicznym, jak świadczenie pomocy socjalnej, pomocy ofiarom klęsk żywiołowych, przeciwdziałanie "praniu brudnych pieniędzy" itp. Nie są objęte tą regulacją działania prowadzone w interesie własnym. Przetwarzanie danych osobowych ma dotyczyć wykonywania zadań publicznych, które muszą być określone prawem. Ponadto posiadanie określonych danych, ich przetwarzanie musi być niezbędne do wykonania tych zadań.

Prawnie usprawiedliwione cele.

Poza tym w art. 23 ust 1 pkt 5 ustawy o ochronie danych osobowych wskazano też, że przetwarzanie danych osobowych dopuszczalne jest wtedy, gdy jest ono niezbędne do wypełniania prawnie usprawiedliwionych celów, które będą realizowane przez administratora danych lub odbiorcę danych, a przetwarzanie danych nie będzie naruszało praw i wolności osoby, której dane dotyczą. 
W praktyce kryterium "prawnie usprawiedliwionego celu" przy przetwarzaniu danych osobowych spełnia dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Umożliwia to między innymi gromadzenie i wykorzystywanie danych osobowych koniecznych dla dochodzenia roszczeń w postępowaniu sądowym, w tym także pozyskiwanie ich od innych administratorów danych, np. pozyskiwanie danych z rejestrów przedsiębiorców.

Nasze dane osobowe to dobro, którym powinniśmy bardzo ostrożnie i rozważnie dysponować. Przetwarzanie ich przez niewłaściwych administratorów może nas narazić nie tylko na lawinę ulotek, folderów, listów, ale też może prowadzić do uzyskania naszych danych przez niepowołane do tego osoby i uwikłać nas w niepotrzebne kłopoty. Warto zatem wiedzieć, w jakich okolicznościach przetwarzanie naszych danych osobowych jest zgodne z prawem.