Nieuzasadniona fetyszyzacja „blaszaka”(2)

Witold Rygiel

Maj 2005
 

Pogadanki o przetwarzaniu danych osobowych



Ewie, przesympatycznej “forumowiczce”, poświęcam

 

Doktrynalne spory o pojęcie zbioru danych osobowych do czerwoności rozgrzewały w minionych latach polemiczny piec. Konflikty na tym tle nieco wygasły z chwilą wprowadzenia do ustawy zapisu o jej stosowaniu „w systemach informatycznych także w przypadku przetwarzania danych poza zbiorem danych” [1]. Zasadne jest więc pytanie: poza zbiorem, czyli gdzie?

 

Nie ma, niestety, zgodności wśród specjalistów od ochrony danych osobowych, jak rozumieć pojęcie przetwarzania danych poza zbiorem. Spotykamy tu zróżnicowane opinie. Osobiście w pełni solidaryzuję się z poglądem współautora uodo, Wacława Zimnego, który uważa, że „… zestawami danych, a nie zbiorami w rozumieniu ustawy, pozostają dane osobowe przetwarzane metodami informatycznymi poza bazą danych, np. w plikach tekstowych, plikach edytorów, arkuszach kalkulacyjnych” [2]. Analogicznie traktować należy przetwarzanie danych osobowych na stronach internetowych. Odwołując się do polskich realiów ponownie przywołać godzi się casus upowszechnienia w sieci listy inwentarzowej IPN.

 

Dane osobowe na stronach www

W dniu 6 listopada 2003 r. Europejski Trybunał Sprawiedliwości wydał pierwsze w historii swej działalności orzeczenie dotyczące ochrony danych osobowych w Internecie, w sprawie obywatelki Szwecji Bodil Lindqvist, która opublikowała w Internecie dane swoich znajomych, nie pytając ich o zgodę. Nie zgłosiła też szwedzkiemu odpowiednikowi GIODO utworzonego przez siebie zbioru danych osobowych do rejestracji. Warto przytoczyć tu, cytując dr hab. Andrzeja Adamskiego, wnioski wynikające z powołanego orzeczenia:

  • umieszczenie na stronie internetowej nazwisk i numerów telefonów innych osób wraz z informacjami o tym, gdzie pracują i jakie mają hobby, jest przetwarzaniem danych osobowych w rozumieniu Dyrektywy 95/46/WE (a więc i polskiej ustawy o ochronie danych osobowych);

  • wykorzystanie w tym celu prywatnej strony www nie jest przetwarzaniem danych wyłącznie w celach osobistych lub domowych, podlega zatem reżimowi prawnej ochrony danych osobowych (art. 3 ust. 2 Dyrektywy, art. 3 ust. 4 uodo);

  • ujawnienie na stronie internetowej, że jedna z wymienionych tam osób doznała kontuzji nogi i w związku z tym pracuje na pół etatu, jest informacją o stanie jej zdrowia, czyli szczególnie chronionym rodzajem danych osobowych (art. 8 ust. 1 Dyrektywy, art. 27 uodo) [3].

Posłużę się tu pewnym truizmem, twierdząc że obecnie rzeczywiste zagrożenie dla praw (w tym prywatności jednostki) tkwi nie w konieczności prowadzenia wykazów, kartotek, zbiorów ewidencyjnych, czy odizolowanych – instytucjonalnych lub korporacyjnych -informatycznych baz danych zawierających dane osobowe, lecz w „World Wide Web” - ustawicznie rozrastających się od początku lat 90. ubiegłego stulecia, niezgłębionych czeluściach światowej pajęczyny. Lecz jest to temat na inne opowiadanie. Zasygnalizuję jedynie, że dla pełnego obrazu warto poznać bliżej ustawę z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną oraz przeczytać poświęcony jej komentarz Xawerego Konarskiego [4].

 

ADO, ABI? Cóż to za żargon?

Aby nie pobłądzić w licznych zakamarkach ustawy o ochronie danych osobowych konieczne jest przyswojenie sobie kilku pojęć niezbędnych dla właściwego rozumienia kim są adresaci praw i obowiązków narzuconych jej przepisami.

Administrator danych osobowych (ADO) – organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 uodo). W praktyce za administratora danych uznaje się:

  • organ państwowy lub samorządowy,

  • państwową lub komunalną jednostkę organizacyjną,

  • podmiot niepubliczny realizujący zadania publiczne,

  • osobę prawną, jednostkę organizacyjną nieposiadające osobowości prawnej lub osobę fizyczną przetwarzającą dane w związku ze swą działalnością zarobkową, zawodową albo dla realizacji celów statutowych [5].

Trudności i wątpliwości w sferze określenia administratora danych osobowych dotyczą głównie działalności podmiotów publicznych. W wielu przypadkach niełatwo jednoznacznie rozstrzygnąć czy administratorem danych jest określony organ administracji, czy jednostka organizacyjna. Klasycznym przypadkiem jest np. kwestia określenia ADO w sferze działania organów podległych Ministrowi Finansów. Przyjęto osobliwe rozwiązanie, w myśl którego administratorami danych są naczelnicy wszystkich urzędów skarbowych, a nie Minister Finansów. „Jedyną przesłanką przemawiającą za przyjęciem że mamy do czynienia z kilkuset administratorami powtarzalnych zbiorów danych, była trudność w wypełnieniu wniosku zgłoszeniowego (przez Ministra Finansów – przyp. autora) Nie jest ona jednak wystarczająca jeśli przyjąć, że podmioty te prowadzą powtarzalne zbiory danych, których zakres określają przepisy ustaw oraz aktów wykonawczych wydanych przez właściwego ministra, a ponadto sposób zabezpieczenia tych zbiorów i używane oprogramowanie są ujednolicone” [6]. Skutki tej kuriozalnej decyzji obserwujemy od niedawna, tj. od czasu podjęcia przez inspektorów z Biura GIODO kontroli w urzędach skarbowych. Generalny Inspektor kwestionuje każdorazowo zgodność systemu informatycznego POLTAX, wykorzystywanego przez organy fiskusa, z normami rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Kontrolowani naczelnicy urzędów skarbowych otrzymują decyzje administracyjne GIODO nakazujące dostosowanie rzeczonego systemu POLTAX (wprowadzonego i administrowanego przez Ministra Finansów) do warunków określonych w rozporządzeniu, a dowcip polega na tym, że żaden z tych naczelników nie posiada jakichkolwiek uprawnień do „łatania” systemu POLTAX lub zakupu i wdrożenia innego, spełniającego marzenia GIODO.

 

Problem znika jeżeli kryteria ustalenia administratora danych określają ustawy. Wskazać można, jako właściwe w tym przypadku regulacje: Prawo o ruchu drogowym, ustawę o Krajowym Rejestrze Karnym, czy o transporcie drogowym. W wielu aktach prawnych brak jednak takiego sprecyzowania. Zasadne jest zatem przytoczenie stanowiska Andrzeja Drozda, uważającego że ADO to podmiot ponoszący odpowiedzialność za przetwarzanie danych, ponieważ może on zostać zobowiązany przez GIODO w drodze decyzji administracyjnej do przywrócenia stanu zgodnego z prawem w razie naruszenia przepisów o ochronie danych osobowych [7] oraz, że status administratora danych jest niezależny od ich przetwarzania, które może być realizowane przez inny podmiot [8].

 

Prostsze jest określanie ADO w odniesieniu do podmiotów prywatnych. Tu zazwyczaj administratorem danych osobowych będzie bank, firma ubezpieczeniowa, spółka prawa handlowego, biuro podatkowe, pralnia, biuro matrymonialne, agencja ochrony osób i mienia, czy firma developerska. Należy ponadto zapamiętać, że ADO to status, a nie osoba. Zatem administratorem danych jest podmiot, a nie „osoba lub osoby pełniące funkcje kierownicze (dyrektor, prezes, zarząd), podobnie jak oznaczony pracownik, któremu powierzono wykonywanie obowiązków związanych z ochroną i operacjami na danych osobowych”. W wyjątkowych okolicznościach ADO będzie również osoba fizyczna, lecz tylko w sytuacji indywidualnego przetwarzania danych osobowych – na przykład naukowiec, który dla potrzeb pracy badawczej gromadzi dane osobowe w ramach przeprowadzanych ankiet [9].

 

Administrator bezpieczeństwa informacji (ABI) – osoba wyznaczona przez administratora danych osobowych nadzorująca przestrzeganie zasad ochrony danych, tj. zastosowanych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych odpowiednią do zagrożeń oraz kategorii danych (art. 36 ust. 3 uodo). Warto nadmienić, że ustawowe umocowanie ABI uzyskał w wyniku ostatniej nowelizacji przepisów uodo (do 1 maja 2004 roku ABI był odpowiedzialny za bezpieczeństwo danych osobowych w systemie informatycznym, w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe, oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń). Pozornie od ubiegłego roku rola ABI jest wdzięczniejsza, bo nie ponosi on odpowiedzialności za bezpieczeństwo danych osobowych, a jedynie nadzoruje przestrzeganie zasad ich ochrony. Z praktycznego punktu widzenia istotne jest jednak rozszerzenie obecnego zakresu kompetencji ABI na każdą z form przetwarzania danych, nie tylko automatyczną (realizowaną w systemie informatycznym), lecz także tradycyjną.

 

Problem z określeniem nowego zakresu obowiązków ma też GIODO. Po ostatniej nowelizacji przepisów uodo usunięto ze strony internetowej www.giodo.gov.pl wytyczne o nazwie „Zadania administratora bezpieczeństwa informacji". W efekcie, do chwili opublikowania przez Generalnego Inspektora nowych wytycznych (jeśli w ogóle to nastąpi), określona część populacji ABI straci orientację, co do zakresu obowiązków właściwych dla ich funkcji. Trudno bowiem oczekiwać, żeby administratorzy bezpieczeństwa informacji - posiłkując się lakonicznymi w tym kontekście zapisami ustawowymi - tworzyli we własnym zakresie, z własnej inicjatywy i przy wykorzystaniu wrodzonej pomysłowości, wykazy dolegliwych zadań do realizacji.

 

Odbiorca danych – w myśl art. 7 pkt 6 uodo jest nim każdy, komu udostępnia się dane osobowe, z wyłączeniem:

  1. osoby, której dane dotyczą,

  2. osoby upoważnionej do przetwarzania danych,

  3. przedstawiciela, o którym mowa w art. 31a,

  4. podmiotu, o którym mowa w art. 31,

  5. organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.

Zapis określający pojęcie odbiorcy danych obowiązuje w ustawie od 1 maja 2004 roku. Analiza pojęcia „odbiorca danych” wskazuje bezspornie, że nie są nimi: osoby dopuszczone przez ADO do przetwarzania danych, osoby których dane ADO przetwarza, podmioty, z którymi ADO powierzył przetwarzanie danych, ani organy państwowe lub samorządowe, którym należy udostępnić dane w związku z prowadzonym postępowaniem. Wprowadzenie tego pojęcia ma niebagatelne znaczenie z przyczyn, które postaram się omówić w odcinku poświęconym rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku.

 

Administrator systemu informatycznego – tego pojęcia nie ma w ustawie, lecz warto jego znaczenie, mając na uwadze całokształt procesu przetwarzania danych osobowych w określonej instytucji, czy firmie, gdy wykorzystuje się w tym celu komputery. Administratorem systemu może być informatyk zatrudniony w określonej instytucji, któremu pracodawca wyznaczy w zakresie obowiązków służbowych stosowną delegację kompetencyjną, rolę tę może też wypełniać wyspecjalizowana firma zewnętrzna, z którą podmiot niezatrudniający etatowych informatyków zawrze pisemną umowę, zlecając sprawowanie opieki nad prawidłowym funkcjonowaniem systemu. Trzeba jednak pamiętać, że zlecenie takich czynności podmiotowi zewnętrznemu wymaga od ADO dopełnienia powinności określonych w art. 31 uodo – szczegółowo przedstawię ten problem w III odcinku niniejszych „Pogadanek”.

 

Trzeba mieć zasady

Zauważyliście, że sukcesy z życiu osiągają najczęściej ludzie „z zasadami”? Nie inaczej jest w dziedzinie ochrony informacji. Administrator danych osobowych, aby uniknąć odpowiedzialności karnej, ma obowiązek legitymowania się co najmniej jedną z pięciu przesłanek określonych w art. 23 ust. 1 uodo (w zakresie przetwarzania danych osobowych „zwykłych”) lub jedną z dziesięciu przesłanek wymienionych w art. 27 ust. 2 uodo (w razie przetwarzania danych „wrażliwych”). W odniesieniu do danych „zwykłych” elastyczność norm zezwalających na takie przetwarzanie umożliwi każdemu ADO prowadzącemu zalegalizowaną działalność zarobkową, zawodową, czy statutową wskazanie w przepisach uodo podstawy do realizowania „jakichkolwiek operacji wykonywanych na danych osobowych”. Przeanalizujmy więc pobieżnie, kiedy administrator danych ma prawo do przetwarzania danych osobowych „zwykłych”. Na początku zastrzeżenie: po pierwsze wszystkie przesłanki są równoprawne, po drugie częstokroć zdarzy się, że realizowane przez ADO przetwarzanie danych ma oparcie nie w jednej lecz w kilku normach legalizujących (nie jest to powód do szczególnych zmartwień, chociaż powodować może określone skutki prawne w kwestii uprawnień osoby do wystąpienia z żądaniem zaprzestania przetwarzania przez ADO dotyczących jej danych).

Na podstawie art. 23 ust. 1 uodo przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

  1. osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

  2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

  3. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

  4. jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

  5. jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Przeciętny Polak przekonany jest, że do przetwarzania danych niezbędna jest zgoda osoby. Wnioskuje tak najczęściej, bo wypełnia kupony konkursowe znalezione w gazetach lub w skrzynce pocztowej, czyta ogłoszenia potencjalnych pracodawców żądających od kandydatów dołączenia deklaracji zgody na przetwarzanie ich danych, zakłada w portalu internetowym konto bezpłatnej poczty elektronicznej, gdzie warunkiem jest kliknięcie pola z deklaracją rzeczonej zgody. Czy zgoda na przetwarzanie danych jest konieczna? Nic bardziej błędnego. Przeciwnie: żądanie zgody na przetwarzanie danych określonej osoby jest często nadużywane i nieuzasadnione.

Zacznijmy od administratorów danych ze sfery publicznej. W ich przypadku pozyskiwanie zgody osoby jest bezsensowne, gdyż podmioty te – zgodnie z normą konstytucyjną – działają na podstawie przepisów prawa, stąd nie są uprawnione do żądania innych informacji o osobach niż określają to przepisy ustaw szczególnych. Gdy dokonujemy czynności meldunkowych w urzędzie, załatwiamy formalności związane z wydaniem nam prawa jazdy, wypełniamy PIT by oddać go urzędowi skarbowemu, czy staramy się o zasiłek dla bezrobotnych prawo gwarantuje nam, że urzędnik nie będzie żądał od nas informacji nieokreślonych w normach właściwych ustaw i rozporządzeń. Opisany przykład dotyczy – jak łatwo się domyślić – przepisu upoważniającego ADO do przetwarzania danych osobowych, określonego w art. 23 ust. 2 pkt 2 uodo (dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa). Uzupełnijmy, że przedmiotowa przesłanka sprawia najmniej komplikacji – nikt nie jest w stanie zarzucić ADO bezprawnego przetwarzania danych o ile podstawą do dokonywania operacji na danych są przepisy ustaw lub rozporządzeń. Zasadniczo na tę podstawę przetwarzania danych osobowych rzadko powołać mogą się podmioty prywatne, korzystające z dobrodziejstwa swobody w działalności gospodarczej. Niemniej powszechnie obowiązujące jest korzystanie z omawianej przesłanki przez ADO w przypadku prowadzenia zbioru kadrowego. Pracodawcy przetwarzający informacje o osobach zatrudnianych zobligowani są bowiem do respektowania norm określonych w Kodeksie pracy i rozporządzeniach wykonawczych.

 

ADO ma prawo do przetwarzania danych osobowych, jeśli jest to konieczne do realizacji umowy, gdy osoba której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (art. 23 ust. 1 pkt 3). Przesłanka ta ma częste zastosowanie i uniwersalny charakter, gdyż posługiwać mogą się nią zarówno ADO z sfery publicznej, jak i prywatnej (podmioty sfery publicznej częstokroć zawierają umowy np. ze specjalistą, który przeprowadzić ma szkolenie personelu w dziedzinie obrony cywilnej, bezpieczeństwa i higieny pracy, kultury obsługi interesanta, czy też ochrony danych osobowych – hmm, to ostatnie zdarza się raczej rzadko …). Na podstawie art. 23 ust. 1 pkt 3 określony ADO uprawniony jest do udostępniania danych klientów innym podmiotom zaangażowanym w realizację umowy. Klasyczny jest tu przykład biura usług turystycznych, które załatwiając w ramach umowy zawartej z klientem formalności związane z zapewnieniem mu przejazdu i zakwaterowania przekazuje jego dane przewoźnikowi, hotelowi i firmie ubezpieczeniowej. Uzasadnione jest również powoływanie się na tę przesłankę, jako legalizującą przetwarzanie danych osób fizycznych, gdy ADO przetwarza w zbiorze kadrowym informacje o osobach z którymi zawarł umowy zlecenia [10].

 

Często spotykanym błędem lub świadomym nadużyciem są żądania ADO, uzależniające zawarcie umowy od zgody na przetwarzanie danych osobowych klienta dla celów marketingowych. Przodowały jakiś czas temu w tym procederze banki, stosując tę metodę wobec klientów zakładających konta osobiste lub starających się o kredyt. Godzi się zatem jednoznacznie podkreślić, że klient zainteresowany zawarciem umowy z określonym podmiotem może wyrazić zgodę na przetwarzanie danych dla jasno sprecyzowanych przez ADO celów, lecz jest to jego przywilej, a nie obowiązek. Pamiętać warto, że deklaracja takiej zgody musi być odseparowana od treści umowy.

W pełni uprawnione jest ponadto przetwarzanie danych osobowych, gdy jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (art. 23 ust. 1 pkt 4 uodo). Przesłanka ta stosowana winna być przez ADO z należytą rozwagą, gdyż: „Jej bezpieczne wykorzystanie jest wyjątkowo skomplikowane prawnie, a ponadto występuje, wbrew pozorom, sporadycznie w „czystej” postaci. Ponadto niektóre autorytety kwestionują możliwość skorzystania z tej przesłanki przez podmioty mające uprawnienia władcze w stosunku do tych danych, co zawężałoby dopuszczalność jej stosowania jedynie do zakładów komunalnych i innych podmiotów niepublicznych realizujących zadania publiczne” [11]. Godzi się ponadto podkreślić, że osoba, której dane przetwarzane są przez ADO na podstawie tej przesłanki ma prawo:

  • wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację (art. 32 ust. 1 pkt 7),

  • wniesienia sprzeciwu wobec przetwarzania jej danych, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych (art. 32 ust. 1 pkt 8).

Kolejną przesłanką uprawniającą ADO do przetwarzania danych osobowych są prawnie usprawiedliwione cele realizowane przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 uodo). Istotą dopuszczalności przetwarzania jest w tym przypadku dokonywanie operacji na danych wobec niespełniania przez ADO warunku legitymowania się innymi przesłankami (zgoda osoby, przepisy prawa lub uprawnienie, realizacja umowy, dobro publiczne). Do momentu ostatniej nowelizacji przepisów uodo przesłanka ta dotyczyła wyłącznie podmiotów prywatnych. Obecnie ma zastosowanie uniwersalne. Od 1 maja 2004 r. prawnie usprawiedliwionym celem posłużyć się może każdy ADO przetwarzający dane osobowe. W konsekwencji podmioty „sfery publicznej" otrzymały nadmierne w tym przypadku uprawnienia. Organy władzy publicznej obowiązane są na mocy art. 7 Konstytucji RP do działania na podstawie i w granicach przepisów prawa. Przyznanie im prawa do pozyskiwania i przetwarzania danych osobowych nieokreślonych ustawami szczegółowymi wydaje się pozostawać dodatkowo w sprzeczności z art. 51 ust. 1 i 2 Konstytucji RP. Uchylona została tym samym furtka umożliwiająca urzędnikom pozyskiwanie danych osobowych z pominięciem podstaw określonych w ustawach szczegółowych. Może to prowadzić zarówno do tworzenia w tych podmiotach zbiorów lub zestawów danych bez zewnętrznej kontroli, jak i rozbudowywania urzędowych zbiorów o kategorie informacji nieuzasadnione deklarowanym celem przetwarzania.

 

Warto zwrócić uwagę, że w przypadku udostępniania danych przez ADO na podstawie tej przesłanki, wystarczającym warunkiem legalizującym taką operację wystarczające jest istnienie usprawiedliwionego celu tylko po jednej stronie: tj. albo ADO, albo podmiotu zainteresowanego w otrzymaniu danych.

Należy podkreślić, że za usprawiedliwione cele mogą być uznane tylko cele mieszczące się w ramach działalności prowadzonej przez określonego administratora danych. Ponadto przetwarzanie danych na tej podstawie nie może naruszać praw i wolności osoby, której dane dotyczą (gwarancje konstytucyjne). Ustawodawca, pragnąc nieco ułatwić życie administratorom danych wymienił przykładowe dwie formy praktycznego stosowania omawianej przesłanki:

  1. marketing bezpośredni własnych produktów lub usług administratora danych,

  2. dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Popularnym przykładem powoływania się ADO na prawnie usprawiedliwione cele jest działalność firm marketingowych pozyskujących informacje o potencjalnych klientach ze źródeł powszechnie dostępnych (np. książki telefoniczne, Internet, ewidencje formalnie jawne) lub poprzez zakup bazy danych. Niemniej, ostatnia nowelizacja ustawy przyniosła administratorom danych ze sfery marketingowej niemiłą niespodziankę. Skreślono uprzednio figurujące zapisy umożliwiające im uniknięcie obowiązku spełniania obowiązku informacyjnego w razie przetwarzania danych:

  • osób, których dane są ogólnie dostępne (art. 25 ust. 2 pkt 2 uodo),

  • osób, których dane ADO wykorzystał jednorazowo i nie poddał dalszemu przetwarzaniu (art. 25 ust. 2 pkt 4).

Obecnie – w działalności marketingowej - praktycznie w każdym przypadku konieczne jest poinformowanie osoby, której dane zebrano bez jej wiedzy, o tym fakcie (obszerniej omówię ten temat w III odcinku „Pogadanek”). W konsekwencji, uwzględniając niebagatelne koszty związane z informowaniem osób, których dane ADO pozyskał bez ich wiedzy, winny w praktyce zaniknąć zjawiska zarówno handlu bazami danych, jak też przesyłania nam imiennie zaadresowanych informacji promocyjno – reklamowych bez naszej zgody.

Analogicznie, jak w przypadku przetwarzania danych w oparciu o przesłankę „dobra publicznego” osoba, której dane przetwarzane są przez ADO na podstawie klauzuli „prawie usprawiedliwionych celów” ma prawo:

  • wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację (art. 32 ust. 1 pkt 7),

  • wniesienia sprzeciwu wobec przetwarzania jej danych, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych (art. 32 ust. 1 pkt 8).

Co zatem z tą zgodą? Kiedy i komu jest ona potrzebna? W zdecydowanej większości przypadków zgodę osoby na przetwarzanie dotyczących jej danych powinny pozyskiwać podmioty sfery niepublicznej zamierzające wykorzystać informacje o kliencie do działań marketingowych (prościej mówiąc przesyłania mu informacji promocyjno – reklamowych). Zdaniem Wacława Zimnego „przetwarzanie «za zgodą osoby» powinno się stosować jedynie wtedy, gdy nie występują okoliczności uregulowane wprost przepisami prawa oraz tam, gdzie istnieją ważkie przyczyny, aby nie zdawać się na przesłankę «usprawiedliwionego celu»”, ponadto według powoływanego współautora ustawy «zgodę osoby» odnieść należy do następujących sytuacji:

  • stosunki towarzyskie, gdy z uwagi na charakter przetwarzania trudno wyrokować, co jest jeszcze usprawiedliwionym celem, a co już nim nie jest,

  • zgoda przedstawiciela ustawowego w przypadkach ustawowo określonych oraz w odniesieniu do przetwarzania danych dzieci, a także małoletnich w sprawach nie zaliczanych do drobnych bieżących spraw życia codziennego,

  • w przypadkach określonych w art. 27 ust. 2 pkt 2, a przepisu szczególnego innej ustawy nie ma, choć być powinien lub, gdy nie daje on podstaw do użycia, jako przepis wyłączający z powodu braku bezpośredniego odniesienia do przetwarzania danych,

  • w takich relacjach z podmiotem prowadzącym działalność gospodarczą, które w odczuciu społecznym wykraczają poza normy zwyczajowo przyjęte dla przetwarzania danych osobowych albo, na które nie ma społecznego przyzwolenia,

  • przetwarzanie może stwarzać dylematy moralne lub kolidować z przekonaniami religijnymi, światopoglądowymi i politycznymi osoby,

  • przetwarzanie może potencjalnie naruszać prawa i wolności osoby,

  • wszędzie tam gdzie zgoda osoby jest wymagana innymi przepisami prawa[12].

Warto przywołać na zakończenie pogląd Wacława Zimnego, że pomimo nieistnienia przesłanek lepszych i gorszych jedna z nich ma znaczenie szczególne – art. 23 ust. 2 pkt 2 (realizacja uprawnienia lub spełnienie obowiązku wynikającego z przepisu prawa) i jeżeli ADO ma możliwość powołania się na nią, jako podstawę do operacji dokonywanych na danych osobowych, to winien traktować ją priorytetową.

Mniejsza dowolność i elastyczność panuje natomiast w doborze przesłanek umożliwiających przetwarzanie tzw. „danych osobowych wrażliwych” (art. 27 ust. 1 uodo). Ustawodawca w art. 27 ust. 2 pkt 1 - 10 uodo enumeratywnie określił prawnie dopuszczalne wyjątki od zakazu ich przetwarzania. Nadmienię jedynie, że na ich podstawie administratorzy danych mogą m. in. w zgodzie z ustawą o ochronie danych osobowych przetwarzać dane w zbiorach kadrowych, służba zdrowia dokumentować informacje o naszym stanie zdrowia, a właściwe organy państwowe gromadzić i wykorzystywać sensytywne informacje o obywatelach.


¨¨Witold Rygiel

W następnym odcinku między innymi:

Musisz mi to powiedzieć
Armia ponad prawem?
Powierzenie przetwarzania innemu podmiotowi
Jak zabezpieczać dane, czyli analiza rozporządzenia wykonawczego MSWiA?



Przypisy:

[1] art. 2 ust. 2 pkt 2 uodo - dodany ustawą z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz. U. Nr 33, poz. 285).
[2] W. Zimny, Rozszyfrowywanie Ustawy o ochronie danych osobowych. Spór wokół pojęcia zbioru danych?, Biuletyn Ochrona Danych Osobowych nr 10/2000/2001.
[3] Andrzej Adamski, Dane osobowe na www, „Edukacja prawnicza” Nr 1 (58) 2004.
[4] Xawery Konarski, Komentarz do ustawy o świadczeniu usług drogą elektroniczną, Warszawa 2004.
[5] art. 3 uodo.
[6] M. Królikowska, T. Osiej, Ochrona danych osobowych w praktyce. Pytania i odpowiedzi, Warszawa 2000, s. 35.
[7] Andrzej Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2004, s. 63.
[8]  tamże, s. 64.
[9]  J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Zakamycze 2004, s. 408 i 409.
[10] tamże, s.505 i 506.
[11] W. Zimny, Przesłanki legalizujące przetwarzanie, Biuletyn Ochrona Danych Osobowych nr 4/2000.
[12] tamże.