Przetwarzanie danych osobowych bez zgody osoby

Dawno nie było nic ciekawego o ochronie danych osobowych, a P.T. Czytelnicy wydają się nadal zaciekawieni tą tematyką. Tym razem padło na kwestię budzącą sporo kontrowersji — czyli przetwarzanie danych osobowych bez zgody osoby jest dopuszczalne?

Będzie w punktach, bo tak mi się szybciej pisze, a chyba też zyskuje na tym klarowność wypowiedzi:

  • podstawową regułą ustawy o ochronie danych osobowych (przypominam, że od wczoraj mamy dość istotne zmiany w ustawie — warto się przeklikać przez tekst) jest zamknięty katalog przesłanek dopuszczalności przetwarzania danych osobowych (art. 23 ust. 1 UoODO);
  • stąd też przetwarzanie danych osobowych jest dopuszczalne tylko i wyłącznie w przypadku: (i) zgody zainteresowanej osoby, (ii) niezbędności zrealizowania uprawnienia obowiązku lub spełnienia obowiązku wynikającego z przepisu prawa, (iii) konieczności wykonania umowy, której stroną jest osoba zainteresowana, (iv) niezbędności wykonania określonych prawem zadań realizowanych dla dobra publicznego, (v) realizacji prawnie usprawiedliwionego celu administratora danych lub odbiorcy danych, o ile przetwarzanie takie nie narusza praw i wolności osoby, której dane są przetwarzane;
  • jak widać tylko jedna z pięciu przesłanek wiąże się z koniecznością uzyskania wyraźnej zgody zainteresowanej osoby (art. 7 pkt 5 UoODO) — jednak cała reszta oczywiście opiera się na jakimś powiązaniu administratora danych z osobą, której dane są przetwarzane, albo też na wyraźnym uprawnieniu ustawowym (przy czym często sytuacje te „nachodzą” na siebie);
  • najprostszą chyba sytuacją jest istnienie stosunku umownego, którego stroną jest osoba, której dane są przetwarzane, także przed jej zawarciem (art. 23 ust. 1 pkt 3 UoODO). Na podstawie tego przepisu usługodawca nie musi prosić klienta (a zleceniodawca — zleceniobiorcę, biuro podróży — turystę) o zgodę na przetwarzanie danych osobowych w takim zakresie, w jakim jest to uzasadnione wykonaniem tejże umowy — ale, co ważne, wyjście poza tematykę związaną z wykonaniem umowy nie wchodzi tu w rachubę;
  • oznacza to, że przetwarzanie danych kontrahenta na przykład w celach marketingowych, jako że nie mieści się w wykonaniu umowy (choćby udostępnienie danych przez e-sklep do serwisu gromadzącego opinie zadowolonych klientów), nie znajduje podstawy w art. 23 ust. 1 pkt 3 UoODO, a zatem generalnie wymagać będzie zgody zainteresowanej osoby — chyba że będzie to wyłącznie marketing bezpośredni własnych usług lub produktów administratora danych (art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 1 ustawy);
  • w niektórych przypadkach umowny cel będzie także korespondować z przesłanką w postaci kompetencji wynikającej wprost z normy prawnej (art. 23 ust. 1 pkt 2 ustawy). Tak na szybko przychodzi mi do głowy umowa o pracę — podstawą ustawową do przetwarzania danych osobowych pracowników i kandydatów do pracy jest przecież art. 22(1) kodeksu pracy, natomiast w odniesieniu do usługodawców świadczących usługi drogą elektroniczną mamy przecież art. 16-22 UoŚUDE, który wprost zezwala na przetwarzanie określonego rodzaju danych osobowych usługobiorcy bez jego zgody, o ile są niezbędne do świadczenia usługi (art. 18 ust. 1 ustawy) — zaś innych danych po wyrażeniu tejże zgody (art. 18 ust. 4 ustawy);
  • innego rodzaju przepisami zezwalającymi na przetwarzanie danych osobowych są (wyliczanka jest z oczywistych przyczyn niepełna): przepisy podatkowe pozwalające fiskusowi interesować się życiem podatników; ZUS; kwestie związane ze zbieraniem w czasie wyborów podpisów poparcia dla kandydatów; ustawa o policji, która pozwala na przetwarzanie danych związanych z wykrywaniem przestępstw; przepisy o organizacji służby zdrowia; Krajowy Rejestr Karny; prawo telekomunikacyjne, które zezwala m.in. na przetwarzanie danych o odbiorcach komunikatów; CEIDG oraz KRS; etc., etc.;
  • osobny temat to uprawnienie wynikające z realizacji zadań dla dobra publicznego, które to zadania musi wykonywać podmiot przetwarzający dane osobowe (art. 23 ust. 1 pkt 4 UoODO). Osobny i dość drażliwy, ponieważ tak zarysowana przesłanka stanowi coś w rodzaju wytrycha — do zastosowania tam, gdzie nie da się znaleźć wyraźnej kompetencji wyrażonej w przepisie prawa;
  • moja krytyczna opinia bierze się z prostego założenia: ustawodawca mógłby się postarać i zakreślić te ramy w ustawie — skoro bowiem owo dobro publiczne ma wynikać z wykonania określonego prawem zadania, to nic nie stoi na przeszkodzie, by przepis wyraźnie dawał uprawnienie do przetwarzania naszych danych osobowych. Jakby na to nie patrzeć: im mniej niejasności, tym mniej dowolności i niepotrzebnej dyskusji, a biorąc pod uwagę, że mowa jest o prawie do prywatności — to pamiętajmy, że ograniczenia konstytucyjnych praw i wolności mogą być ustanawiane wyłącznie w ustawie (art. 31 ust. 3 Konstytucji RP);
  • ostatnią wreszcie przesłanką przetwarzania danych osobowych bez zgody osoby jest realizacja prawnie usprawiedliwionego celu realizowanego przez administratora danych lub odbiorców danych, pod warunkiem, iż to przetwarzanie nie narusza praw i wolności tej osoby (na przykład prawa do prywatności, ochrony życia osobistego, etc.). Jako przykład takiego celu ustawa wskazuje marketing bezpośredni własnych produktów lub usług administratora, a także dochodzenie przez podmiot przetwarzający dane osobowe roszczeń przeciwko dłużnikowi, którego dane są przetwarzane (art. 23 ust. 4 UoODO); katalog ten nie jest zamknięty, stąd też można doliczyć do niego każde działanie, które z jednej strony ma oparcie w jakimś przepisie — a z drugiej nie odziera osoby z jej podstawowych praw (na przykład upublicznianie danych przedsiębiorców pozyskanych z CEIDG);
  • w orzecznictwie natomiast przyjęto, że przepis ten zezwala m.in. na cesję wierzytelności (wyrok NSA z 6 czerwca 2005 r., sygn. akt I OPS 2/05), ściganie sprawców przestępstw (wyrok NSA z 21 lutego 2014 r., sygn. akt I OSK 2324/12). Natomiast jako brak usprawiedliwionego celu oceniono m.in. przetwarzania danych w celu ochrony przed przyszłym i niepewnym roszczeniem osoby, której dane podlegają przetwarzaniu (wyrok WSA w Warszawie z 1 grudnia 2010 r., II SA/Wa 1212/10), a także monitorowanie przez pracodawcę aktywności komputera pracownika bez jego wiedzy (wyrok NSA z 13 lutego 2014 r., I OSK 2436/12).

Zamiast podsumowania — Post Scriptum: tekst siłą rzeczy jest tylko szkicem, pod żadnym pozorem nie powinien funkcjonować jako całościowe kompendium wiedzy. Za jakiś czas postaram się wrócić do tematu pt. przetwarzanie danych osobowych bez zgody osoby.

  • Usher

    Dlaczego nie użyłeś przykładu CV, który to dokument jest przetwarzany zanim jeszcze człowiek zostanie kandydatem do pracy?

  • Chciałem by to wyszło w komentarzach… ale przecież nie masz chyba co do tego wątpliwości: mieści się w art. 22(1) par. 1 kodeksu pracy („żądać od osoby ubiegającej się o zatrudnienie”), pod warunkiem, że nie wychodzi poza zakres tam wskazany:

    1) imię (imiona) i nazwisko;
    2) imiona rodziców;
    3) datę urodzenia;
    4) miejsce zamieszkania (adres do korespondencji);
    5) wykształcenie;
    6) przebieg dotychczasowego zatrudnienia.

  • gjon

    Tak z boku głównego tematu wpisu – męczy mnie cały czas sprawa, czy cokolwiek muszę zadziałać ze swoją bazą klientów, których zbieram do wypisywania rachunków i zleceń serwisowych. Proszę o pomoc.

  • Jeśli jest to tylko wystawienie rachunku lub faktury, to właściwie nie ma najmniejszego problemu — art. 43 ust. 1 pkt 8 UoODO zwalnia administratorów takich zbiorów z obowiązku ich rejestracji w GIODO.

    Co do zleceń serwisowych natomiast to już nie jest takie proste, chyba że zbiór jest prowadzony poza systemem teleinformatycznym — to dobra część dość kontrowersyjnej moim zdaniem nowelizacji ustawy (art. 43 ust. 1 pkt 12).
    Wystarczy zatem owe zlecenia serwisowe notować w zeszyciku. Albo sprowadzić je wyłącznie do owego rachunku/faktury.

  • gjon

    Dziękuję za błyskawiczną i konkretną informację. Pójdźmy dalej – zlecenia serwisowe wystawiam w jednym z modułów mojego programu finansowo-księgowego (w innym module m.in. owe wcześniej wspomniane rachunki) i powiedzmy, że nie chciałbym tego zmieniać. Dla sprecyzowania sytuacji – prowadzę serwis komputerowy i dane klientów zbieram jedynie do kontaktu z nimi, przy czym pobieram od nich imię i nazwisko, adres i telefon (czasem email) kontaktowy. Rozumiem więc że powinienem zacząć się niepokoić…

  • Czemu od razu niepokoić :) Zawsze wystarczy zgłosić zbiór do rejestracji w GIODO, wbrew pozorom to jest naprawdę nietrudne. Pewnie trzeba by się lekko wymóżdżyć jeśli dane są zgromadzone na serwerze usługodawcy (albo w modnej chmurze), natomiast jeśli ich przetwarzanie następuje wyłącznie lokalnie — to nie będzie żadnych problemów.

  • jk

    Czy legitymowanie osoby z dowodu osobistego bez spisywania przez pracownika ochrony jest przetwarzaniem danych osobowych

  • Nie, nie jest.

    Ale też nie ma takiej opcji jak „legitymowanie bez spisywania” — rozporządzenie Rady Ministrów z 19 grudnia 2013 r. w sprawie w sprawie szczegółowego trybu działań pracowników ochrony:

    § 6. Z czynności legitymowania pracownik ochrony sporządza notatkę, zawierającą imię i nazwisko osoby legitymowanej, wskazanie rodzaju dokumentu oraz jego numeru i serii, a także czasu, miejsca i przyczyny legitymowania.

    Dodam jeszcze, że pracownik ochrony może legitymować tylko w obiektach, gdzie istnieje po temu podstawa w postaci ustalenia uprawnienia osób do przebywania.

    Por. dość stary już mój tekst (częściowo zdeaktualizowany):

    http://olgierd.bblog.pl/wpis,legitymowanie;osob;przez;ochroniarzy,4768.html

  • jaa

    ja np. dużo dowiedziałam się tutaj być może to komuś również pomoże http://ochronadanychosobowychwsieci.pl/zgoda-na-przetwarzanie-danych-osobowych/

  • maxstax

    co mogę zrobić w sytuacji gdy dzwoni do mnie przedstawiciel firmy ubezpieczeniowej z ofertą (znając moje dane osobowe) a ja skądinąd wiem, że posiada je nielegalnie od innego przedstawiciela usług bankowych (którego znam osobiście i który ostrzegł mnie że skradziono mu bazę danych)?

  • 1) skoro dzwoni — to prowokacyjne pytanie o art. 172 prawa telekomunikacyjnego: http://czasopismo.legeartis.org/2015/01/art-172-prawa-telekomunikacyjnego.html
    2) „ostrzegł mnie” — art. 52 tutaj: http://czasopismo.legeartis.org/wazne-ustawy/ustawa-o-ochronie-danych-osobowych

  • coooco3

    Czy portale spolecznosciowe maja prawo zadac wyrazania zgody na przetwarzanie moich danych osobowych i niejednokrotnie „handlowac ” nimi ,skoro Art.54 naszej Konstytucji gwarantuje mi wolnosc wypowiedzi i swobode moich pogladow bez zadnego podpisywania zgody .Wyglada to tak : Nie podpiszesz zgody na przetwarzanie twoich danych – nie mozesz korzystac z portalu . Wiadomo wszystkim ,ze najwyzszym organem wladzy w naszym Panstwie ,jest Sejm . Jenak i Sem nie moze „podskoczyc ” ponad Konstytucje .

  • Ale przecież portale internetowe nie są jedyną formą ekspresji. Można też prowadzić bloga — albo wypowiadać się na moim :)

  • Mateusz

    Mam pytanie :) może głupie :) jestem w kołobrzegu chciałem zapisać się na masaż, babeczka z recepcji prosi mnie o dowód, wklepuje wszystkie moje dane (nie pytając się o zgodę) do komputera. Nie jest to nic zwiazanego z NFZ zwykle centrum spa, Pani mówi że taki mają program to ona tak robi. Czy to jest normalne??

  • Właściwie to raczej mogliby sobie odpuścić — masaż jest na tyle nieinwazyjny, że ryzyka powrotu klienta z pretensjami („bo mnie uszkodzili”) nie widzę. Paragon-faktura też nie wymagają sprawdzania tożsamości.
    Czuję, że sobie robią jakąś bazę klientów — można odmówić zgody na przetwarzanie i już.
    Inna sprawa, że kobieta powinna uprzednio spytać.

  • Mateusz

    Dzięki :)

  • Kubuś Puchatek

    hej. Długo czas szukałam odpowiedniej pracy dla siebie, W końcu znalazłam ją,. Niestety czuję sie oszukana przez pracodawce. Obiecywał cuda i gruszki na wierzbie, Na początek zamiast umowy o prace oferował mi umowe zlecenie – na okres 3 tygodni, i następnie z automatu przekształcenie na umowe o prace. Praca moja polegała na windykacji długów powstałych w firmie przez nieterminowe płatności klientów od roku 2013, Jak już wcześniej wspomniałam pracodawca oszukał mnie gdyż przez te 3 tygodnie zrobiłam mu porządek w papierach i powysyłałam do dłużników monity, wezwania do zapłaty i przedsądowe wezwania do zapłaty. Teraz wpływaja mu tylko pieniążki od dłużników na konto.. Szanowni koledzy proszę poradźcie mi czy mogę wystosować pismo do pracodawcy o zaprzestanie wykorzystania mojego imienia i nazwiska do dalszych celów jesli chodzi o kwestię mnie jako byłego juz pracownika. Zapewnie nie wszyscy ustosunkują się do polubownej zapłaty i część spraw trafi do sądu. W umowie zlecenie mam napisane pracownik biurowy, rzeczywista moja funkcja specjalista ds.windykacj (taką pieczątką się posługiwałam). Nie chce aby moje nazwisko w dalszym ciągu było kojarzone z tą firmą w żaden sposób.