Przetwarzanie danych osobowych bez zgody osoby

Dawno nie było nic ciekawego o ochronie danych osobowych, a P.T. Czytelnicy wydają się nadal zaciekawieni tą tematyką. Tym razem padło na kwestię budzącą sporo kontrowersji — czyli przetwarzanie danych osobowych bez zgody osoby jest dopuszczalne?

Będzie w punktach, bo tak mi się szybciej pisze, a chyba też zyskuje na tym klarowność wypowiedzi:

  • podstawową regułą ustawy o ochronie danych osobowych (przypominam, że od wczoraj mamy dość istotne zmiany w ustawie — warto się przeklikać przez tekst) jest zamknięty katalog przesłanek dopuszczalności przetwarzania danych osobowych (art. 23 ust. 1 UoODO);
  • stąd też przetwarzanie danych osobowych jest dopuszczalne tylko i wyłącznie w przypadku: (i) zgody zainteresowanej osoby, (ii) niezbędności zrealizowania uprawnienia obowiązku lub spełnienia obowiązku wynikającego z przepisu prawa, (iii) konieczności wykonania umowy, której stroną jest osoba zainteresowana, (iv) niezbędności wykonania określonych prawem zadań realizowanych dla dobra publicznego, (v) realizacji prawnie usprawiedliwionego celu administratora danych lub odbiorcy danych, o ile przetwarzanie takie nie narusza praw i wolności osoby, której dane są przetwarzane;
  • jak widać tylko jedna z pięciu przesłanek wiąże się z koniecznością uzyskania wyraźnej zgody zainteresowanej osoby (art. 7 pkt 5 UoODO) — jednak cała reszta oczywiście opiera się na jakimś powiązaniu administratora danych z osobą, której dane są przetwarzane, albo też na wyraźnym uprawnieniu ustawowym (przy czym często sytuacje te „nachodzą” na siebie);
  • najprostszą chyba sytuacją jest istnienie stosunku umownego, którego stroną jest osoba, której dane są przetwarzane, także przed jej zawarciem (art. 23 ust. 1 pkt 3 UoODO). Na podstawie tego przepisu usługodawca nie musi prosić klienta (a zleceniodawca — zleceniobiorcę, biuro podróży — turystę) o zgodę na przetwarzanie danych osobowych w takim zakresie, w jakim jest to uzasadnione wykonaniem tejże umowy — ale, co ważne, wyjście poza tematykę związaną z wykonaniem umowy nie wchodzi tu w rachubę;
  • oznacza to, że przetwarzanie danych kontrahenta na przykład w celach marketingowych, jako że nie mieści się w wykonaniu umowy (choćby udostępnienie danych przez e-sklep do serwisu gromadzącego opinie zadowolonych klientów), nie znajduje podstawy w art. 23 ust. 1 pkt 3 UoODO, a zatem generalnie wymagać będzie zgody zainteresowanej osoby — chyba że będzie to wyłącznie marketing bezpośredni własnych usług lub produktów administratora danych (art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 1 ustawy);
  • w niektórych przypadkach umowny cel będzie także korespondować z przesłanką w postaci kompetencji wynikającej wprost z normy prawnej (art. 23 ust. 1 pkt 2 ustawy). Tak na szybko przychodzi mi do głowy umowa o pracę — podstawą ustawową do przetwarzania danych osobowych pracowników i kandydatów do pracy jest przecież art. 22(1) kodeksu pracy, natomiast w odniesieniu do usługodawców świadczących usługi drogą elektroniczną mamy przecież art. 16-22 UoŚUDE, który wprost zezwala na przetwarzanie określonego rodzaju danych osobowych usługobiorcy bez jego zgody, o ile są niezbędne do świadczenia usługi (art. 18 ust. 1 ustawy) — zaś innych danych po wyrażeniu tejże zgody (art. 18 ust. 4 ustawy);
  • innego rodzaju przepisami zezwalającymi na przetwarzanie danych osobowych są (wyliczanka jest z oczywistych przyczyn niepełna): przepisy podatkowe pozwalające fiskusowi interesować się życiem podatników; ZUS; kwestie związane ze zbieraniem w czasie wyborów podpisów poparcia dla kandydatów; ustawa o policji, która pozwala na przetwarzanie danych związanych z wykrywaniem przestępstw; przepisy o organizacji służby zdrowia; Krajowy Rejestr Karny; prawo telekomunikacyjne, które zezwala m.in. na przetwarzanie danych o odbiorcach komunikatów; CEIDG oraz KRS; etc., etc.;
  • osobny temat to uprawnienie wynikające z realizacji zadań dla dobra publicznego, które to zadania musi wykonywać podmiot przetwarzający dane osobowe (art. 23 ust. 1 pkt 4 UoODO). Osobny i dość drażliwy, ponieważ tak zarysowana przesłanka stanowi coś w rodzaju wytrycha — do zastosowania tam, gdzie nie da się znaleźć wyraźnej kompetencji wyrażonej w przepisie prawa;
  • moja krytyczna opinia bierze się z prostego założenia: ustawodawca mógłby się postarać i zakreślić te ramy w ustawie — skoro bowiem owo dobro publiczne ma wynikać z wykonania określonego prawem zadania, to nic nie stoi na przeszkodzie, by przepis wyraźnie dawał uprawnienie do przetwarzania naszych danych osobowych. Jakby na to nie patrzeć: im mniej niejasności, tym mniej dowolności i niepotrzebnej dyskusji, a biorąc pod uwagę, że mowa jest o prawie do prywatności — to pamiętajmy, że ograniczenia konstytucyjnych praw i wolności mogą być ustanawiane wyłącznie w ustawie (art. 31 ust. 3 Konstytucji RP);
  • ostatnią wreszcie przesłanką przetwarzania danych osobowych bez zgody osoby jest realizacja prawnie usprawiedliwionego celu realizowanego przez administratora danych lub odbiorców danych, pod warunkiem, iż to przetwarzanie nie narusza praw i wolności tej osoby (na przykład prawa do prywatności, ochrony życia osobistego, etc.). Jako przykład takiego celu ustawa wskazuje marketing bezpośredni własnych produktów lub usług administratora, a także dochodzenie przez podmiot przetwarzający dane osobowe roszczeń przeciwko dłużnikowi, którego dane są przetwarzane (art. 23 ust. 4 UoODO); katalog ten nie jest zamknięty, stąd też można doliczyć do niego każde działanie, które z jednej strony ma oparcie w jakimś przepisie — a z drugiej nie odziera osoby z jej podstawowych praw (na przykład upublicznianie danych przedsiębiorców pozyskanych z CEIDG);
  • w orzecznictwie natomiast przyjęto, że przepis ten zezwala m.in. na cesję wierzytelności (wyrok NSA z 6 czerwca 2005 r., sygn. akt I OPS 2/05), ściganie sprawców przestępstw (wyrok NSA z 21 lutego 2014 r., sygn. akt I OSK 2324/12). Natomiast jako brak usprawiedliwionego celu oceniono m.in. przetwarzania danych w celu ochrony przed przyszłym i niepewnym roszczeniem osoby, której dane podlegają przetwarzaniu (wyrok WSA w Warszawie z 1 grudnia 2010 r., II SA/Wa 1212/10), a także monitorowanie przez pracodawcę aktywności komputera pracownika bez jego wiedzy (wyrok NSA z 13 lutego 2014 r., I OSK 2436/12).

Zamiast podsumowania — Post Scriptum: tekst siłą rzeczy jest tylko szkicem, pod żadnym pozorem nie powinien funkcjonować jako całościowe kompendium wiedzy. Za jakiś czas postaram się wrócić do tematu pt. przetwarzanie danych osobowych bez zgody osoby.