Przesłanki przetwarzania danych osobowych cz. I
Przesłanki przetwarzania danych osobowych zwykłych ustawodawca umieścił w art. 23 Ustawy. Nazywa się je ogólnymi materialnymi przesłankami przetwarzania danych osobowych[1] Przesłanki te mają charakter generalny, odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz"; odmiennie kształtują się jedynie przesłanki usprawiedliwiające przetwarzanie danych wrażliwych (zob. art. 27 ust. 2 u.o.d.o.) oraz przesłanki dopuszczalności przekazywania danych do państwa trzeciego (por. art. 47 i 48 u.o.d.o.)[2]. Przesłanki te są, co do zasady, równoprawne[3] i autonomiczne. Pociąga to za sobą dwie konsekwencje. Wystarczy zaistnienie jednej z nich[4] aby przetwarzanie danych było dopuszczalne. Ponadto, co szczególnie mocno podkreśla GIODO – jedna z tych przesłanek, a mianowicie zgoda osoby, której dane dotyczą, ma charakter subsydiarny. Administratorowi nie wolno po nią sięgać, jeżeli jakakolwiek inna przesłanka uprawnia go do przetwarzania danych[5]. Dzięki temu nie wprowadza się bowiem zainteresowanego w błąd, sugerując mu istnienie odmiennego od rzeczywistego stanu prawnego, co może być źródłem sytuacji konfliktowych, gdy odmówi on swojego zezwolenia[6].
Przetwarzanie danych osobowych jest możliwe wyłącznie w takim stanie faktycznym, co do którego:
· ustawa nie ma zastosowania (z uwagi na brak zaistnienia wszystkich okoliczności warunkujących jej przestrzeganie), albo
· zastosowanie jest ograniczone i nie obejmuje przesłanek przetwarzania danych, albo
· ustawę stosuje się w pełni, a konkretne przetwarzanie jest objęte jedną z przesłanek przetwarzania[7].
Innymi słowy przesłanki legalizują przetwarzanie danych[8]. Przesłanki stanowią konkretyzację reguły ujętej w art. 1 ust. 2 u.o.d.o. zezwalająca na przetwarzanie danych ze względu na dobro publiczne, dobro osoby, której dane dotyczą, a także dobro osób trzecich[9].
Zgoda osoby, której dane dotyczą, jest jedną z dwóch podstawowych (głównych) merytorycznych przesłanek przetwarzania danych osobowych – takie ujęcie jest pochodną przyznania każdej osobie prawa do ochrony własnych danych osobowych. Jest ona urzeczywistnieniem łacińskiej paremii volunti non fit iniuria (chcącemu nie dzieje się krzywda). Ustawa nie wybrała modelu tzw. opcji negatywnej, a więc założenia, że brak sprzeciwu oznacza zgodę i że w związku z tym wolno przetwarzać dane osobowe, o ile zainteresowany się temu nie sprzeciwia[10]. Przyglądając się regulacji zawartej w art. 7 pkt 5) należy zauważyć, że zgoda ma charakter oświadczenia woli, które osoba, której dane dotyczą składa innej osobie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Musi być wyraźna i wyodrębniona z innych oświadczeń woli. Warto zaznaczyć, że Sąd Ochrony Konkurencji i Konsumentów w jednym z orzeczeń uznał, że w umowie z konsumentem nie można zastrzec, że podpisanie umowy jest jednocześnie zgodą na przetwarzanie danych osobowych[11]
Zgoda może mieć charakter indywidualny, tj. upoważniać tylko jeden podmiot, np. ten, który zbiera dane, do ich dalszego przetwarzania, może też odnosić się do dalszych dysponentów (nabywców) zbioru obejmującego te dane, którzy będą je dalej przetwarzać. W tym zakresie zgoda będzie jednak skuteczna o tyle, o ile ci dalsi dysponenci zostaną wskazani, a cel przetwarzania będzie tożsamy[12]. Swoboda w zakresie formy wyrażenia zgody na przetwarzanie danych osobowych nie zwalnia jednak administrator, z obowiązku wykazania – w razie sporu lub kontroli – że taką zgodę uzyskał. Stąd w jego interesie jest, aby forma wyrażenia zgody miała dostateczną moc dowodową[13].
Od 7 marca 2011 roku, po nowelizacji treści Ustawy o ochronie danych osobowych zgoda n przetwarzanie danych może być cofnięta w każdym czasie. Zakończyło to trwający w doktrynie spor odnośnie możliwości jej cofnięcia. Nowelizacja ta była bardzo potrzebna. Gdyby bowiem stosować do zgody przepisy KC o oświadczeniach woli, byłaby ona praktycznie nieodwołalna. Ponadto odmowa udzielenia zgody nie musi być uzasadniona[14]. Należy zauważyć, że osoba której dane dotyczą powinna przed wyrażeniem zgody być powiadomiona o celu przetwarzania danych. Zgoda na jakikolwiek cel (zgoda blankietowa) nie jest zatem dopuszczalna[15].
Nieważna jest zgoda udzielona przez osobę znajdującą się w stanie wyłączającym świadome albo swobodne powzięcie woli (np. przez osobę chorą, niedorozwiniętą, znajdującą się pod wpływem alkoholu lub środków odurzających itp.). Podobnie ocenić należy zgodę uzyskaną w wyniku:
a) istotnego błędu,
b) podstępu lub
c) posłużenia się bezprawną groźbą[16].
Dyskusyjną kwestią, do czasu nowelizacji ustawy z 2011 roku była kwestia cofnięcia zgody. W pierwotnym brzmieniu, u.o.d.o. nie przewidywała takiej możliwości wprost a poglądy w doktrynie były na możliwość takiego odwołania zgody były zróżnicowane. Chociaż ustawa tego wprost nie wyrażała, już przed jej nowelizacją można było uznać, że - tak jak przyjmuje się na gruncie podobnego rozwiązania występującego w dyrektywie - zgoda może zostać odwołana, ponieważ osoba udzielająca zezwolenia nie musi bynajmniej znosić przetwarzania jej danych zawsze, bezterminowo, i to nawet jeśli uprzednio to akceptowała[17]. Skutki odwołania zgody powinny odnosić się tylko do przyszłości; oczywiście nie może ono wywoływać skutków wstecz, czyniąc wcześniej prowadzone przetwarzanie danych nielegalnym[18].
W literaturze zagranicznej spotkać można pogląd, że odwołanie powinno być dozwolone wtedy, gdy następuje "w dobrej wierze"; ma to miejsce np. w sytuacji, gdy miarodajne dla udzielenia zgody okoliczności (przyczyny) zmieniły się na tyle, że w tej nowej sytuacji zgoda najprawdopodobniej nie zostałaby udzielona. Kwestionowana jest także dopuszczalność zrzeczenia się z góry prawa do odwołania zgody[19]. Jak wskazuje Paweł Fajgielski odwołanie zgody jest z reguły dopuszczalne i skuteczne na przyszłość, co wynika głównie z tego, że prawo do ochrony danych osobowych jest prawem podmiotowym o charakterze osobistym, ściśle związanym z osobą, której przysługuje. Nierozerwalny związek tego prawa z konkretną osobą skutkuje tym, że zgoda nie może przybrać charakteru rozporządzenia, które spowodowałoby trwałe przeniesienie lub wygaśnięcie tego prawa[20].
Zgoda może ograniczać przetwarzanie danych pod względem:
· warunku – jej skuteczność będzie zależeć od ziszczenia się warunku; będzie ona legalizowała zbieranie lub inną formę przetwarzania danych dopiero po ziszczeniu się warunku;
· terminu – osoba, której dane dotyczą wyraża akceptację na przetwarzanie danych przez określony czas;
· ograniczonego terytorium – np. do przetwarzania na terenie kraju;
· podmiotu – zgoda udzielona z zastrzeżeniem, że zgoda została udzielona wyłącznie na przetwarzanie dokonywane przez wskazaną osobę zatrudnioną przez administratora;
· przedmiotu – w odniesieniu do niektórych tylko danych czy do niektórych celów przetwarzania.
Podzielić należy pogląd o konieczności uprzedniego (względem przetwarzania) wyrażenia zgody[21]. Przemawia za tym zarówno konieczność zachowania szczególnej staranności przez administratora przetwarzającego dane osobowe, jak i odpowiedzialność karna za przetwarzanie danych bez zachowania przesłanek ustawowych[22].
Kolejną przesłanką wskazaną w art. 23 ust. 3 legalizującą przetwarzanie danych jest ochrona żywotnych interesów osoby, której dane dotyczą. Skorzystanie z tej przesłanki wymaga łącznego spełnienia dwóch warunków: braku możliwości uzyskania zgody osoby, której dane dotyczą, oraz niezbędności przetwarzania dla ochrony żywotnych interesów tej osoby.
Żywotnymi interesami w rozumieniu komentowanego przepisu są takie interesy, które zasługują na to, by przyznawać im pierwszeństwo przed interesem zachowania danych osobowych w poufności. Żywotne interesy przeważają zatem nad interesami nakazującymi uzależniać przetwarzanie danych osobowych od zgody zainteresowanego. Muszą być to interesy o dużym znaczeniu, doniosłe[23]. Ważone są więc przez administrator danych inne dobra – w obu przypadkach jednak są to dobra, których dysponentem jest osoba, której dane dotyczą[24]. W tym przepisie ustawodawca przyjmuje natomiast prymat dobra w postaci żywotnych interesów osoby fizycznej nad dobrem w postaci prawa do decydowania o ujawnieniu (przetwarzaniu) informacji jej dotyczących (art. 51 ust. 1 Konstytucji RP)[25]. Przetwarzanie musi być „niezbędne” do ochrony żywotnych interesów danej osoby. A zatem powinna występować tu taka sytuacja, w której zaniechanie przetwarzania danych(np. nieprzekazanie ich innemu podmiotowi) powodowałoby bezpośrednie zagrożenie dla żywotnych interesów[26]. Wreszcie zachodzić musi sytuacja, gdy uzyskanie zgody jest niemożliwe. Może to być zarówno bezwzględna niemożność (np. uzyskanie zgody od osoby nieprzytomnej), jak i niemożność względna; w drugim przypadku uzyskanie zgody powiązane jest z nieproporcjonalnie dużym wysiłkiem lub może nastąpić dopiero po pewnym czasie, gdy przetwarzanie danych z punktu widzenia danej osoby straci już na znaczeniu (np. osoba czasowo przebywa za granicą i w danej chwili nie jest znany aktualny adres jej pobytu)[27]. Omawiana przesłanka zaostrza zasadę czasowego ograniczenia przetwarzania danych. Nie uprawnia bowiem do przetwarzania danych do chwili osiągnięci celu, lecz do momentu, w którym możliwe stanie się uzyskanie zgody osoby, której dane dotyczą[28].
[1] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona…, Warszawa 2015, s. 399
[2] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona…, Warszawa 2015, s. 399
[3] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona…, Warszawa 2015, s. 399
[4] S. Hoc, T. Szewc, Ochrona..., s. 30
[5] S. Hoc, T. Szewc, Ochrona..., s. 30
[6] Por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona…, Warszawa 2015, s. 400
[7] Por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona…, Warszawa 2015, s. 29.
[8] A. Drozd, Ustawa..., s. 111
[9] Por. A. Szewc, Z problematyki ochrony danych osobowych, cz. 2, Radca Prawny 1999, Nr 4, s. 3
[10] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona…, Warszawa 2015, s. 403
[11] Wyrok SOKiK z dnia 27 lipca 2005 r., XVII Amc 60/04, Monitor Sądowy i Gospodarczy 2007, nr 29, poz. 1780
[12] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona…, Warszawa 2015, s. 404
[13] A. Drozd, Ustawa…, s. 75
[14] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona…, Warszawa 2015, s. 408
[15] S. Hoc, T. Szewc, Ochrona..., s. 30
[16] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona…, Warszawa 2015, s. 405
[17] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona…, Warszawa 2015, s. 409
[18] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona…, Warszawa 2015, s. 411
[19] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona…, Warszawa 2015, s. 410
[20] Por. P. Fajgielski, Podstawy prawne dopuszczalności przetwarzania danych osobowych [w:] Studia z prawa publicznego, t. 1, Współczesne problemy prawa publicznego, red. S. Fundowicz, Lublin 1999, s. 116
[21] Wyrok NSA z 4 kwietnia 2003 r, II SA 2135/02, Wokanda 2004, Nr 6, s. 30
[22] S. Hoc, T. Szewc, Ochrona..., s. 34
[23] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona..., Warszawa 2015, s. 411-412
[24] P. Barta, P. Litwiński, Ustawa..., s. 234
[25] P. Barta, P. Litwiński, Ustawa..., s. 234
[26] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona..., Warszawa 2015, s. 412
[27] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona..., Warszawa 2015, s. 412