Przesłanki przetwarzania danych osobowych cz. II

Kolejną przesłanką wskazaną w art. 23 ust. 1 pkt 2) jest realizacja uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przesłanka uległa zmianie wskutek nowelizacji ustawy z dnia 22 stycznia 2004 r. W pierwotnym brzmieniu przesłanka ta uznawała dopuszczalność przetwarzania danych osobowych, gdy zezwalały na to przepisy prawa. Analizując polską ustawę pod kątem zgodności z dyrektywą 95/46/WE, Komisja Europejska oceniła, że wskazana przesłanka ujęta została zbyt szeroko[1]. W uzasadnieniu projektu nowelizacji stwierdzono, że nowa redakcja art. 23 ust. 1 pkt 2 w dokładny sposób odzwierciedla brzmienie przepisu art. 7 lit. c dyrektywy 95/46/WE[2]. Warunkiem uznającym przetwarzanie danych za zgodne z prawem w oparciu o przesłankę legalizującą, wskazaną w art. 23 ust. 1 pkt 2)  jest łączne spełnienie dwóch warunków:

a)     istnienie odpowiedniego przepisu prawa, który przyznaje podmiotowi uprawnienie lub nakłada na niego obowiązek, oraz

b)    niezbędność przetwarzania danych do zrealizowania tego uprawnienia lub spełnienia obowiązku wynikającego z tego przepisu[3].

Następną przesłanką wskazaną w art. 23 jest przetwarzanie danych, które:

·       jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub

·       gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.

Wykonanie umowy jest sytuacją zbliżoną do wykonywania obowiązku wynikającego z przepisu prawa, przy czym źródłem tego obowiązku jest nie przepis powszechnie obowiązujący, a umowa[4] Warto zauważyć, że podmiot przetwarzający dane wcale nie musi być stroną umowy. Ustawa wymaga tylko albo osoba, której dane dotyczą była jej stroną. Dlatego dozwolone jest przetwarzanie danych w oparciu o tę przesłankę przez inne niż administratorzy danych podmioty[5]. Jak  wskazuje Janusza Barta, Paweł Fajgielski i Ryszard Markiewicz należy przy tych wszystkich przypadkach pamiętać jednak o zastrzeżeniu, jakie zawarte zostało w art. 26 ust. 1 pkt 4 u.o.d.o. Otóż zgodnie z tym przepisem administrator danych jest obowiązany zapewnić, aby dane te były przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania - w tym przypadku: wywiązania się z umowy. W przekonaniu autorów komentarza dane te mogą być przechowywane do czasu wygaśnięcia roszczeń z tytułu umowy. Chodzi tu o utrzymywanie danych w zakresie uzasadnionym ze względu na ewentualny spór z tytułu niewykonania lub nienależytego wykonania umowy[6].

W drugim przypadku, który może zaistnieć na art. 23 ust. 1 pkt 3) – niezbędności przetwarzania danych do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, dochodzi do sytuacji, w której osoba której dane dotyczą, inicjuje działania w celu zawarcia umowy (podejmuje inicjatywę jako pierwsza, czy w odpowiedzi na ogłoszenie) a do tych działań niezbędne jest przetwarzanie danych osobowych[7]. Sformułowanie „na żądanie osoby, której dane dotyczą” wprowadzone zostało nowelizacją u.o.d.o. z 2004 roku.  Zmiana stanowi dostosowanie prawa polskiego do wymogów dyrektywy 95/46/WE i służyć ma przede wszystkim ochronie osób których dane dotyczą, przed nadużywaniem omawianej podstawy wbrew ich woli[8].

Art. 23 ust. 1 pkt 4) stanowi, że przetwarzanie danych osobowych jest dopuszczalne, jeżeli jest niezbędne do wykonania określonych prawem zdań realizowanych dla dobra publicznego.  Pojęcie zadań realizowanych dla dobra publicznego jest w nauce prawa powszechnie utożsamiane z pojęciem zadań publicznych[9]. Jak wskazuje GIODO art. 23 ust. 1 pkt 4) dotyczy sytuacji, gdy brak odpowiednich przepisów wprost upoważniających do przetwarzania danych osobowych, jednak ze względu na konieczność wykonywania przez prawo zadań realizowanych dla dobra publicznego dane te muszą być przetwarzane bez zgody osób, których dotyczą[10]. Jednocześnie – biorąc pod uwagę omówioną już przesłankę niezbędności przetwarzania dla realizacji uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa – za zadania realizowane dla dobra publicznego należy uznać wszelkie działania o nieobowiązkowym charakterze, a także takie, w których podstawa prawna do działania i związanego z nim przetwarzania danych osobowych nie jest dostatecznie „wyraźna”[11]. Analizowany przepis dotyczy sytuacji w których dobro publiczne „wyprzedza” autonomię jednostki w decydowaniu o przetwarzaniu dotyczących ją danych osobowych[12]. Łatwo zauważyć że taka konstrukcja komentowanego przepisu utrudnia precyzyjne wytyczenie granic dozwolonych działań i stanowi podstawę uznania za dopuszczalne wielu różnych działań[13].  

Ostatnia przesłanka wskazana w art. 23 ust. 1 dotyczy niezbędności przetwarzania do wypełnienia prawni usprawiedliwionych celów administratorów danych albo odbiorców danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Jak wskazuje Tadeusz Kuczyński prawnie usprawiedliwiony cel to taki, który mieści się w ramach działalności prowadzonej przez administratora lub odbiorcę[14], a ponadto – skoro mowa o prawnym usprawiedliwieniu – cel działania administratora lub odbiorcy musi być legalny. Ustawodawca, wskazując w art 23 ust. 4, za taki cel uznaje:

·       marketing bezpośredni własnych produktów lub usług administratora danych;

·       dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Jest to wyliczenie przykładowe o czym świadczy zwrot „w szczególności”. Ponadto GIODO za taki cel uznał także:

·       realizację programu naukowego badania stulatków

·       złożenie propozycji zatrudnienia przez podmiot zamierzający przejąć pracodawcę[15].

Oprócz prawnie usprawiedliwionego celu administrator danych wskazuje się na prawnie usprawiedliwiony cel odbiorcy danych. W rządowym uzasadnieniu noweli z dnia 25 sierpnia 2001 r. - użyty spójnik "lub" powoduje, że wystarczające jest istnienie usprawiedliwionego interesu tylko po jednej stronie[16]. Stwierdzenie to zachowuje swoją aktualność także po kolejnej noweli, z dnia 22 stycznia 2004 r. - wystarczy istnienie usprawiedliwionego celu po stronie administratora danych albo odbiorcy danych. W literaturze przedmiotu zaprezentowano jednak pogląd odmienny, iż "dla przyjęcia, że mamy do czynienia ze zgodnym z prawem przetwarzaniem danych osobowych, nie wystarczy więc istnienie prawnie usprawiedliwionego celu po jednej ze stron w sytuacji, gdy drugi z podmiotów nie może powołać się na żadną podstawę przetwarzania przez siebie danych osobowych"[17]. Odbiorcą danych zgodnie z art. 7 pkt 6) u.o.d.o. jest  każdy, komu udostępnia się dane osobowe, z wyłączeniem:

a)       osoby, której dane dotyczą,

b)      osoby upoważnionej do przetwarzania danych,

c)       przedstawiciela, o którym mowa w art. 31a,

d)      podmiotu, o którym mowa w art. 31,

e)      organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem;

Jak wskazuje Janusz Barta, Paweł Fajgielski i Ryszard Markiewicz, nie można poddawać w wątpliwość istnienia usprawiedliwionego celu, dlatego że ma on – w całości lub w części – charakter zarobkowy. Ponadto, cel musi być oznaczony i konkretny[18]. Istotne jest, że  przetwarzanie danych nie może naruszać praw i wolności osoby, której dane dotyczą. Postuluje się w literaturze, aby – idąc śladem odpowiedniego rozwiązania przyjętego w dyrektywie UE – jak warunek nie tyle stawiać „nienaruszalność” wspomnianych praw i wolności, ile raczej wymagać żeby nie przeważały one nad usprawiedliwionym interesem administratora[19].  Z kolei wg. Grażyny Szpor sens omawianego przepisu można upatrywać w dopuszczeniu do przetwarzania danych osobowych bez zgody zainteresowanego, jeżeli jest to dla niego korzystne w takim stopniu, że nie zarzuci administratorowi naruszenia swoich praw i wolności[20].




[1] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona…, Warszawa 2015, s. 413

[2] Por. Uzasadnienie projektu ustawy o zmianie ustawy o ochronie danych osobowych, Sejm RP IV kadencji, nr druku 2120 z dnia 16 października 2003 r., s. 5

[3] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona..., Warszawa 2015, s. 413, s. 414

[4] Por. S. Hoc, T. Szewc, Ochrona…, s. 37

[5] S. Hoc, T. Szewc, Ochrona…, s. 37

[6] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona..., Warszawa 2015, s. 426

[7] Por. A. Drozd, Ustawa…, s. 120

[8] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona…, Warszawa 2015, s. 426

[9] A. Drozd, Ustawa…, s. 123

[10] E. Kulesza, Istotne rozróżnienie, Rzeczpospolita z 14.2.2000 r., Nr 37

[11] G. Sibiga, Postępowanie…, s. 77

[12] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona…, Warszawa 2015, s. 427

[13] Por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona…, Warszawa 2015, s. 427

[14] T. Kuczyński, Ochrona danych osobowych w stosunkach zatrudnienia Przegląd Sądowy 1998, Nr 11-12, s. 123

[15] Sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych z działalności za rok 2000, s. 43, 133

[16] Tak: J. Barta, P. Fajgielski, R. Markiewicz, Ochrona..., Warszawa 2015, s. 431

[17] P. Barta, P. Litwiński, Ustawa…, s. 232

[18] Por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona..., Warszawa 2015, s. 431

[19] A. Mednis, Ustawa…, s. 68

[20] G. Szpor, Publicznoprawna ochrona danych osobowych, Przegląd Ustawodawstwa Gospodarczego 1999, Nr 12, s. 5

 

(niniejszy tekst zawiera fragment pracy magisterskiej)

 

Wszelkie prawa zastrzeżone © 2016
Informacja o ciasteczkach