Ogólne przesłanki przetwarzania danych wrażliwych cz. II
Ogólne przesłanki przetwarzania danych wrażliwych cz. II
Ochrona żywotnych interesów osoby fizycznej
Jest to przesłanka zbliżona od przewidzianej dla danych zwykłych przesłanki ochrony żywotnych interesów osoby, której zgody nie można uzyskać[1]. Zastosowana formuła braku możliwości uzyskania zgody w następstwie fizycznych lub prawnych ograniczeń leżących po stronie osoby, której dane dotyczą – do momentu ustanowienia opiekuna prawnego (przez którego rozumień należy także przedstawiciela ustawowego)[2] lub kuratora – a nie różni się w praktyce od braku możliwości uzyskania zgody przewidzianego w art. 23 ust. 3.
Jak wskazuje J. Barta, P. Fajgielski i R. Markiewicz w świetle art. 27 ust. 2 pkt 3 u.o.d.o. spełnione muszą być łącznie trzy warunki:
a) przetwarzanie danych musi mieć na celu ochronę żywotnych interesów osoby, której dane dotyczą, lub osoby trzeciej; ustawa nie definiuje terminu "żywotne interesy", trzeba tu przyjmować wąską interpretację tych interesów, ograniczoną w zasadzie do podstawowych wartości, takich jak życie, zdrowie, bezpieczeństwo osobiste; do kategorii tej nie można zatem zaliczać interesów majątkowych, a także niektórych interesów osobistych (prawo do wizerunku, prawo do dobrej sławy);
b) przetwarzanie danych powinno być niezbędne do ochrony wymienionych interesów; np. konieczne może być w określonym przypadku powiadomienie o chorobie innej osoby po to, aby powiadomiona osoba mogła uniknąć zakażenia lub poddać się szczepieniu;
c) osoba, której dane dotyczą, musi być niezdolna, z przyczyn fizycznych lub prawnych, do wyrażenia zgody na przetwarzanie danych; fizyczną niezdolnością do wyrażenia zgody jest np. brak możliwości skontaktowania się z daną osobą, z kolei za niezdolność prawną należy traktować małoletniość danej osoby; natomiast do żadnego z tych przejawów niezdolności nie można zaliczyć - jak się zaznacza w literaturze prawniczej - ustawowego lub umownego obowiązku dochowania tajemnicy[3].
W komentarzu do zawierającej analogiczny przepis dyrektywy 95/46/WE podnosi się, że sam brak możliwości wyrażenia zgody nie jest tu wystarczający. Nie może go zastąpić upoważnienie ustawowe w tych wszystkich przypadkach, gdy można zasadnie przyjmować, że zainteresowany nie udzieliłby zgody przy braku wspomnianych przeszkód fizycznych lub prawnych. Innymi słowy, upoważnienie ustawowe jest skuteczne jedynie wtedy, gdy istnieje domniemanie faktyczne, że zainteresowany wyraziłby zgodę na przetwarzanie dotyczących go danych wrażliwych[4].
Wykonanie zadań statutowych organizacji niezarobkowej
Przepis art. 27 ust. 2 pkt 4 wyłącza zakaz przetwarzania danych wrażliwych wyłącznie w stosunku do członków organizacji (bez względu na charakter i podstawę ich członkostwa) oraz do osób utrzymujących z nimi stałe kontakty. Takie sformułowanie wskazuje, że osobami takimi mogą być wszelkie osoby utrzymujące stałe kontakty z członkami organizacji (bez znaczenia, czy spokrewnione, czy spowinowacone, czy też w bliskich stosunkach z członkami organizacji)[5]. Przykładowo wskazuje się, że takimi osobami mogą być osoby zatrudnione i wolontariusze[6].
Do organizacji takich zalicza się:
a) kościoły i inne związki wyznaniowe,
b) stowarzyszenia,
c) fundacje,
d) inne niezarobkowe organizacje lub instytucje o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych[7].
Dodatkowym warunkiem jest zapewnienie pełnych gwarancji ochrony przetwarzanych danych. Należy zaznaczyć, że w tych wszystkich przypadkach obowiązują zasady:
a) legalności,
b) związania celem przetwarzania danych,
c) poprawności (prawdziwości) danych,
d) adekwatności danych,
e) ograniczenia czasowego przechowywania danych[8].
Przepis dyrektywy 95/46/WE zawierający analogiczną do komentowanej regulację zastrzega dodatkowo, że dane przetwarzane przez wskazane organizacje nie mogą być bez zgody osób, których te dane dotyczą, przekazywane innym podmiotom. W świetle prawa polskiego, jeżeli można by wykazać, że takie działanie w konkretnym przypadku jest nastawione na osiągnięcie celów określonych w art. 27 ust. 2 pkt 4 u.o.d.o., należałoby je uznać za dozwolone[9].
[1] S. Hoc, T. Szewc, Ochrona danych osobowych i informacji niejawnych, Warszawa 2014, s. 41
[2] A. Drozd, Ustawa o ochronie danych osobowych . Komentarz, wzory pism, przepisy, Warszawa 2004, s. 168
[3] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa 2015, s. 492-493
[4] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona…, s. 493
[5] P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2015, s. 314
[6] A. Drozd, Ustawa o ochronie danych osobowych . Komentarz, wzory pism, przepisy, Warszawa 2004, s. 177
[7] S. Hoc, T. Szewc, Ochrona danych osobowych i informacji niejawnych, Warszawa 2014, s. 42
[8] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa 2015, s. 494
[9] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa 2015, s. 494