W każdej minucie tysiące podmiotów przetwarza miliony danych osobowych. Warto zatem wyjaśnić czym jest przetwarzanie danych osobowych oraz co należy zrobić, aby uznać je za legalne. Nie legalne przetwarzanie danych osobowych może bowiem zakończyć się wszczęciem kontroli przez Generalnego Inspektora Ochrony Danych Osobowych z urzędu albo też na wniosek podmiotu, którego dane były przetwarzane.

Co to jest przetwarzanie danych osobowych ?

Przetwarzanie danych osobowych zostało zdefiniowane w u.o.d.o. i oznacza każdą operację lub zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie.

Przetwarzanie zostało również zdefiniowane w dyrektywie 95/46/WE. Zgodnie z art. 2 lit. b tej dyrektywy przez przetwarzanie danych osobowych należy rozumieć jakąkolwiek operację lub zestaw operacji dokonywanych na danych osobowych za pomocą środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie przez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, zestawianie, usuwanie lub niszczenie danych.

Należy wskazać, że powyższe wyliczenia mają charakter przykładowy, a pojęcie „przetwarzania” ma charakter otwarty.

Kiedy przetwarzanie danych jest legalne ?

Chcąc przetwarzać dane osobowe trzeba wykazać podstawę prawną przetwarzania danych osobowych. W odniesieniu do każdej kategorii podmiotów, które przetwarzają dane (administrator danych, przetwarzający, subprzetwarzający i odbiorca danych) podstawy przetwarzania danych osobowych mają różny charakter.

W przypadku administratora danych przesłanki legalnego przetwarzania danych osobowych zostały określone w art. 23 oraz 27 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej jako u.o.d.o.) bądź w przepisach szczególnych (np. w ustawie z dnia 22 maja 2003 roku o działalności ubezpieczeniowej).

Podstawą wyróżnienia przesłanek legalnego przetwarzania danych osobowych zawartych w art. 23 i 27 u.o.d.o. jest kwalifikacja danych osobowych. Pierwszy z przepisów dotyczy przetwarzania danych zwykłych, drugi zaś – danych wrażliwych.

Skupiając się na zwykłych danych osobowych należy wskazać, że przetwarzanie danych osobowych jest zgodne z prawem wówczas, gdy administrator danych legitymuje się posiadaniem, co najmniej jednej, spośród wymienionych w art. 23 ust. 1 u.o.d.o. materialnych przesłanek dopuszczalności przetwarzania.

Stosownie do art. 23 ust. 1 u.o.d.o. – przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy:

  1. osoba, której dane dotyczą, wyrazi na to zgodę,
  2. gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
  3. jest to konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to konieczne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
  4. jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
  5. jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą

Zgoda na przetwarzanie danych osobowych

Zgoda osoby, której dane mają być przetwarzane stanowi najpełniejszy, chociaż nie jedyny, przejaw zapewnienia jej autonomii informacyjnej, rozumianej w orzecznictwie Trybunału Konstytucyjnego jako „prawo do samodzielnego decydowania o ujawnianiu innym informacji dotyczących swojej osoby, a także prawo do sprawowania kontroli nad takimi informacjami, znajdującymi się w posiadaniu innych podmiotów” (Wyrok TK z dnia 19 lutego 2002 r., sygn. U 3/01).

W art. 7 pkt 5 u.o.d.o. zdefiniowano pojęcie „zgody na przetwarzanie danych osobowych” jako „oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści”.

Zgoda może mieć charakter indywidualny, tj. upoważniać tylko jeden podmiot, np. ten, który zbiera dane, do ich dalszego przetwarzania, może też odnosić się do dalszych podmiotów przetwarzających dane osobowe (np. nabywców bazy danych). W tym drugim przypadku konieczne jest konkretne wskazanie, że zgoda obejmuje również dalsze przekazywanie danych osobowych w danym celu.

Bardzo ważne jest to, że osoba która wyraża zgodę na przetwarzanie danych osobowych musi być wcześniej prawidłowo poinformowana przez potencjalnego administratora danych osobowych m.in. o danych samego administratora. Owe poinformowanie powinno być dokonane w sposób odpowiedni i zrozumiały także dla osoby nieobeznanej z problematyką prawną czy handlową. Realizacji tego wymogu służy przede wszystkim przepis art. 24 u.o.d.o.

Co to jest prawnie usprawiedliwiony cel administratora danych ?

Zgodnie z art. 23 ust. 1 pkt 5 u.o.d.o. dane osobowe mogą być przetwarzane, gdy jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych , przetwarzanie danych zaś nie narusza praw i wolności osoby, której dane dotyczą.

W tym miejscu warto odnieść się do art. 7 lit. f dyrektywy 95/46/WE, albowiem w chwili obecnej to ten przepis jest pierwowzorem dla regulacji państw członkowskich w tej tematyce.

Artykuł 7 lit. f) wzywa do testu równowagi: prawnie uzasadnione interesy administratora (lub stron trzecich) muszą być wyważone względem interesów związanych z podstawowymi prawami i wolnościami osoby, której dane dotyczą. Rezultat testu równowagi w dużym stopniu określa, czy można oprzeć się na art. 7 lit. f) jako na podstawie przetwarzania.

Pojęcie „interesu” należy rozumieć jako powód, który administrator danych może posiadać, aby przetwarzać dane, albo jako korzyść, którą administrator osiąga (lub społeczeństwo może osiągnąć) na skutek przetwarzania.

Interes musi być wystarczająco jasno wyrażony, tak aby pozwolić na przeprowadzenie testu równowagi względem interesów oraz praw podstawowych osoby, której dane dotyczą. Ponadto musi to być „interes administratora”. Wymaga to aby interes był rzeczywisty i obecny, czymś co odpowiada aktualnym działalnościom lub korzyściom, które są oczekiwane w bardzo bliskiej przyszłości. Innymi słowy, interes, który będzie zbyt ogólny lub spekulatywny, nie będzie wystarczający.

Charakter interesu może być różny. Niektóre interesy mogą być istotne lub z korzyścią dla całego społeczeństwa, tak jak interes prasy do publikowania informacji na temat korupcji w rządzie lub interes w prowadzeniu badań naukowych (przy zastosowaniu odpowiednich środków ochronnych). Inne interesy mogą mieć mniejszy wpływ na społeczeństwo jako całość, lub w każdym razie, ich wpływ na społeczeństwo może być bardziej mieszany lub kontrowersyjny. Może to np. dotyczyć ekonomicznego interesu firmy, aby dowiedzieć się jak najwięcej na temat jej potencjalnych klientów, tak aby mogła lepiej ukierunkować reklamę swoich produktów lub usług.

Kiedy można mówić, że cel przetwarzania danych jest prawnie usprawiedliwiony i nie narusza praw innych ?

Szukając odpowiedzi na to pytanie warto sięgnąć do Opinii Grupy Roboczej Artykułu 29 ds. Ochrony Danych Osobowych o sygnaturze 6/14 z dnia 9 kwietnia 2014 r. W opinii wymienione hipotetyczne sytuacje oraz wskazano jak należałoby je zinterpretować. Ja w dzisiejszym wpisie przywołam tylko kilka przykładów z tej opinii.

Przykład nr 2

Dziennikarz publikuje dokładny, dobrze udokumentowany artykuł w lokalnej gazecie internetowej o lokalnym radnym ujawniającym, że było on obecny jedynie na jednym z ostatnich 11 posiedzeń rady oraz że prawdopodobnie nie zostanie wybrany z uwagi na ostatni skandal związany z zatrudnieniem swojej 17-letniej córki na stanowisku asystenta.

Stanowisko Grupy Roboczej:

Z punktu widzenia okoliczności, opublikowanie informacji jest prawnie uzasadnionym interesem gazety, o której mowa. Mimo że zostały ujawnione dane osobowe dotyczące radnego, podstawowe prawo do wolności wypowiedzi oraz opublikowania historii w gazecie nie jest podporządkowane prawu do prywatności radnego. Jest to spowodowane tym, że prawo do prywatności osób publicznych jest względnie ograniczone w odniesieniu do ich czynności publicznych oraz z uwagi na szczególną ważność wolności wypowiedzi – szczególnie tam, gdzie opublikowana historia dotyczy interesu publicznego.

Przykład nr 4

Sklep komputerowy otrzymuje od swoich klientów dane kontaktowe w kontekście sprzedaży produktu oraz wykorzystuje te dane kontaktowe do celów marketingu swoich własnych produktów drogą pocztową. Sklep sprzedaje także produkty w Internecie oraz wysyła promocje pocztą elektroniczną, gdy nowa linia produktów pojawia się w magazynach. Klienci są w jasny sposób informowani o możliwości zgłoszenia w łatwy sposób wolnego od opłat sprzeciwu, kiedy ich dane kontaktowe są zbierane oraz zawsze gdy wysyłana jest wiadomość, jeżeli klient nie wyraził sprzeciwu początkowo.

Stanowisko Grupy Roboczej:

Przejrzystość przetwarzania, okoliczność, że klient może racjonalnie oczekiwać, że będzie otrzymywać oferty podobnych produktów jako klient sklepu oraz okoliczność, że ma prawo do wyrażenia sprzeciwu, wzmacnia zasadność przetwarzania oraz zabezpiecza prawa osób. Z drugiej strony równowagi nie wydaje się, aby istniał nieproporcjonalny wpływ na prawa osoby do prywatności (przy założenie, że nie istnieją całościowe profile stworzone przez sklep komputerowy dotyczące ich klientów).

Przykład nr 5

Apteka internetowa prowadzi marketing oparty na lekach oraz innych produktach, które zostały kupione przez klientów, w tym te na receptę. Analizuje te informacje – zestawiając je z demograficznymi informacjami na temat klientów – na przykład ich wiekiem oraz płcią – aby zbudować profil „dotyczący zdrowia i zamożności” indywidualnych klientów. Wykorzystane są także dane dotyczące kliknięć, które są zbierane nie tylko na temat produktów, które zostały kupione przez klientów, ale także na temat innych produktów oraz informacji, które były wyszukiwane na stronie. Profile klientów obejmują informacje lub przewidywania sugerujące, że określony klient jest w ciąży, cierpi na daną chorobę chroniczną lub byłby zainteresowany zakupem suplementów diety, olejków do opalania lub innych produktów do pielęgnacji skóry, w danym okresie roku. Analitycy internetowej apteki wykorzystują te informacje do oferowania lekarstw nie wydawanych na receptę, suplementów zdrowotnych oraz innych produktów dla określonych osób poprzez pocztę elektroniczną

Stanowisko Grupy Roboczej:

W tym przypadku apteka nie może opierać się na swoim prawnie uzasadnionym interesie przy tworzeniu oraz wykorzystywaniu profili użytkowników dla celów marketingowych. Istnieje kilka problemów związanych z opisanym profilowaniem. Informacje są szczególnie wrażliwe i mogą ujawniać wiele na temat spraw, co do których osoby mogłyby oczekiwać, że pozostaną prywatne. Zakres oraz sposób profilowania (wykorzystanie danych dotyczących kliknięć, przewidujące algorytmy) także sugeruje wysoki poziom inwazyjności.

Przykład 9

Klient nie płaci odsetek, które są wynikiem zakupu drogiego sportowego auta, po czym „znika”. Sprzedawca samochodowy wynajmuje osobę trzecią, tj. „firmę windykacyjną”. Firma windykacyjna przeprowadza inwazyjne dochodzenie „w stylu egzekwowania prawa”, wykorzystując m.in. takie działania, jak ukryty nadzór wideo i podsłuch.

Stanowisko Grupy Roboczej:

Chociaż interesy sprzedawcy samochodów oraz firmy windykacyjnej są prawnie uzasadnione, równowaga nie przechyla się na ich korzyść z uwagi na inwazyjne metody wykorzystane do zebrania informacji, z których niektóre są wprost zabronione przez prawo (podsłuch). Wniosek byłby inny, jeżeli na przykład sprzedawca samochodów oraz firma windykacyjna przeprowadzają jedynie ograniczone sprawdzenie danych kontaktowych osoby, której dane dotyczą, w celu rozpoczęcia postępowania sądowego.

Przetwarzanie danych osobowych dla celów marketingowych

Administrator danych może przetwarzać dane osobowe osób fizycznych w celu marketingowym na podstawie art. 23 ust. 1 pkt 5 u.o.d.o., zgodnie z którym przetwarzanie danych jest dopuszczalne m.in. wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Art. 23 ust. 4 pkt 1 u.o.d.o., stanowi bowiem, że za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych.

W przypadku, gdy przetwarzanie danych w celach marketingowych polega na przesyłaniu informacji przeznaczonej bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy (informacji handlowej) za pomocą środków komunikacji elektronicznej (tj. rozwiązań technicznych, w tym urządzeń teleinformatycznych i współpracujących z nimi narzędzi programowych, umożliwiających indywidualne porozumiewanie się na odległość przy wykorzystaniu transmisji danych między systemami teleinformatycznymi, a w szczególności poczty elektronicznej), dopuszczalność takiego działania należy oceniać przez pryzmat mających charakter szczególny przepisów ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.

Art. 10 powyższej ustawy stanowił, że (ust. 1) zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej, (ust. 2) informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.

Mając na uwadze powyższe należy dojść do wniosku, że zgoda osoby, której dane dotyczą, co do zasady nie jest konieczna w przypadku przetwarzania danych klienta przez administratora danych w celach marketingu własnych produktów lub usług, w inny sposób niż przesyłanie informacji handlowej za pomocą środków komunikacji elektronicznej.

Jednakże należy pamiętać o tym, że zgodnie art. 32 ust. 1 pkt 8 u.o.d.o., każdej osobie przysługuje prawo do wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych. Zgodnie z art. 32 ust. 3 zd. 1 u.o.d.o.,, w razie wniesienia sprzeciwu, o którym mowa ust. 1 pkt 8, dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne.

Wykorzystane zdjęcie

Author: mrkathika / photo on flickr
License: Attribution-ShareAlike License

PODZIEL SIĘ
Poprzedni artykułSPAM
Następny artykułUmowne prawo odstąpienia

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ