Podstawową przesłanką dopuszczającą przetwarzanie danych osobowych jest zgoda osoby, której dane dotyczą (art. 23 ust. 1 pkt 1 powyższej Ustawy).
Zgoda osoby, której dane dotyczą, oznacza oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści (art. 7 pkt 5 Ustawy). W treści oświadczenia o zgodzie powinien być zawarty przede wszystkim cel przetwarzania danych osobowych, na jaki osoba wyraża zgodę i mieć formę pisemną. Zatem, dane osobowe zgromadzone w oparciu o zgodę powinny być co do zasady wykorzystane w celu objętym zgodą osoby, której dane dotyczą.
Warto jednak zdawać sobie sprawę, że wyrażenie zgody nie jest jednak jedyną podstawą pozwalającą na przetwarzanie danych osobowych.
Zgodnie orzecznictwem Wojewódzkiego Sądu Administracyjnego „zgoda osoby, której dane dotyczą, jest jedną z możliwych ale nie jedyną przesłanką legalizującą przetwarzanie danych osobowych” (wyrok z dnia 23 kwietnia 2007 r, syg. akt II SA/Wa 2287/06), podobnie w wyroku z dnia 08 stycznia 2010 roku „zgoda osoby, której dane dotyczą nie jest wyłączna przesłanką przetwarzania danych osobowych” (sygn. akt II SA/Wa 1069/09).
W ocenie Europejskiego Trybunału Sprawiedliwości (wyroku z dn. 14.09.2009 r., zb. orz. 2000 r., s. I-6751, zał. A.1) przetwarzanie danych osobowych bez zgody osoby, której dane dotyczą, jest dopuszczalne, jeżeli: a) ma podstawę w przepisie prawa, który wyraźnie na takie przetwarzanie zezwala, b) przetwarzanie (udostępnianie) danych jest niezbędne do realizowania uprawnienia lub spełnienia obowiązku określonego ustawą, c) dane są przetwarzane tylko w takim zakresie, w jakim jest to niezbędne do osiągnięcia tych celów.
Ustawa o ochronie danych osobowych enumeratywnie wymienia przypadki, w których nie jest wymagana zgoda osoby, dotycząca przetwarzania jej danych:
1) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
2) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej strona lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
3) jest niezbędne do wykonania określonych prawem zada realizowanych dla dobra publicznego;
4) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Wspomniane wyżej przypadki mają na celu ochronę interesów administratora danych osobowych lub osób trzecich bądź ochronę interesu publicznego.
Wartą przeanalizowania jest przesłanka z pkt 4, która odnosi się wprost do administratora danych osobowych lub odbiorcy danych.
Zgodnie z wyrokiem Wojewódzkiego Sądu Administracyjnego z dn. 11 grudnia 2008 r. (sygn. akt II SA/Wa 1061/08) za prawnie usprawiedliwiony cel, (…) uważa się w szczególności: marketing bezpośredni własnych produktów lub dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Użycie natomiast przez ustawodawcę określenia „jeżeli jest to niezbędne” wskazuje, że stosowanie tych przepisów wymaga nie tylko wykazania, że chodzi o realizowanie uprawnienia i obowiązku wynikającego z przepisów prawa lub prawnie usprawiedliwionego celu, ale także dokonania oceny, czy dla realizacji tego konieczne jest przekazanie danych, mimo że brak jest na to zgody osoby, której dane dotyczą (wyrok NSA z dn. 06.06.2005 r., sygn. akt I OPS 2/05). Ocena ta, to wyważenie racji i interesów, z jednej strony osoby, której dane dotyczą (mającej objęty ochroną prawną interes, aby jej dane nie były przetwarzane bez jej zgody), a z drugiej strony administratora danych, który także ma objęty ochroną interes prawny.
Unormowanie to jest więc oparte na założeniu, że dochodzi do konfliktu interesów między interesem osoby, która ma prawo do ochrony swoich danych osobowych, a interesem administratora tych danych, który ma prawo przetwarzać te dane, jeżeli jest to konieczne dla realizacji jego uprawnień wynikających z przepisów prawa lub prawnie usprawiedliwionego celu.
Tak też należy rozumieć postanowienia dyrektywy 95/46/WE. Przepis art. 7 lit. f) dopuszcza przetwarzanie danych osobowych przez administratora, gdy jest to konieczne z punktu widzenia potrzeb wynikających z uzasadnionych interesów administratora lub osoby trzeciej, chyba że interesy te są podporządkowane interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą. Oznacza to, że dyrektywa nakazuje ważyć interesy obu stron w konkretnym przypadku i – co do zasady – dopuszcza przetwarzanie danych, które jest konieczne do realizacji prawnie usprawiedliwionych celów administratora, chyba że po dokonaniu porównania interesów obu stron okaże się, że podstawowe prawa i wolności jednostki mają większą wagę niż konkretny interes administratora.
Reasumując, należy stwierdzić, iż dane osobowe uzyskane w oparciu o zgodę powinny być co do zasady wykorzystane w celu objętym zgodą osoby, której dane dotyczą. Istnieje oczywiście możliwość wykorzystania tych danych w celu innym niż ten, na który została udzielona zgoda, jednakże jest to dopuszczalne jedynie przy dochowaniu wymagań określonych w Ustawie o ochronie danych osobowych.
Warto jednak zdawać sobie sprawę, że wyrażenie zgody nie jest jednak jedyną podstawą pozwalającą na przetwarzanie danych osobowych.
Zgodnie orzecznictwem Wojewódzkiego Sądu Administracyjnego „zgoda osoby, której dane dotyczą, jest jedną z możliwych ale nie jedyną przesłanką legalizującą przetwarzanie danych osobowych” (wyrok z dnia 23 kwietnia 2007 r, syg. akt II SA/Wa 2287/06), podobnie w wyroku z dnia 08 stycznia 2010 roku „zgoda osoby, której dane dotyczą nie jest wyłączna przesłanką przetwarzania danych osobowych” (sygn. akt II SA/Wa 1069/09).
W ocenie Europejskiego Trybunału Sprawiedliwości (wyroku z dn. 14.09.2009 r., zb. orz. 2000 r., s. I-6751, zał. A.1) przetwarzanie danych osobowych bez zgody osoby, której dane dotyczą, jest dopuszczalne, jeżeli: a) ma podstawę w przepisie prawa, który wyraźnie na takie przetwarzanie zezwala, b) przetwarzanie (udostępnianie) danych jest niezbędne do realizowania uprawnienia lub spełnienia obowiązku określonego ustawą, c) dane są przetwarzane tylko w takim zakresie, w jakim jest to niezbędne do osiągnięcia tych celów.
Ustawa o ochronie danych osobowych enumeratywnie wymienia przypadki, w których nie jest wymagana zgoda osoby, dotycząca przetwarzania jej danych:
1) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
2) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej strona lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
3) jest niezbędne do wykonania określonych prawem zada realizowanych dla dobra publicznego;
4) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Wspomniane wyżej przypadki mają na celu ochronę interesów administratora danych osobowych lub osób trzecich bądź ochronę interesu publicznego.
Wartą przeanalizowania jest przesłanka z pkt 4, która odnosi się wprost do administratora danych osobowych lub odbiorcy danych.
REKLAMA:
Zgodnie z wyrokiem Wojewódzkiego Sądu Administracyjnego z dn. 11 grudnia 2008 r. (sygn. akt II SA/Wa 1061/08) za prawnie usprawiedliwiony cel, (…) uważa się w szczególności: marketing bezpośredni własnych produktów lub dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Użycie natomiast przez ustawodawcę określenia „jeżeli jest to niezbędne” wskazuje, że stosowanie tych przepisów wymaga nie tylko wykazania, że chodzi o realizowanie uprawnienia i obowiązku wynikającego z przepisów prawa lub prawnie usprawiedliwionego celu, ale także dokonania oceny, czy dla realizacji tego konieczne jest przekazanie danych, mimo że brak jest na to zgody osoby, której dane dotyczą (wyrok NSA z dn. 06.06.2005 r., sygn. akt I OPS 2/05). Ocena ta, to wyważenie racji i interesów, z jednej strony osoby, której dane dotyczą (mającej objęty ochroną prawną interes, aby jej dane nie były przetwarzane bez jej zgody), a z drugiej strony administratora danych, który także ma objęty ochroną interes prawny.
Unormowanie to jest więc oparte na założeniu, że dochodzi do konfliktu interesów między interesem osoby, która ma prawo do ochrony swoich danych osobowych, a interesem administratora tych danych, który ma prawo przetwarzać te dane, jeżeli jest to konieczne dla realizacji jego uprawnień wynikających z przepisów prawa lub prawnie usprawiedliwionego celu.
Tak też należy rozumieć postanowienia dyrektywy 95/46/WE. Przepis art. 7 lit. f) dopuszcza przetwarzanie danych osobowych przez administratora, gdy jest to konieczne z punktu widzenia potrzeb wynikających z uzasadnionych interesów administratora lub osoby trzeciej, chyba że interesy te są podporządkowane interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą. Oznacza to, że dyrektywa nakazuje ważyć interesy obu stron w konkretnym przypadku i – co do zasady – dopuszcza przetwarzanie danych, które jest konieczne do realizacji prawnie usprawiedliwionych celów administratora, chyba że po dokonaniu porównania interesów obu stron okaże się, że podstawowe prawa i wolności jednostki mają większą wagę niż konkretny interes administratora.
Reasumując, należy stwierdzić, iż dane osobowe uzyskane w oparciu o zgodę powinny być co do zasady wykorzystane w celu objętym zgodą osoby, której dane dotyczą. Istnieje oczywiście możliwość wykorzystania tych danych w celu innym niż ten, na który została udzielona zgoda, jednakże jest to dopuszczalne jedynie przy dochowaniu wymagań określonych w Ustawie o ochronie danych osobowych.
REKLAMA:
REKLAMA:
Źródło: HILLS LTS S.A.