Jednym z podstawowych zagadnień stale nurtujących przedsiębiorców jest to, czy projektowane przez nich rozwiązania biznesowe są dopuszczalne na gruncie prawa ochrony danych osobowych? Czy dane klientów, które mają już zgromadzone w swoich bazach mogą wykorzystywać w dowolny sposób?
Trzyletni okres obowiązywania ogólnego rozporządzenia w sprawie przetwarzania danych osobowych („RODO”) spowodował znaczny wzrost zainteresowania społecznego i medialnego tematyką ochrony danych osobowych. Jednak w praktyce wciąż funkcjonuje wiele mitów wokół legalności przetwarzania danych osobowych, które narastały przez wiele lat, jeszcze pod rządami starej ustawy o ochronie danych z 1997 r. Jednym z nich jest „mit zgody”, czyli przeświadczenie, że jak uzyskamy od klienta zgodę, to ta przesłanka będzie doskonałym rozwiązaniem wszelkich wątpliwości związanych z legalnością przetwarzania danych osobowych. Jak powszechnie wiadomo nie ma rozwiązań idealnych, które będzie można zastosować w każdej sytuacji. Warunki dopuszczalności przetwarzania danych osobowych uregulowane zostały w art. 6 ust. 1 RODO. Wymienione w tym przepisie przesłanki legalności przetwarzania danych osobowych adresowane są do tzw. „danych zwykłych”.
Kluczowe dla zrozumienia kiedy przetwarzanie danych osobowych jest zgodne z RODO jest pojęcie „przetwarzania”. Zgodnie z art. 4 RODO „przetwarzanie” oznacza wszelkie operacje wykonywane na danych osobowych lub zestawach danych osobowych, takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Przetwarzanie danych osobowych należących do kategorii „danych zwykłych” jest zatem dopuszczalne, gdy możemy wykazać się posiadaniem co najmniej jednej z poniższych przesłanek:
- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innejosoby fizycznej;
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
RODO dopuszcza możliwość wprowadzenia przez państwa członkowskie bardziej szczegółowych przepisów na poziomie krajowym. Państwa członkowskie mogą dokładniej określić szczegółowe wymogi przetwarzania i inne środki w celu zapewnienia zgodności przetwarzania z prawem i jego rzetelności. Jeśli przesłanką legalności będzie przepis prawa lub, przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi wówczas administrator danych musi wykazać, że dysponuje podstawą określoną w prawie Unii lub w prawie państwa członkowskiego, któremu podlega.
Wymienione w art. 6 ust. 1 RODO przesłanki legalności przetwarzania danych osobowych mają charakter generalny, co oznacza, że odnoszą się do wszelkich form przetwarzania danych, a więc zarówno do przetwarzania danych wewnątrz organizacji „dla potrzeb administratora”, jak również przekazywania danych „na zewnątrz”, czyli innym podmiotom. Przesłanki przetwarzania „danych zwykłych” co do zasady są równoprawne, mają charakter autonomiczny i niezależny. W licznych orzeczeniach sądów administracyjnych rozstrzygających w kwestiach dopuszczalności przetwarzania danych osobowych wielokrotnie podkreślano, że wystarczy wystąpienie jednej z przesłanek legalności „danych zwykłych”, aby przetwarzanie danych mogło być uznane za usprawiedliwione (Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 10 grudnia 2020 r. sygn. II SA/Wa 2608/19). W kontekście przywołanego na wstępie „mitu zgody” należy rozumieć to w ten sposób, że „zgoda osoby, której dane dotyczą, nie jest wyłączną przesłanką przetwarzania danych osobowych” (wyrok Naczelnego Sądu Administracyjnego z dnia 25 lipca 2017 r., sygn. I OSK 2859/16).
Zgody na przetwarzanie danych nie trzeba zatem zbierać, jeśli administrator danych może wskazać jako podstawę inną przesłankę wymienioną w art. 6 ust. 1 RODO. W szczególności, gdy przetwarzanie danych jest niezbędne do wykonania umowy np. klient podaje dane w celu zakupu książki, samochodu, skorzystania z usług bankowych, ubezpieczeniowych, czy innych produktów i usług. W takim przypadku przetwarzanie danych klienta będzie zgodne z RODO jako działanie niezbędne do zawarcia i wykonania umowy.
Zgody na przetwarzanie danych od osoby której dane dotyczą nie musimy pozyskiwać również wtedy, gdy na podstawie odrębnych przepisów prawa przekazujemy dane do Urzędu Skarbowego, czy prowadzimy rachunkowość firmy. Wówczas przetwarzanie danych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Podobnie będzie w sytuacji, gdy przedsiębiorca będzie chciał skierować marketing własnych produktów i usług do klientów, których posiada w swojej bazie, czy też złożyć pozew do sądu przeciwko nierzetelnemu klientowi, który nie wywiązuje się z zawartej umowy. Takie działania również nie będą wymagały pozyskiwania zgody od osoby której dane dotyczą, gdyż przesłanką dopuszczalności przetwarzania będzie realizacja prawnie uzasadnionego interesu administratora danych.
Trzeba jednak odróżnić zgodę na przetwarzanie danych osobowych (z art. 6 ust. 1 RODO) od zgody na pewne formy kontaktu z klientami, czy potencjalnymi klientami. Zgodę należy zatem odbierać w sytuacji, gdy chcemy np.:
- przesyłać informację handlową za pomocą środków komunikacji elektronicznej, np. korzystając pocztyelektronicznej,
- wykorzystywać telekomunikacyjnych urządzeń końcowych w celu marketingu bezpośredniego, np. wysyłanie do klienta (potencjalnego klienta) reklam w treści wiadomości SMS.Dodatkowo trzeba pamiętać, że w przypadku przetwarzania opartego na zgodzie, zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.Cel przetwarzania danych jest zatem kolejnym wyznacznikiem, który powinniśmy uwzględniać badając zgodność przetwarzania danych osobowych z prawem. Zasada ograniczenia celu przetwarzania danych ujęta została w art. art. 5 ust. 1 lit. b RODO. W myśl tego przepisu dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. W praktyce oznacza to, że jeśli dane zostały zebrane w jakimś celu (tzw. celu pierwotnym), to nie powinny być one potem wykorzystywane w innych celach, a zatem administrator nie może dowolnie wykorzystywać zebranych danych osobowych.Wyjątek od tej ogólnej zasady ograniczenia przetwarzania do celu pierwotnego dla którego dane zostały zebrane, ujęty został w art. 6 ust. 4 RODO, który dopuszcza możliwość przetwarzania danych w celu innym niż cel, w którym dane osobowe zostały zebrane, może odbywać się na podstawie:
- zgody osoby, której dane dotyczą.
- prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1 RODO.
Jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego, administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane – bierze pod uwagę między innymi:
- wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;
- kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których danedotyczą, a administratorem;
- charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych zgodnie z art. 10;
- ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;
- istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.
Niezwykle ważne zatem jest to, aby administrator danych zawsze potrafił wykazać, że dysponuje odpowiednią przesłanką legalności przetwarzania danych, a przetwarzanie tych danych służy realizacji konkretnego, wyraźnie oznaczonego celu. Taki obowiązek administratora został ujęty w RODO i wynika z „zasady rozliczalności”.
Opisane powyżej zasady przetwarzania danych należy stosować do tzw. „danych zwykłych” od których należy odróżnić tzw. „dane szczególnych kategorii” opisane w art. 9 RODO.