« Powrót

Podrozdział 1. Ochrona danych osobowych w przedsiębiorstwie



Zasady przetwarzania danych osobowych
Zgodnie z art. 23 ustawy przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Powyższy przepis formułuje przesłanki legalizujące przetwarzanie danych osobowych. Mają one charakter generalny, co oznacza, że dotyczą wszelkich form przetwarzania danych osobowych. Spełnienie co najmniej jednej z powyższych przesłanek legalizuje przetwarzanie danych osobowych. Zgodnie bowiem z wyrokiem Wojewódzkiego Sądu Administracyjnego w Warszawie wskazane w art. 23 ust. 1 ustawy przesłanki mają charakter autonomiczny i niezależny. Wystarczy wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione . Z kolei w wyroku z dnia 18 października 2012 r. WSA zauważył, że każda z przesłanek przetwarzania danych osobowych ustanowionych w art. 23 ust. 1 ustawy ma charakter autonomiczny i niezależny, a zatem przesłanki te co do zasady są równoprawne. Dlatego też spełnienie co najmniej jednej z nich stanowi zgodne z prawem przetwarzanie danych osobowych. Jednocześnie zgoda osoby, której dane są przetwarzane, jest jednym z możliwych, ale nie jedynym warunkiem legalizującym proces przetwarzania danych osobowych .
W literaturze przedmiotu poza wymienionymi wyżej przesłankami wskazuje się dodatkowo na dopuszczalność:
a) przetwarzania danych przez osoby fizyczne wyłącznie w celach osobistych lub domowych (art. 3a ust. 1 pkt 1 ustawy);
b) włączania danych osobowych do zbiorów sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji (art. 2 ust. 3 ustawy);
c) tranzytu danych przez terytorium RP (art. 3a ust. 1 pkt 1 ustawy);
d) przetwarzania danych w zakresie prasowej działalności dziennikarskiej, działalności literackiej i artystycznej (art. 3a ust. 2 ustawy) .

Zgoda osoby zainteresowanej
Ustawa normuje, iż dane osobowe mogą być przetwarzane, jeżeli osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi wyłącznie o usunięcie dotyczących jej danych. Naczelny Sąd Administracyjny (NSA) w jednym z wyroków zauważył, że zgoda na przetwarzanie danych osobowych ma charakter oświadczenia woli, co oznacza konieczność badania jej skuteczności z różnych punktów widzenia. Między innymi winna być ona wyraźna, nie wystarczy zatem samo powiadomienie o zamiarze przetwarzania danych i brak sprzeciwu z drugiej strony. Nie musi być co prawda udzielona na piśmie, ale winna jasno i jednoznacznie prezentować wolę zainteresowanego i jej zakres. Udzielający zgody musi być przy tym zorientowany, o jakie dane chodzi i o jakie ich przetwarzanie, w tym zwłaszcza do jakich celów. Ponieważ zgoda taka stanowi oświadczenie woli, należy ją tłumaczyć w sposób, jakiego wymagają, ze względu na okoliczności, w których została złożona, zasady współżycia społecznego i ustalone zwyczaje . Powyższe stanowisko zostało także potwierdzone przez WSA w Warszawie, który dodatkowo wskazał, że sposób poinformowania musi być zrozumiały i nie może dotyczyć bliżej niedookreślonych czynności. Przetwarzanie i wykorzystanie danych powinno następować tylko w tym celu, dla którego zostały pozyskane, i cel ten powinien być znany osobie, której dane dotyczą .
Analizując kwestię zgody osoby uprawnionej, warto również zwrócić uwagę na interesujący wyrok WSA w Warszawie, w którym stwierdzono, że zasadą wypracowaną przy stosowaniu ustawy stało się zgodnie z art. 23 ust. 1 pkt 1 tej ustawy przetwarzanie danych osobowych za zgodą osoby zainteresowanej, której dane te dotyczą. Nie oznacza to jednak, iż przesłanka uzyskania zgody na przetwarzanie danych osobowych ma pierwszeństwo stosowania przed innymi przesłankami dopuszczającymi przetwarzanie danych osobowych, według określonych ustawowo zawężonych kryteriów, bez zgody osoby zainteresowanej. Przesłanki zawarte w przepisie art. 23 ust. 1 pkt 1–5 ustawy są równorzędne, niezależne od siebie .
Ponadto wymaga podkreślenia, iż zgoda na przetwarzanie danych osobowych może być cofnięta. Podmiot danych osobowych ma bowiem prawo kształtować swoją sytuację prawną w sferze własnych danych osobowych, a zatem również wycofać zgodę na przetwarzanie danych. Nie można więc podzielić poglądu, że zgoda jest oświadczeniem woli nieodwoływalnym . W literaturze kwestia cofnięcia zgody na przetwarzanie danych osobowych jest dyskusyjna. „Odwołanie zgody jest z reguły dopuszczalne i skuteczne na przyszłość, co wynika głównie z faktu, iż prawo do ochrony danych osobowych jest prawem podmiotowym o charakterze osobistym, ściśle związanym z osobą, której przysługuje” .
Zgoda może występować w formie jednostronnego oświadczenia woli. Może być wyrażona:
a) w formie ustnej;
b) na piśmie;
c) w formie elektronicznej, np. za pośrednictwem wiadomości e-mail.
Jedynie w ściśle określonych przypadkach wymagane jest udzielenie zgody na piśmie. Dotyczy to w szczególności przetwarzania danych osobowych wrażliwych (art. 27 ust. 2 pkt 1 ustawy). Ponadto przepisy szczególne mogą przewidywać obowiązek wyrażenia zgody w formie pisemnej.
Zgoda powinna być udzielona jeszcze przed rozpoczęciem przetwarzania danych osobowych. Niezgodne z przepisami ustawy będzie zatem uzyskanie przez administratora danych zgody w toku ich zbierania, przechowywania lub udostępniania.
Nie ma przeszkód, aby zgoda na przetwarzanie danych osobowych została wyrażona w umowie.
Administrator danych powinien poinformować osobę zainteresowaną:
a) o rodzaju danych osobowych, jakie mają być przetwarzane;
b) o celu przetwarzania danych osobowych.
Ważne jest również, aby oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych było wyodrębnione spośród innych postanowień umowy oraz innych oświadczeń. Osoba zainteresowana powinna mieć bowiem możliwość udzielenia zgody na przetwarzanie danych lub na odmowę jej wyrażenia.
Przykład prawidłowo sformułowanej klauzuli:
Wyrażam zgodę / nie wyrażam zgody na przetwarzanie przez ABC Sp. z o.o. z siedzibą w Warszawie, przy ul. Mickiewicza 999 moich danych osobowych, tj. imienia, nazwiska oraz adresu zamieszkania w celu realizacji umowy komisu z dnia 12 marca 2013 r.

Natomiast nieprawidłowa będzie klauzula typu:
Wyrażam zgodę na przetwarzanie moich danych osobowych.
Zgoda osoby zainteresowanej nie może mieć charakteru blankietowego. Zgoda taka nie może odnosić się do bliżej nieokreślonych danych osobowych, które mają być przetwarzane w nieokreślonym celu . Osoba zainteresowana powinna zatem określić, na przetwarzanie jakich danych osobowych wyraża zgodę (np. imienia, nazwiska, adresu zamieszkania). Powinien być także określony cel przetwarzania danych osobowych. Naczelny Sąd Administracyjny orzekł, że zgoda na przetwarzanie danych osobowych musi być wyraźna. Nie spełnia tego wymagania podpisanie oświadczenia o wyrażeniu zgody na przetwarzanie danych, stanowiącego dodatkowy element innego zobowiązania niezawierającego informacji o celach i zakresie ich przetwarzania .
Trzeba też pamiętać, że nie jest dopuszczalne łączenie oświadczeń (klauzul) dotyczących danych osobowych z innymi oświadczeniami. W tym miejscu warto zauważyć, że ustawa o świadczeniu usług drogą elektroniczną w art. 10 normuje, iż zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. Odbiorca powinien zatem wyrazić uprzednią zgodę na przesyłanie informacji handlowych za pośrednictwem poczty e-mail.
Mając powyższe na względzie, moża stwierdzić, iż nie jest prawidłowe łączenie oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych ze zgodą na przesyłanie informacji handlowych drogą elektroniczną.

Przykład błędnie sformułowanej klauzuli:
Wyrażam zgodę / nie wyrażam zgody na przetwarzanie przez ABC Sp. z o.o. z siedzibą w Warszawie, przy ul. Mickiewicza 999 moich danych osobowych, tj. imienia, nazwiska oraz adresu zamieszkania w celu realizacji umowy komisu z dnia 12 marca 2013 r. oraz na otrzymywanie informacji handlowych związanych z działalnością ABC Sp. z o.o., na wskazany w niniejszym wniosku adres poczty elektronicznej.
Tego rodzaju oświadczenia powinny stanowić odrębne klauzule. Osoba zainteresowana powinna mieć bowiem możliwość niezależnego podjęcia decyzji co do przetwarzania danych osobowych oraz przesyłania informacji handlowych drogą elektroniczną.
Powyższe stanowisko potwierdził Naczelny Sąd Administracyjny, który orzekł, iż klauzula zgody na przetwarzanie danych osobowych w celach marketingowych powinna być sformułowana w sposób oddzielny od klauzuli zgody na otrzymywanie informacji handlowych za pomocą poczty elektronicznej .
W literaturze przedmiotu wskazuje się, że zgoda może:
a) mieć charakter warunkowy;
b) mieć charakter terminowy;
c) być ograniczona terytorialnie;
d) być ograniczona podmiotowo;
e) być ograniczona przedmiotowo .
Charakter warunkowy oznacza, że zgoda osoby uprawnionej (jej skuteczność) będzie zależała od ziszczenia się określonego warunku. Zatem dopiero ziszczenie się tego warunku będzie uprawniało administratora danych do przetwarzania danych osobowych.
Charakter terminowy oznacza, że zgoda może zostać udzielona na przetwarzanie danych osobowych wyłącznie przez określony czas. Przykładowo dane osobowe mogą być przetwarzane przez okres trwania umowy, która będzie łączyła osobę zainteresowaną z administratorem danych.
Osoba zainteresowana (osoba, której dane dotyczą) oraz administrator danych mogą się umówić, iż dane będą przetwarzane wyłącznie na ściśle określonym terenie, np. wyłącznie na terytorium Polski.
Ograniczenie podmiotowe oznacza, że dane osobowe mogą być przetwarzane wyłącznie przez określoną osobę. W takim przypadku administrator danych powinien wskazać osobę, która będzie odpowiadała za przetwarzanie owych danych.
Ograniczenie przedmiotowe oznacza, że przetwarzane mogą być wyłącznie określone dane osobowe, np. wyłącznie imię i nazwisko. Ponadto przetwarzanie danych osobowych może być ograniczone tylko do określonych celów, np. dane mogą być przetwarzane jedynie w celu realizacji umowy.
Bardzo ważne jest, że zgoda osoby uprawnionej nie może być ani domniemana, ani dorozumiana. Zgoda na przetwarzanie danych osobowych musi być wyrażona wprost oraz być konkretna. Nadto powinna być podjęta swobodnie. Osoba uprawniona w żaden sposób nie może być przymuszana do wyrażenia zgody na przetwarzanie danych osobowych.
Zgodnie z art. 82 Kodeksu cywilnego nieważna będzie zgoda (oświadczenie woli) złożona przez osobę, która z jakichkolwiek powodów znajdowała się w stanie wyłączającym świadome albo swobodne powzięcie decyzji i wyrażenie woli. Dotyczy to w szczególności:
a) choroby psychicznej;
b) niedorozwoju umysłowego;
c) innego, chociażby nawet przemijającego, zaburzenia czynności psychicznych, np. upojenia alkoholowego.
J. Barta, P. Fajgielski oraz R. Markiewicz uważają, że również nieważna będzie zgoda uzyskana w wyniku:
a) istotnego błędu;
b) podstępu;
c) groźby bezprawnej .
Zgoda osoby zainteresowanej nie jest wymagana w przypadku usunięcia dotyczących jej danych osobowych. Poprzez usunięcie danych należy rozumieć czynności zmierzające do ich zniszczenia lub modyfikacji. Ich usunięcie powinno uniemożliwiać późniejsze odtworzenie ich treści. W konsekwencji po usunięciu danych nie powinno być możliwości zidentyfikowania osoby, której one dotyczyły. Dane osobowe mogą być usunięte w sposób fizyczny (np. poprzez zniszczenie dokumentów w niszczarce) lub w sposób elektroniczny (np. poprzez trwałe wykasowanie danych z systemu informatycznego).
Ponadto trzeba mieć na względzie, że zgoda może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmieni się cel przetwarzania.
Jeżeli natomiast przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której one dotyczą, a uzyskanie zgody jest niemożliwe, można przetwarzać dane bez zgody tej osoby do czasu, gdy uzyskanie zgody będzie możliwe (art. 23 ust. 3 ustawy).
Aby zastosować powyższy przepis, niezbędne jest spełnienie trzech warunków:
a) przetwarzanie danych osobowych powinno dotyczyć ochrony żywotnych interesów;
b) powinien wystąpić warunek niezbędności;
c) zgoda osoby zainteresowanej powinna być niemożliwa do uzyskania.
J. Barta, P. Fajgielski oraz R. Markiewicz uważają, że poprzez „żywotne interesy” należy rozumieć: „takie interesy, które zasługują, by przyznawać im pierwszeństwo przed interesem zachowania danych osobowych w poufności. Żywotne interesy przeważają zatem nad interesami nakazującymi przetwarzanie danych osobowych uzależniać od zgody zainteresowanego. Muszą to być interesy o dużym znaczeniu, doniosłe, na przykład zdrowie, życie, nie należy tu także wykluczać interesów majątkowych” .
Z żywotnymi interesami należy łączyć warunek „niezbędności”. Przetwarzanie danych osobowych powinno być zatem niezbędne dla ochrony żywotnych interesów.
Zgoda osoby zainteresowanej może być niemożliwa do uzyskania, gdy np. osoba ta jest nieobecna lub znajduje się w stanie wyłączającym świadomość (jest hospitalizowana).
Należy zauważyć, że przesłanki określone w art. 23 ust. 3 ustawy mają charakter czasowy. Jeżeli zatem będzie możliwe uzyskanie zgody od osoby zainteresowanej, administrator danych powinien niezwłocznie wystąpić o taką zgodę. Jeżeli administrator danych naruszy powyższy obowiązek, wówczas dojdzie do nielegalnego przetwarzania danych osobowych.
NSA w jednym ze swoich orzeczeń wskazał, iż w przypadku przetwarzania danych osobowych przez administratora danych bez zgody osoby, której te dane dotyczą, w pierwszej kolejności konieczne jest ustalenie i rozważenie, czy spełniona jest ustawowa przesłanka szczegółowa uzasadniająca przetwarzanie danych bez zgody tej osoby, a następnie, jeżeli przesłanka ta jest spełniona, ustalenie i rozważenie wszystkich okoliczności koniecznych do wyważenia niezbędnej ochrony interesów osoby, której dane dotyczą, oraz interesów administratora danych .
Jeżeli zatem nie można uzyskać zgody osoby zainteresowanej (art. 23 ust. 1 pkt 1 ustawy) ani też nie ma podstawy do zastosowania art. 23 ust. 3 ustawy, należy ustalić, czy zaistniały przesłanki szczegółowe, legalizujące przetwarzanie danych osobowych. Jak bowiem zauważył Naczelny Sąd Administracyjny, przetwarzanie danych osobowych uprawnia wyłącznie działanie legalne, a więc znajdujące oparcie w przepisie prawa, podjęte przez podmiot do działania umocowany i wykonujący czynności w ramach tego umocowania .
Przetwarzanie danych jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Z treści art. 23 ust. 1 pkt 2 ustawy wynika, że powinny zostać spełnione dwie przesłanki:
a) powinien istnieć przepis, który przyznaje uprawnienie lub nakłada obowiązek;
b) przetwarzanie danych osobowych powinno być niezbędne do zrealizowania owego uprawnienia bądź do spełnienia obowiązku.
Wojewódzki Sąd Administracyjny w Warszawie wyjaśnił, iż w art. 23 ust. 1 pkt 2 ustawy wskazano na dopuszczalność przetwarzania danych osobowych, gdy zezwalają na to przepisy prawa. Takimi przepisami są niewątpliwie przepisy ustawy z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (tekst jedn. Dz. U. z roku 2005 Nr 8, poz. 60, ze zm.), która w dziale IV – Postępowanie podatkowe przewiduje zasady postępowania podatkowego .
Należy zatem podkreślić, że podstawą do przetwarzania danych osobowych mogą być nie tylko przepisy ustawy o ochronie danych osobowych. Przykładowo można wskazać na przepisy szczególne, tj. Prawo telekomunikacyjne oraz Prawo bankowe .
Przetwarzanie danych osobowych w związku z zawarciem oraz wykonywaniem umów
Z art. 23 ust. 1 pkt 3 ustawy wynika, że przetwarzanie danych osobowych jest dopuszczalne, jeżeli:
a) jest to niezbędne do realizacji umowy, której jedną ze stron jest osoba, której dane dotyczą;
b) jest to niezbędne do podjęcia działań jeszcze przed zawarciem umowy na żądanie osoby, której dane dotyczą.
Na podstawie powyższego przepisu jedna strona umowy może zatem przetwarzać dane osobowe drugiej strony umowy. Ważne jest jednak, aby dane osobowe były przetwarzane wyłącznie w celu realizacji owej umowy.
Przykładowo, jeżeli osoba X (kupujący) zawrze umowę sprzedaży książki z osobą Y (sprzedającym), osoba Y będzie mogła przekazać niezbędne dane osoby X firmie kurierskiej, której zadaniem będzie dostarczenie zakupionego towaru.
Przetwarzanie danych osobowych jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego
Ustawa o ochronie danych osobowych nie definiuje pojęcia „zadań realizowanych dla dobra publicznego” ani też nie określa bliżej podmiotów wykonujących te zadania publiczne. Chodzi tu o zadania, które zostały zlecone przez prawo temu podmiotowi, który dane przetwarza. Mogą to być zadania z zakresu bezpieczeństwa publicznego, walki z przestępczością, udzielania pomocy ofiarom klęsk żywiołowych itd. Podmiotami wykonującymi zadania publiczne mogą zaś być organy państwowe, samorządowe lub komunalne jednostki organizacyjne, a także podmioty wymienione w art. 3 ust. 2 ustawy o ochronie danych osobowych. Niewątpliwie do takich podmiotów można zaliczyć straż gminną (miejską) . NSA wskazał także, iż na gruncie przepisów ustawy o ochronie danych osobowych za okoliczność „usprawiedliwiającą” przetwarzanie danych uznaje się w szczególności sytuację, gdy przetwarzanie jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego. Aby można było uznać, że przetwarzanie danych odbyło się na podstawie tej właśnie przesłanki, konieczne jest spełnienie łącznie trzech warunków:
1) działania muszą być prowadzone w interesie publicznym przy użyciu form niewładczych;
2) zadania publiczne, w tym państwowe, muszą być określone prawem;
3) przetwarzanie danych musi być niezbędne do wykonania zadań publicznych .
Ponadto Naczelny Sąd Administracyjny zauważył, że oceniając legalność przetwarzania danych określonych w art. 23 ustawy bez zgody osoby, której dane te dotyczą, należy mieć na uwadze, czy ujawnienie ich jest niezbędne. Co więcej, winny być w takim wypadku wyważone interesy związane np. z realizacją zadań dla dobra publicznego i osoby, której dane dotyczą, przy uwzględnieniu celu ustawy o ochronie danych osobowych, którym jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP. Przepis art. 23 ust. 1 pkt 2 i 4 ustawy dotyczy bowiem sytuacji, gdy dobro publiczne niejako „wyprzedza” autonomię jednostki w decydowaniu o przetwarzaniu dotyczących jej danych osobowych .
Warto także zwrócić uwagę na inne interesujące orzeczenie NSA, w którym sąd ten uznał, iż jeśli osoby przetwarzają dane osobowe w związku z wykonywaniem czynności o charakterze kontrolnym w ramach nadzoru, a więc obowiązków, które nie mogły im zostać powierzone, na gruncie art. 23 ust. 1 pkt 4 ustawy brak jest podstaw do przyjęcia, że przetwarzanie danych jest uprawnione .
Klauzula tzw. usprawiedliwionego celu
Przepis art. 23 ust. 1 pkt 5 ustawy normuje, że dane osobowe mogą być przetwarzane, jeżeli jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów:
a) realizowanych przez administratorów danych;
b) realizowanych przez odbiorców danych,
c) zaś przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.

W myśl art. 23 ust. 4 ustawy za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności:
1) marketing bezpośredni własnych produktów lub usług administratora danych;
2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Powyższe ustawowe wyliczenie ma jedynie charakter przykładowy. Na podstawie analizowanego przepisu dopuszczalne jest m.in. gromadzenie i wykorzystywanie danych osobowych, które są niezbędne do dochodzenia roszczeń w postępowaniu sądowym.
Naczelny Sąd Administracyjny w wyroku z dnia 30 marca 2006 r. wyjaśnił, że ustalenie, iż administrator danych osobowych realizuje cel prawnie usprawiedliwiony, nie może przesądzić o dopuszczalności przetwarzania danych osobowych (udostępnienia tych danych innemu podmiotowi) bez zgody osoby, której dane dotyczą. Konieczne jest dokonanie oceny, czy jest to niezbędne dla realizacji tego celu, a co najważniejsze, dokonanie wyważenia interesów administratora danych i osoby, której dane dotyczą, przy uwzględnieniu celu ustawy o ochronie danych osobowych, którym jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP .
Warto przytoczyć fragment uzasadnienia powyższego wyroku, w którym NSA wskazał, że ustawa zezwala na przetwarzanie danych także bez zgody osoby, której dane dotyczą w przypadkach określonych w art. 23 ust. 1 pkt 2–5, co ma służyć zasługującym na ochronę interesom administratora danych osobowych lub osób trzecich, bądź ze względu na ochronę interesu publicznego. W szczególności przekazanie danych osobowych bez zgody osoby, której dane dotyczą, jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych) oraz gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów wskazanych przez administratora danych albo odbiorcę danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych). Przesłanka, o której mowa w art. 23 ust. 1 pkt 2, odnosi się niewątpliwie do takich przypadków, gdy przepis prawa powszechnie obowiązującego określa uprawnienie lub obowiązek, których spełnienie nie jest możliwe bez udostępnienia danych osobowych. Natomiast przesłanka, o której mowa w art. 23 ust. 1 pkt 5, odnosi się wprost do administratora danych osobowych lub osoby trzeciej, którzy aby zrealizować prawnie dopuszczalne cele, muszą udostępnić dane osobowe, pod warunkiem wszakże, że nie naruszy to praw i wolności osoby, której dane dotyczą.
Już samo użycie określenia „jeżeli jest to niezbędne” wskazuje, że stosowanie tych przepisów wymaga nie tylko wykazania, że chodzi o realizowanie uprawnienia lub obowiązku wynikającego z przepisów prawa lub prawnie usprawiedliwionego celu, ale także dokonania oceny, czy dla realizacji tego konieczne jest (niezbędne) przekazanie danych, pomimo że brak jest na to zgody osoby, której dane dotyczą. Ocena ta to wyważenie racji i interesów z jednej strony osoby, której dane dotyczą, mającej objęty ochroną prawną interes, aby jej dane nie były przetwarzane bez jej zgody, a z drugiej strony, administratora danych, który ma także objęty ochroną interes polegający na tym, że ma prawo realizować prawnie usprawiedliwione cele i uprawnienia, co w przypadku administratora danych, będącego jednocześnie wierzycielem, obejmuje także jego prawo do uzyskania należnego świadczenia od dłużnika.
Unormowanie to oparte jest więc na założeniu, że dochodzi do konfliktu interesów między interesem osoby, która ma prawo do ochrony swoich danych osobowych, a interesem administratora tych danych, który ma prawo przetwarzać je, jeżeli jest to konieczne dla realizacji jego uprawnień wynikających z przepisów prawa lub prawnie usprawiedliwionego celu. Wyważenie tych interesów jest warunkiem koniecznym przy stosowaniu art. 23 ustawy o ochronie danych osobowych, przy uwzględnieniu rangi tych interesów w realiach konkretnej sprawy.
Jest to szczególnie ważne, ponieważ konflikt ten dotyczy ochrony prywatności osoby, której dane są przetwarzane, a więc wartości, która ma szczególnie wysoką rangę, także w systemie wartości konstytucyjnych. Oznacza to, że w przypadku przetwarzania danych osobowych przez administratora danych bez zgody osoby, której te dane dotyczą, w pierwszej kolejności konieczne jest ustalenie i rozważenie, czy spełniona jest ustawowa przesłanka szczegółowa uzasadniająca przetwarzanie danych bez zgody tej osoby, a następnie, jeżeli przesłanka ta jest spełniona, ustalenie i rozważenie wszystkich okoliczności koniecznych do wyważenia niezbędnej ochrony interesów osoby, której dane dotyczą, oraz interesów administratora danych .
Natomiast Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 23 kwietnia 2007 r. wyjaśnił, że samo powoływanie się przez administratora danych na usprawiedliwione cele nie przesądza jeszcze o dopuszczalności udostępnienia danych osobowych bez zgody osoby, której one dotyczą. Konieczne jest dokonanie ustaleń, czy tego rodzaju udostępnienie nie narusza prywatności tej osoby, czy w istocie spełnione są wszystkie przesłanki pozwalające na zastosowanie art. 23 ust. 1 pkt 5 ustawy .
Aby zatem zastosować przepis art. 23 ust. 1 pkt 1 ustawy, należy spełnić poniższe kryteria:
1) dane osobowe muszą być merytorycznie poprawne;
2) dane osobowe muszą być adekwatne do celów;
3) dane osobowe muszą być niezbędne do wypełnienia usprawiedliwionych celów administratora danych;
4) nie może dojść do naruszenia praw i wolności osoby, której dane dotyczą.
Wojewódzki Sąd Administracyjny w Warszawie zauważył, iż nawet przy przyjęciu, że monitoring systemu informatycznego jest niezbędny dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych, przepis art. 23 ust. 1 pkt 5 ustawy nie może być przesłanką legalnego przetwarzania danych osobowych, jeżeli przetwarzanie to narusza prawo do prywatności w sytuacji, kiedy użytkownik nie ma świadomości monitoringu komputera .
J. Barta, P. Fajgielski oraz R. Markiewicz uważają, iż na gruncie art. 23 ust. 1 pkt 5 ustawy przetwarzanie danych osobowych nie powinno naruszać praw oraz wolności konstytucyjnych . Zdaniem powyższych autorów w szczególności powinny być respektowane:
1) prawa do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym – art. 47 Konstytucji RP;
2) prawa do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą – art. 51 ust. 4 Konstytucji RP .
Obowiązki administratora danych osobowych (tzw. obowiązek informacyjny – art. 24 ust. 1 ustawy)
Zbieranie danych osobowych nakłada na administratorów danych liczne obowiązki. Administratorzy danych powinni bowiem poinformować osobę, której dane są zbierane, o:
1) adresie swojej siedziby;
2) swojej pełnej nazwie;
3) miejscu zamieszkania oraz imieniu i nazwisku – jeżeli administratorem danych jest osoba fizyczna;
4) celu zbierania danych, a w szczególności o znanych jej w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych;
5) prawie dostępu do treści swoich danych;
6) prawie do poprawiania swoich danych;
7) dobrowolności przetwarzania danych;
8) obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Na powyższe obowiązki nie ma wpływu sposób zbierania danych osobowych. Dane te mogą być zbierane:
a) w sposób bezpośredni;
b) poprzez kontakt telefoniczny;
c) poprzez kontakt elektroniczny, np. za pośrednictwem strony internetowej.
W każdej z powyższych sytuacji administrator danych powinien udzielić osobie zainteresowanej stosownych informacji. Ważne jest, iż powinny być one przekazane w sposób bezpośredni (powinny dotrzeć do określonego adresata).
Jeżeli administrator danych nie wykona obowiązku informacyjnego, wówczas narazi się na nielegalne przetwarzanie danych osobowych.
Przekazane przez administratora informacje powinny być dokładne. Osoba, której dane dotyczą, powinna mieć możliwość zidentyfikowania administratora danych oraz wystąpienia z roszczeniami określonymi w ustawie, np. z żądaniem poprawienia danych osobowych.
Administrator danych powinien szczegółowo poinformować osobę zainteresowaną o celu zbierania danych. Nie jest przy tym dopuszczalne przekazywanie informacji ogólnikowych i niejasnych. Osoba, której dane dotyczą, powinna wiedzieć, w jakim celu dane zostaną wykorzystane, oraz zdecydować, czy wyraża zgodę na ich przetwarzanie. Bardzo ważne jest także, aby osoba zainteresowana miała możliwość dostępu do swoich danych. Ustawa gwarantuje bowiem prawo do zweryfikowania, jakie dane osobowe znajdują się w zbiorze, czy są poprawne, prawdziwe. W konsekwencji osoba zainteresowana ma prawo do zgłaszania administratorowi danych wszelkich nieścisłości.
Administrator danych powinien poinformować osobę zainteresowaną, czy udostępnienie danych jest dobrowolne czy też obowiązkowe. Osoba zainteresowana nie może bowiem pozostawać w błędnym przekonaniu, że podanie określonych danych osobowych wynika z przepisów prawa. Jeżeli podanie danych osobowych jest obowiązkowe, administrator danych powinien o tym poinformować osobę zainteresowaną oraz wskazać podstawę prawną.
Powyższy obowiązek informacyjny powinien być spełniony przez administratora danych jeszcze przed rozpoczęciem zbierania danych osobowych. Wymagane informacje mogą być zatem wskazane przez administratora danych np. w ankiecie.
Administrator danych zwolniony jest z obowiązku informacyjnego, jeżeli:
1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania;
2) osoba, której dane dotyczą, posiada informacje, o których mowa w art. 24 ust. 1 ustawy.
Należy podkreślić, iż art. 24 ustawy pozostaje w ścisłym związku z art. 25 ustawy. Na administratorze danych spoczywa bowiem obowiązek informacyjny także wówczas, gdy dane osobowe zbierane są nie od osoby, której one dotyczą (art. 25 ust. 1 ustawy). W takim przypadku administrator danych zobowiązany jest poinformować osobę zainteresowaną, bezpośrednio po utrwaleniu zebranych danych, o:
1) adresie swojej siedziby;
2) swojej pełnej nazwie;
3) miejscu swojego zamieszkania oraz imieniu i nazwisku – w przypadku gdy administratorem danych jest osoba fizyczna;
4) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych;
5) źródle danych;
6) prawie dostępu do treści swoich danych;
7) prawie do poprawiania swoich danych;
8) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 ustawy, tj. prawie do:
a) wniesienia umotywowanego żądania zaprzestania przetwarzania danych osobowych,
b) zgłoszenia sprzeciwu co do przetwarzania danych osobowych.
Analizując powyższe przepisy, należy stwierdzić, iż art. 24 ustawy dotyczy zbierania danych bezpośrednio od osoby zainteresowanej. Natomiast art. 25 ustawy odnosi się do przypadków, gdy dane pozyskiwane są z innych źródeł.
W wyroku z dnia 13 lipca 2004 r. Naczelny Sąd Administracyjny orzekł, że nabycie bazy danych w drodze umowy cywilnoprawnej jest sposobem uzyskiwania czy wydostawania (danych), co prowadzi do konkluzji, iż zakup bazy danych jest tożsamy z procesem ich zbierania i pozyskiwania. Sąd ten ponadto stwierdził, że podanie skrótu, który w sposób niepełny określa zbywcę danych, należy uznać za niewystarczające poinformowanie o źródle danych (art. 25 ust. 1 pkt 3 ustawy). Nie można przy tym za usprawiedliwioną uznać okoliczność, iż osoby przekazując dane, miały wiedzę w kwestii, komu je udostępniły, gdyż wprowadzając obowiązki dla nabywcy danych (nie od osób, których one dotyczą), ustawodawca miał na uwadze zagwarantowanie osobom, których dane są przetwarzane, pełnej wiedzy o dokonanym obrocie danymi .
W literaturze prezentowany jest pogląd, iż art. 25 ustawy odnosi się przede wszystkim do:
a) pozyskiwania danych od innych podmiotów;
b) przejmowania danych ze zbiorów sporządzonych i prowadzonych przez inne podmioty .
Administrator danych zwolniony jest z obowiązku informacyjnego, określonego w art. 25 ust. 1 ustawy, jeżeli:
1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą;
2) dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych w art. 25 ust. 1 ustawy wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania;
3) dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 (tj. organy państwowe, organy samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne) i ust. 2 pkt 1 ustawy (tj. podmioty niepubliczne realizujące zadania publiczne), na podstawie przepisów prawa;
4) osoba, której dane dotyczą, posiada informacje, o których mowa w art. 25 ust. 1 ustawy.
Przypisy
Bibliografia
Lista publikacji dotycząca tematyki artykułu:
1) J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, Komentarz, Wydawnictwo Lex a Wolters Kliwer business, 4 wydanie, Kraków 2007.
2) D. Fleszer, Zakres przetwarzania danych osobowych w działalności gospodarczej, Wydawnictwo Lex a Wolters Kliwer business, 2008.
3) A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2008.
4) P. Litwiński, Udostępnianie danych osobowych na potrzeby postępowań cywilnych, Przegląd Prawa Technologii Informacyjnych ICT Law Review z 2013 r. nr 1.
5) D. Fleszer, Zakres przetwarzania danych osobowych w działalności gospodarczej, Wolters Kluwer Polska 2008.

Lista adresów internetowych dotycząca tematyki artykułu, [data odczytu z dnia 11.11.2013 r.]:
1) http://www.giodo.gov.pl/ - na stronie zostały zamieszczone informacje na temat funkcjonowania Generalnego Inspektora Ochrony Danych Osobowych, decyzje GIODO, wyroki sądów administracyjnych.
2) http://ochronadanychosobowych.info/ - strona zawiera szereg praktycznych porad związanych z ochroną danych osobowych.
3) http://www.frog.org.pl/ncrm/poradnik.pdf - na stronie znajduje się poradnik w zakresie ochrony danych osobowych.
4) http://mamstartup.pl/poradnik/3511/twoj-startup-a-ochrona-danych-osobowych-cz-1 - artykuł na temat ochrony danych osobowych.
5) http://www.ngo.pl/x/468727 - na stronie został zamieszczony praktyczny poradnik w przedmiocie ochrony danych osobowych.