>Polecamy >

W doktrynie przyjmuje się, że prawnie usprawiedliwionym celem jest przetwarzanie danych osobowych w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.¹

 Ustawa o ochronie danych osobowych za prawnie usprawiedliwiony cel uznaje w szczególności marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Wyliczenie to nie jest wyczerpujące i ma charakter jedynie przykładowy na co wskazuje sformułowanie „w szczególności”. Jest ono jednak bardzo istotne, gdyż usuwa wątpliwości pojawiające się w odniesieniu do tego typu działalności. Tak więc w przypadku przetwarzania danych osobowych w celu marketingu własnych produktów lub usług jak również w celu dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej klauzula usprawiedliwionego celu jest wystarczającą przesłanką uprawniającą administratora do przetwarzania danych osobowych w tych celach. W związku z tym administratorzy danych nie muszą uzyskiwać zgody osób na przetwarzanie ich danych w powyższych celach.

Za działania w zakresie marketingu bezpośredniego uznaje się wszelkie działania promujące produkty lub usługi, które skierowane są do podmiotu danych.²

Co ciekawe, w literaturze można znaleźć pogląd, zgodnie z którym na podstawie klauzuli usprawiedliwionego celu możliwe jest przetwarzanie danych osobowych w celu marketingu bezpośredniego cudzych produktów lub usług. Administrator danych może wówczas powoływać się na art. 23 ust. 1 pkt 5 ustawy, jeżeli nie ma wątpliwości co do nienaruszania przez przetwarzanie danych praw i wolności osoby, której te dane dotyczą.³ Interpretacja ta jest jednak wielce dyskusyjna ze względu na to, iż zdaje się nie uwzględniać wyrażonego expressis verbis w powyższym artykule sformułowania „własnych produktów i usług”. W związku z tym, iż jest ona pozbawiona podstaw prawnych należy ją uznać za niewłaściwą.
Prawnie usprawiedliwiony cel jakim jest dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej stał się przedmiotem sporu pomiędzy administratorami danych a Generalnym Inspektorem Ochrony Danych Osobowych. Podejmując rozstrzygnięcie w tym sporze Naczelny Sąd Administracyjny w Składzie 7 Sędziów⁴ zwrócił uwagę zwłaszcza na art. 23 ust. 1 pkt 5 ustawy stwierdzając, iż przesłanka, o której mowa w tym artykule odnosi się wprost do administratora lub odbiorcy danych, którzy – aby zrealizować prawnie dopuszczalne cele – muszą udostępnić dane osobowe, pod warunkiem jednak, że nie naruszy to praw i wolności osoby, której dane dotyczą. Sąd podkreślił, iż już samo użycie określenia „jeżeli jest to niezbędne” wskazuje, że stosowanie tych przepisów wymaga nie tylko wykazania, że chodzi o realizowanie uprawnienia lub obowiązku wynikającego z przepisów prawa lub prawnie usprawiedliwionego celu, ale także dokonania oceny, czy dla realizacji tego konieczne jest przekazanie danych, mimo że brak jest na to zgody osoby, której dane dotyczą. Ocena ta to wyważenie racji i interesów, z jednej strony osoby, której dane dotyczą, mającej objęty ochroną prawną interes, aby jej dane nie były przetwarzane bez jej zgody, a z drugiej strony – administratora danych, który ma także objęty ochroną prawną interes polegający na tym, że ma prawo realizować prawnie usprawiedliwione cele i uprawnienia, co w przypadku administratora danych będącego wierzycielem obejmuje jego prawo do uzyskania należnego świadczenia od dłużnika. Unormowanie to jest więc oparte na założeniu, że dochodzi do konfliktu interesów między interesem osoby, która ma prawo do ochrony swoich danych osobowych, a interesem administratora tych danych, który ma prawo je przetwarzać, jeżeli jest to konieczne do realizacji jego uprawnień wynikających z przepisów prawa lub prawnie usprawiedliwionego celu. Wyważenie tych interesów jest koniecznym warunkiem przy stosowaniu art. 23 ustawy, z uwzględnieniem rangi tychże interesów w realiach konkretnej sprawy. Jest to szczególnie ważne, ponieważ konflikt ten dotyczy ochrony prywatności osoby, której dane są przetwarzane, a więc wartości, która ma szczególnie wysoką rangę, także w systemie wartości konstytucyjnych. Oznacza to, że w razie przetwarzania danych osobowych przez administratora danych bez zgody osoby, której dane dotyczą, w pierwszej kolejności konieczne jest ustalenie i rozważenie, czy spełniona jest ustawowa przesłanka szczegółowa uzasadniająca przetwarzanie danych bez zgody osoby, której dane dotyczą, a następnie, jeżeli przesłanka ta jest spełniona, ustalenie i rozważenie wszystkich okoliczności koniecznych do ochrony interesów osoby, której dane dotyczą oraz interesów administratora danych.

W rozstrzyganej przez NSA sprawie Generalny Inspektor Ochrony Danych Osobowych uznał, że zawarcie umowy przelewu wierzytelności bez zgody dłużnika jest prawnie niedopuszczalne, ponieważ dłużnik jest konsumentem. Na tej podstawie organ przyjął, że wierzyciel (będący administratorem danych) nie realizuje prawnie usprawiedliwionego celu w rozumieniu art. 23 ust. 1 pkt 5 ustawy. NSA podkreślił, że ustalenie, iż administrator danych realizuje cel prawnie usprawiedliwiony, nie może przesądzić o dopuszczalności przetwarzania danych osobowych bez zgody osoby, której dane dotyczą. Konieczne jest dokonanie oceny, czy jest to niezbędne dla realizacji tego celu oraz dokonanie wyważenia interesów administratora danych i osoby, której dane dotyczą, z uwzględnieniem celu ustawy o ochronie danych osobowych, którym jest ochrona prywatności. Sąd zwrócił także uwagę na przepisy ustawy z dnia 14 lutego 2003 r. o udostępnianiu informacji gospodarczych⁵ , które regulują zasady i tryb udostępniania przez przedsiębiorców informacji gospodarczych, w tym i danych osobowych osób fizycznych, dotyczących wiarygodności płatniczej innych przedsiębiorców i konsumentów, w szczególności danych o zwłoce w wykonywaniu zobowiązań pieniężnych, osobom trzecim nieoznaczonym w chwili przeznaczenia tych danych do udostępnienia oraz uznał, że prawnie usprawiedliwiony cel, o którym mowa w art. 23 ust. 1 pkt 5 ustawy może być oparty także na przepisach prawa cywilnego. Za taki prawnie usprawiedliwiony cel już sama ustawa o ochronie danych osobowych uznaje dochodzenie roszczeń z tytułu prowadzenia działalności gospodarczej. NSA przyznał, że przepisy prawa cywilnego, które służą ochronie konsumentów, mają znaczenie przy ocenie, czy cel jest prawnie usprawiedliwiony. Jednakże, czym innym jest ocena, czy cel realizowany przez administratora danych, jest prawnie usprawiedliwiony w rozumieniu art. 23 ust. 1 pkt 5 ustawy, a czym innym – zanegowanie tego celu stwierdzeniem, że zawarcie określonej umowy w ogóle jest zakazane.

3. Zakaz naruszania praw i wolności osoby, której dane dotyczą

Klauzula usprawiedliwionego celu może mieć zastosowanie tylko wtedy, gdy nie naruszy to praw i wolności osoby, której dane dotyczą. Zapis taki wzbudza szereg wątpliwości i w praktyce może on powodować całkowite wyłączenie możliwości powoływania się przez administratorów danych na tę klauzulę jako podstawę prawną przetwarzania danych. Zawsze bowiem może pojawić się zarzut, iż w związku z przetwarzaniem danych osobowych bez zgody osoby, której one dotyczą, zostały naruszone prawa i wolności tej osoby. W takim przypadku omawiana przesłanka stawałaby się przesłanką o mniejszej wartości w stosunku do pozostałych przesłanek uprawniających do przetwarzania danych bez zgody osoby, której dane dotyczą. Widać wyraźnie, że dochodzi tutaj do konfliktu prawa do ochrony danych osobowych oraz prawa do prowadzenia działalności gospodarczej. W literaturze podkreśla się, iż ochrona danych osobowych nie powinna być absolutyzowana, ponieważ przepisy ustawy o ochronie danych osobowych muszą być stosowane i interpretowane łącznie z innymi przepisami służącymi ochronie innych praw i wartości.⁶ Nie należy bowiem zapominać także o innych wartościach chronionych konstytucyjnie takich jak prawo do pozyskiwania i rozpowszechniania informacji, wolność komunikowania się, wolność słowa czy wolność badań naukowych. Autonomia informacyjna jednostki nie może mieć charakteru absolutnego, gdyż w pewnych sytuacjach prowadziłoby to wręcz do absurdów.

Należy zatem w każdym przypadku powoływania się na klauzulę usprawiedliwionego celu wyważać z jednej strony interesy administratorów czy odbiorców danych, z drugiej zaś interesy podmiotu danych (osoby, której dane dotyczą). Konstrukcja omawianej klauzuli upoważnia niejako samego administratora do dokonania oceny, czy przetwarzanie danych jest usprawiedliwione, a także czy nie narusza praw i wolności osoby, której dane dotyczą. Ocena ta może być jednak zakwestionowana zarówno przez podmiot danych jak i przez organ stosujący prawo (Generalny Inspektor Ochrony Danych Osobowych). W literaturze podnosi się, że powołanie się na przesłankę z art. 23 ust. 1 pkt. 5 jest możliwe jeżeli zakładając, że administrator wypełnia swój usprawiedliwiony cel, nie ma żadnych podstaw do przyjęcia, że przeważają kolidujące interesy osoby, której dane dotyczą, a więc można mówić o naruszeniu praw i wolności tej osoby.⁷

Należy zwrócić uwagę, iż art. 23 ust. 1 pkt 5 ustawy jest bardziej restrykcyjny, niż analogiczny przepis Dyrektywy Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/EC) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. W świetle Dyrektywy bowiem przepis ten nie może znaleźć zastosowania tylko wówczas, gdy podstawowe prawa i wolności jednostki mają ”większą wagę”, niż uzasadnione interesy administratora danych. Natomiast zgodnie z polską ustawą przepis ten ma zastosowanie tylko wtedy, gdy nie zostaną naruszone prawa i wolności osoby, której dane dotyczą. Tak więc w przypadku polskiej ustawy wydaje się, iż w celu powołania się na ten przepis każdorazowo trzeba wykazać, iż prawa i wolności osoby, której dane dotyczą nie zostaną w danym przypadku naruszone.
W świetle powyższych uwag zasadne wydaje się rozważenie ewentualnej zmiany analizowanego przepisu w celu jego poprawienia w taki sposób, aby nie wzbudzał w/w wątpliwości.

1. A. Drozd: Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy. Warszawa 2004, s. 128.
2. Zob. P. Barta: op. cit., s. 82.
3. Tak A. Drozd: op. cit., s. 129-130.
4. Wyrok z dnia 6 czerwca 2005 r. (I OPS 2/05).
5. Dz. U. Nr 50, poz. 424 z późn. zm.
6. Tak P. Barta: op. cit., s. 75-76.
7. Tak A. Drozd: op. cit., s. 129.