>Polecamy >

Jedną z podstaw prawnych upoważniających do przetwarzania danych osobowych stanowi tzw. klauzula usprawiedliwionego celu określona w art. 23 ust. 1 pkt. 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych¹ , zwanej dalej także „ustawą”. Zgodnie z brzmieniem tego artykułu przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Należy podkreślić, iż powyższa przesłanka jest autonomiczna, niezależna od innych przesłanek określonych w powołanym artykule. Jej spełnienie jest wystarczające dla legalnego (zgodnego z prawem) przetwarzania danych osobowych, co oznacza, że nie jest konieczne spełnianie żadnej innej przesłanki legalizującej, np. w postaci zgody osoby na przetwarzanie jej danych osobowych. Potwierdził to Naczelny Sąd Administracyjny w wyroku z dnia 21 listopada 2002 r.² uznając, iż przetwarzanie danych osobowych nie jest zawsze uzależnione od zgody osoby, której te dane dotyczą, co wynika z art. 23 ust. 1 pkt. 2-5 ustawy o ochronie danych osobowych.
Klauzula usprawiedliwionego celu ma charakter dopełniający w stosunku do pozostałych przesłanek legalizujących w tym sensie, że administrator danych nie legitymując się żadną przesłanką z art. 23 ust. 1 pkt. 1-4 zawsze może powołać się na tę klauzulę uzasadniając, że przetwarzanie danych jest mu niezbędne dla realizacji określonego celu. Wynika to z faktu, iż omawiana przesłanka stanowi klauzulę o charakterze ogólnym, zgodnie z którą przetwarzanie danych osobowych jest dopuszczalne w przypadku zaistnienia łącznie dwóch okoliczności:

1. przetwarzanie danych jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów administratorów lub odbiorców danych,
2. przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. W wyroku z dnia 19 listopada 2001r.³ Naczelny Sąd Administracyjny podkreślił, że termin „usprawiedliwione cele” jest zwrotem niedookreślonym i stanowi klauzulę generalną. Powoduje to pewnego rodzaju luz decyzyjny, z jednej strony dla administratorów danych, a z drugiej dla organu stosującego prawo (Generalny Inspektor Ochrony Danych Osobowych). Administratorzy danych mogą sami ocenić, czy ich działalność jest prawnie dopuszczalna, co uprawniałoby ich do przetwarzania danych na podstawie klauzuli usprawiedliwionego celu, z drugiej strony organ stosujący prawo może przy podejmowaniu decyzji kierować się ocenami indywidualnymi konkretnej sytuacji.

Gruntowna analiza klauzuli usprawiedliwionego celu wymaga omówienia zasadniczych jej elementów:

1. Niezbędność realizacji celów administratorów danych lub odbiorców danych
   Dane osobowe mogą być przetwarzane tylko wówczas, gdy jest to konieczne dla osiągnięcia określonego celu realizowanego przez administratora lub odbiorcę danych. Administrator lub odbiorca danych musi zatem wykazać, że przetwarzanie danych osobowych jest mu niezbędne, aby mógł osiągnąć zamierzony cel. W przeciwnym razie (bez przetwarzania danych osobowych) realizacja tego celu będzie niemożliwa.
   Należy zauważyć, iż klauzula usprawiedliwionego celu stanowi także podstawę prawną do przetwarzania danych przez odbiorców danych.⁴ W praktyce są nimi najczęściej administratorzy danych, którym inny administrator przekazuje dane osobowe. Jeśli określony administrator jest uprawniony do przetwarzania danych osobowych na podstawie art. 23 ust. 1 pkt. 5 ustawy, ma on również prawo do udostępniania danych osobowych. Zgodnie bowiem z ustawową definicją „przetwarzanie danych” to m.in. ich udostępnianie. A zatem odbiorca danych, który przetwarza je w związku z przedmiotem swojej działalności może także powoływać się na klauzulę usprawiedliwionego celu jako podstawę prawną przetwarzania tych danych.
2. Prawne usprawiedliwienie dla wypełnienia celów administratorów lub odbiorców danych.
   Ustawa o ochronie danych osobowych wymaga aby cel, dla osiągnięcia którego przetwarzane są dane osobowe był prawnie usprawiedliwiony. W literaturze podkreśla się, że „prawnego usprawiedliwienia” nie można utożsamiać z jakimś konkretnym przepisem szczegółowym . Nie chodzi tu o to, by owo „usprawiedliwienie” wynikało z jakiegoś określonego przepisu prawa. Prowadziłoby to bowiem do „nałożenia się” na siebie dwóch przesłanek legalizujących przetwarzanie danych, tj. klauzuli usprawiedliwionego celu oraz przesłanki z art. 23 ust. 1 pkt. 2 upoważniającej do przetwarzania danych wówczas, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Ocenie powinna podlegać tu raczej okoliczność czy cel, który zamierza osiągnąć administrator lub odbiorca danych, znajduje swoje gospodarcze i prawne uzasadnienie. Takiego prawnego uzasadnienia należy doszukiwać się przede wszystkim w przedmiocie działalności danego podmiotu . Chodzi tu zatem o „prawne usprawiedliwienie” wynikające głównie z działalności prowadzonej przez administratorów lub odbiorców danych, ale oczywiście tylko takiej, która pozostaje w zgodzie z obowiązującym porządkiem prawnym. Nie może być bowiem uznana za prawnie usprawiedliwiony cel działalność sprzeczna z prawem.