>Polecamy >

Podmiot (administrator), który chce przetwarzać dane osobowe (to jest, zgodnie z art. 7 pkt 2 ustawy o ochronie danych osobowych dokonywać jakichkolwiek operacji na danych osobowych, takich jak ich zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza wykonywanych w systemach informatycznych) musi się legitymować jedną z pięciu, równorzędnych przesłanek legalizujących proces ich przetwarzania zawartych w art. 23 ustawy o ochronie danych osobowych. Jako pierwszą przepis ten wymienia zgodę osoby, której dane dotyczą, tej właśnie przesłanki będzie dotyczyć poniższy artykuł.

 Pod pojęciem zgody, na gruncie przepisów o ochronie danych osobowych, należy rozumieć (jak stanowi art. 7 pkt 5 ustawy) oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumienia z oświadczenia woli o innej treści.

Powyższy przepis należy zatem interpretować w kontekście art. 60 Kodeksu Cywilnego, zgodnie z jego brzmieniem, z zastrzeżeniem wyjątków przewidzianych w ustawie, wola osoby dokonującej czynności prawnej może być wyrażona przez każde zachowanie się osoby, które ujawnia jej wolę w sposób dostateczny (oświadczenie woli). Podkreślić należy, iż nie można jej wyrazić w sposób dorozumiany.

W tym miejscu warto zwrócić uwagę na klauzule zgody zamieszczane przez usługodawców w różnych rodzajach umów. Często się zdarza, że dana klauzula zawiera zgodę na przetwarzanie danych zarówno w celu wykonania umowy jak i w celach marketingowych. Takie sformułowanie sugeruje klientowi, że musi wyrazić taką zgodę, by umowa w ogóle mogła wywołać skutek prawny, a zatem wprowadza w błąd. Tymczasem, przetwarzanie danych osobowych obecnego, lub też przyszłego klienta zgodnie z art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych uzasadnione jest koniecznością realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną, lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Jeżeli zatem firma gromadzi dane swojego przyszłego klienta i zamierza je wykorzystywać jedynie w celu wykonania umowy nie powinna się ona zwracać o zgodę na przetwarzanie danych w tym celu. W przypadku jednak, gdyby dany podmiot zamierzał wykorzystać dane w innym celu niż realizacja, bądź wykonanie umowy, nie spełniając przy tym żadnego z warunków określonych w art. 23 pkt 2 – 5 ustawy, to o taką zgodę powinna się zwrócić.

Aby zobrazować wyżej opisaną sytuację warto opisać stan faktyczny jaki stał się podstawą do wydania orzeczenia Naczelnego Sądu Administracyjnego w dniu 4 kwietnia 2003 roku (sygn. akt II SA 2135/2002, publikacja: Monitor Prawniczy 2003/10 str. 435). Spółka, która zaskarżyła decyzję Generalnego Inspektora Ochrony Danych Osobowych nakazującą usunięcie jej przetwarzanych danych prowadziła akcję marketingową, której efektem było dostarczanie ofert korzystania z usług operatora telewizji cyfrowej członkom Klubu Książki. Deklaracja przystąpienia do Klubu zawierała postanowienie o wyrażeniu zgody na umieszczenie danych osobowych w zbiorze członków Klubu oraz przetwarzanie ich zgodnie z regulaminem. Do deklaracji regulamin nie był jednak dołączony. W jego treści znalazło się następujące stwierdzenie „Jeżeli Klub nie otrzyma stosownego zastrzeżenia, wyrażenie zgody obejmuje także zgodę na przesyłanie pod adresem członków klubu materiałów promocyjnych i bezpłatnych innych firm oraz udostępnienie ich danych osobowych w tym celu innym firmom współpracującym ze Spółką.” Sąd podzielił stanowisko Generalnego Inspektora Ochrony Danych osobowych, iż w opisanej sytuacji nie można mówić, że zgoda w ogóle została wyrażona. Jak bowiem stwierdził NSA nie można w tym wypadku zastosować art. 384 § 2 KC, który zezwala na posługiwanie się w stosunkach z konsumentami w umowach powszechnie zawieranych w drobnych sprawach życia codziennego ustalonymi wzorcami umów, wiążących nawet wówczas, gdy nie zostały jej dostarczone przy zawieraniu umowy, jeżeli strona mogła z łatwością dowiedzieć się o ich treści. Naczelny Sąd Administracyjny w opisywanym wyroku wskazał, że: „Zgoda na przekazywanie danych musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania. Czynności takiej nie konwaliduje późniejsze poinformowanie o treści regulaminu, ani możliwość zgłoszenia zastrzeżeń wobec pewnych form przetwarzania danych.” Konsekwentnie takie stanowisko podtrzymuje też Generalny Inspektor Ochrony Danych Osobowych. Tytułem przykładu powołam fragment uzasadnienia decyzji Generalnego Inspektora z dnia 13 czerwca 2005 roku (GI-DEC-DS – 135/05): „(...) układ graficzny formularza (umiejscowienie na formularzu klauzuli dotyczącej przetwarzania danych osobowych) nie daje podstaw do przyjęcia twierdzenia Spółki, iż . Nie ma tu znaczenia również wskazywany przez Spółkę fakt, iż kupon zamówienia został od klauzuli dotyczącej przetwarzania danych osobowych i podpisu . Co najwyżej, w tej sytuacji można jedynie domniemywać, że złożony przez osobę składającą zamówienie podpis potwierdzać może jej akceptację treści klauzuli dotyczącej przetwarzania jej danych (wyrażenia zgody na udostępnienie jej danych podmiotom trzecim). Nie może on być natomiast – z całą stanowczością należy stwierdzić – bezsporną podstawą do uznania, że osoba składająca ten podpis wyraziła nim zgodę na przekazanie jej danych podmiotom trzecim. W konsekwencji, w niniejszej sprawie – w ocenie Generalnego Inspektora Ochrony Danych Osobowych – Sp. z o.o. poprzez interpretację złożonego podpisu na formularzu jako potwierdzenie akceptacji na takie przekazywania danych działa w sposób sprzeczny z ustawą o ochronie danych osobowych”.

Podkreślić należy, że w żadnej sytuacji nie wystarczy odesłanie do treści innych dokumentów, prospektów, reklam, ogólnych warunków umów, nie może się także zgoda na przetwarzanie danych łączyć z innymi aspektami umowy.

Podsumowując powyższe należy stwierdzić, że podmiot, który przy okazji zawierania umowy, pragnie pozyskać jednocześnie zgodę drugiej strony na przetwarzanie jej danych musi wyodrębnić stosowne oświadczenie od oświadczenia wyrażającego chęć związania się postanowieniami umowy. Nie można utożsamiać woli zawarcia umowy ze złożeniem oświadczenia woli, na podstawie, którego osoba, której dane dotyczą zgadza się na wykorzystywanie informacji o sobie w innych, określonych wyraźnie celach.

Zgoda nie może bowiem mieć charakteru abstrakcyjnego, nie może dotyczyć przetwarzania danych w ogóle. Musi się odnosić do skonkretyzowanego stanu faktycznego, obejmować jedynie pewnie określone dane, mieć sprecyzowany sposób i cel ich przetwarzania. Jak twierdzi Andrzej Drozd (A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Wydawnictwo Prawnicze LexiNexis, Warszawa 2005 str. 75 – 76) zgoda nie będzie mieć charakteru abstrakcyjnego tylko wtedy, gdy administrator przed jej wyrażeniem spełni obowiązek informacyjny wobec osoby, której dane dotyczą m. in. o dobrowolności albo obowiązku posiadania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej oraz o celu zbierania danych, a w szczególności mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach danych. Powzięcie wiadomości wskazanych w art. 24 ustawy o ochronie danych osobowych przez osobę, której dane dotyczą, jest warunkiem skuteczności jej zgody na przetwarzanie danych osobowych (por. Sprawozdanie GIODO za rok 2002, str. 228). W tym miejscu warto jeszcze wskazać na brzmienie art. 2 lit h dyrektywy Parlamentu Europejskiego i Rady z dnia 24 października 1995 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (nr 95/46/WE). Zgodnie z tym przepisem zgoda na przetwarzanie danych oznacza: „konkretne i świadome, dobrowolne wskazanie przez osobę, której dane dotyczą na to, że wyraża przyzwolenie na przetwarzanie jej danych osobowych”.

Zgoda taka może mieć charakter bezterminowy, bądź zezwalać na przetwarzanie danych jedynie przez oznaczony okres. (Komentarz Janusza Barty, Pawła Fajgielskiego, Ryszarda Markiewicza, 4 wydanie, Kraków 2007, Lex a Wolters Kluwers business, str. 388). Należy podkreślić jednak, że będzie ona ważna najdłużej do ustania celu, w którym te dane są przetwarzane.

Wskazać trzeba także, komu owa zgoda ma być udzielona. Należy stwierdzić, iż winna być ona udzielona administratorowi danych, czyli podmiotowi który decyduje o celach i środkach przetwarzania danych. W określonym stanie faktycznym, może to być między innymi: spółka z ograniczoną odpowiedzialnością (np. w stosunku do informacji o swoich pracownikach), osoba prowadząca we własnym imieniu działalność gospodarczą (np. wobec danych klientów), uniwersytet (najczęściej w stosunku do obecnych, bądź przyszłych studentów).

Anna Hoffman