Zgoda na przetwarzanie danych nie zawsze wystarcza

W Naszej praktyce zawodowej wielokrotnie spotykamy się z sytuacjami kiedy przestrzeganie przepisów ustawy o ochronie danych osobowych jest sprowadzane wyłącznie do posiadania zgody na przetwarzanie danych osobowych. System ochrony danych osobowych jest jednak znacznie bardziej złożony. Samo zdobycie zgody (lub spełnienie innej przesłanki uprawiającej do przetwarzania danych) nie zawsze będzie wystarczające.

Obejrzyj nasz poradnik video o zgodzie na przetwarzanie danych…

… albo posłuchaj w formie podcastu

Każdy podmiot przetwarzający dane osobowe jest zobowiązany także do zachowania „szczególnej staranności w celu ochrony interesów osób, których dane dotyczą”. Obowiązek ten (szczegółowo opisany w art. 26 ust. 1 ustawy o ochronie danych osobowych) ujęty został w formie 4 zasad. Są nimi: zasada przetwarzania danych zgodnie z prawem, zasada przetwarzania danych zgodnie z celem, dla którego dane zostały zebrane, zasada adekwatności przetwarzania danych oraz zasada przechowywania danych nie dłużej niż jest do niezbędne dla osiągnięcia określonego celu przetwarzania danych.

Zasady te, często pomijane przy stosowaniu przepisów o ochronie danych osobowych w rzeczywistości mają bardzo duże praktyczne znacznie.

Jedną z tych zasad jest zasada adekwatności przetwarzania danych opisana w art. 26 ust. 1 pkt. 3 ustawy o ochronie danych osobowych.

 art. 26 ust.1. Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:

1) przetwarzane zgodnie z prawem;

2)zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2;

3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane;

4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

 

Znaczenie zasady adekwatności sprowadza się do tego, aby zbierając dane osobowe gromadzić tylko takie kategorie danych, które są niezbędne i wystarczające do osiągnięcia założonego przez nas celu przetwarzania danych.

Innymi słowy, chodzi o to, aby nie zbierać danych niemających znaczenia, takich które nie są nam potrzebne. Nie zbierać danych „na zapas”. Ocena tego jakie dane są niezbędne dla określonego celu niejednokrotnie jest bardzo trudna.

Trafnie zasadę adekwatności ujął w jednym z wyroków Wojewódzki Sąd Administracyjny w Warszawie:

„Zasada adekwatności ma charakter bezwzględnie obowiązujący. Adekwatność danych w stosunku do celu ich przetwarzania powinna być rozumiana jako równowaga pomiędzy uprawnieniem osoby do dysponowania swoimi danymi a interesem administratora danych. Administrator danych nie może w żaden sposób stawiać swego interesu ponad dobro osoby, której dane przetwarza. Równowaga będzie zachowana, jeżeli administrator zażąda danych tylko w takim zakresie, w jakim to jest niezbędne do wypełniania celu w jakim dane są przez niego przetwarzane.”

Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 7.12.2009 r. II SA/Wa 1094/09

Nie można z góry ustalić adekwatnego zakresu danych potrzebnych do realizacji określonego celu (np. celu marketingowego) bez uwzględniania szczegółowych okoliczności konkretnego przypadku.

Przykładowo, jeśli planujemy kampanię e-marketingową która ma być adresowana do mieszkańców określonego regionu kraju wówczas, zbieranie informacji o miejscu zamieszkania (miasto, województwo) będzie niezbędne do wytypowania odbiorców takiego mailingu. Jeśli jednak nasza oferta nie będzie w taki sposób „targetowana” to wtedy zbieranie informacji o miejscu zamieszkania będzie nieadekwatne i tym samym sprzeczne z art. 26 ust. 1 pkt. 3 ustawy o ochronie danych osobowych.

Zasada adekwatności ma także istotne znacznie przy zawieraniu umów. Zakres danych osobowych zbieranych od stron umowy może, a nawet powinien być zróżnicowany w zależności od charakteru i znaczenia umowy.

„W drobnych umowach ze sfery życia codziennego kontrahenci mogą zachować wobec siebie anonimowość. Nie jest to już dopuszczalne w przypadku umów o znacznym ciężarze gospodarczym lub społecznym. Bezpieczeństwo obrotu prawnego wymaga wtedy dokładnej identyfikacji stron zawierających umowę, i co za tym idzie - może uzasadniać gromadzenie przez nie danych osobowych w zakresie gwarantującym należyte wywiązanie się z zobowiązania.

Wyrok NSA z dnia 19.12.2001 r. II SA 2869/00

W wyrokach sądów administracyjnych znajdziemy również przykłady konkretnych kategorii danych, których zbieranie uznane zostało za sprzeczne z zasadą adekwatności:

  • dane o wykształceniu oraz stanie cywilnym klientów zawierających umowy odpowiedzialności cywilnej posiadacza pojazdu mechanicznego. W ramach postępowania ustalono bowiem, że dane te nie były potrzebne zakładowi ubezpieczeń do ustalenia wysokości składki płaconej przez klienta, lecz do ustalania ogólnego ryzyka jakie zakład mógł ponieść w przyszłości. Dane te nie były więc niezbędne do zawarcia umowy ubezpieczenia. Były zbierane na zapas (wyrok NSA z dnia 02.2003 r. sygn akt. II SA 3505/01).
  • dane biometryczne (odciski linii papilarnych) wykorzystywane do kontroli czasu pracy pracowników. Sąd uznał, że zbieranie takich danych nie jest niezbędne dla osiągnięcia celu jakim jest rejestracja czasu pracy i tym samym nieproporcjonalne do zamierzonego celu ich przetwarzania. Co jednak niezwykle istotne, Sąd nie zakwestionował samej technologii biometrii, lecz jedynie zwrócił uwagę znaczenie zasady adekwatności jako głównego kryterium przy podejmowaniu decyzji dotyczących przetwarzania danych biometrycznych (wyrok NSA z dnia 6.09.2011 r. sygn. akt I OSK 1476/10).

Także, w naszej pracy wielokrotnie spotykamy się sytuacjami naruszania zasady adekwatności np.:

  • Zbieranie od uczestników szkoleń w celach marketingowych nazwiska panieńskiego matki oraz numeru PESEL,
  • Kserowanie/ skanowanie dowodów osobistych przez podmioty zajmujące się wypożyczaniem sprzętu wodnego, rowerów, nart, itp. co wiąże się z przetwarzaniem wszystkich danych jakie znajdują się na takim dokumencie np. wzrost, kolor oczu, PESEL.

Czasami zbieranie określonych kategorii danych może sprawiać wrażenie działania nieadekwatnego, lecz takim nie będzie, np. :

  • Zbieranie przez firmę rekrutacyjną danych o wzroście i wadze od kobiet. Uzasadnienie: rekrutacja opiekunek dla osób starszych.
  • Zbieranie informacji o numerze buta od osób wchodzących na teren fabryki. Uzasadnienie: zapewnienie obuwia ochronnego.

Podane wyżej przykłady pokazują, że ocena zakresu przetwarzanych danych z punktu widzenia zasady adekwatności zawsze musi się odnosić do konkretnej sytuacji, z którą wiąże się przetwarzanie takich danych i służyć realizacji określonemu celowi.

Należy więc pamiętać, że jeśli nie będziemy w stanie wykazać i uzasadnić, że zbieranie określonej kategorii danych jest niezbędne dla osiągnięcia określonego celu, działanie takie może być kwestionowane jako sprzeczne z zasadą adekwatności przetwarzania danych osobowych.

Źródła:

  • Ustawa dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922),
  • Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 7.12.2009 r. II SA/Wa 1094/09,
  • Wyrok NSA z dnia 19.12.2001 r. II SA 2869/00,
  • Wyrok NSA z dnia 02.2003 r. sygn akt. II SA 3505/01,
  • Wyrok NSA z dnia 6.09.2011 r. sygn. akt I OSK 1476/10, 

Related Posts

rodo faq
Ile zgód należy pozyskiwać dla celów marketingowych? #RODOFAQ
rodo faq
Wizytówki a RODO – o czym pamiętać? #RODOFAQ
przekazywanie danych osobowych do państw trzecich
Przekazywanie danych osobowych do państw trzecich zgodnie z RODO… czyli jak?

1 Response

Leave a Reply

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO