Prawnie usprawiedliwiony cel – co to jest i kiedy w praktyce się z niego korzysta?

Jednym z ważniejszych zagadnień regulowanych przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (zwanej dalej także „ustawą”) jest kwestia przesłanek uprawniających do legalnego (tj.: zgodnego z tą ustawą) przetwarzania danych osobowych. Jedną z nich stanowi uregulowana w art. 23 ust. 1 pkt 5, a określana w doktrynie przedmiotu mianem tzw. klauzuli usprawiedliwionego celu, przesłanka, która oznacza, że „przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą”.

Przesłanka ta ze względu na swoją konstrukcje prawną oraz genezę zasługuje na gruntowną analizę nie tylko w świetle najnowszych decyzji GIODO. Jej problematyka staje się bowiem również coraz częstszym przedmiotem rozstrzygnięć orzecznictwa sądowo-administracyjnego, w szczególności Naczelnego Sądu Administracyjnego.

Jej znaczenie jest coraz częściej dostrzegane także  przez przedstawicieli doktryny, o czym świadczyć może przegląd literatury poświęconej temu zagadnieniu.

Wydaje się, że gruntowna (aczkolwiek nie wyczerpująca tego zagadnienia) analiza problematyki prawnej związanej ze stosowaniem klauzuli usprawiedliwionego celu wymaga uwzględnienia zasadniczych jej elementów: przede wszystkim genezy samego przepisu oraz jego specyfiki wyrażającej się w powiązaniu go z z art. 23 ust. 4 pkt 1-2 ustawy.

Prawnie usprawiedliwiony cel po europejsku

Normatywny zapis polskiej ustawy o ochronie danych osobowych zdeterminowany został rozwiązaniami przyjętymi przez ustawodawcę europejskiego. Ustawa ta stanowi bowiem efekt realizacji obowiązku transpozycji rozwiązań przyjętych w dyrektywie 95/46/WE do polskiego porządku prawnego. Jednakże w doktrynie przedmiotu zwraca się uwagę, iż transpozycji tej dokonano w sposób niewystarczająco precyzyjny. Częstym przykładem podawanym na potwierdzenie tego stanowiska jest m.in.: konstrukcja pozostającego w polu naszego zainteresowania art. 23 ust. 1 pkt 5. Wskazuje się bowiem, iż poprzez uzależnienie możliwości legalnego (tj. zgodnego z w/w ustawą) przetwarzania danych osobowych od jednoczesnego spełnienia dwóch wymogów zawartych w pkt 5 ust. 1 art. 23 (tj.:  niezbędność dla wypełniania prawnie usprawiedliwionych celów przez administratorów danych lub odbiorców danych oraz jednoczesny zakaz naruszania praw i wolności osoby, której dane dotyczą) staje się on sprzeczny z odpowiednim artykułem dyrektywy 95/46/WE, której rozwiązania miał wdrażać. Dlatego też, wydaje się, że polski ustawodawca błędnie odczytał ratio legis art. 7 lit. f dyrektywy 95/46/WE, który dopuszcza – odmiennie od art. 23 ust. 1 pkt 5 polskiej ustawy – możliwość przetwarzania danych osobowych również wtedy, gdy prawa i wolności osoby zostaną naruszone.

Oczywiście pozwala na to w ściśle określonych przypadkach oraz w sytuacjach nadzwyczajnych, w których to interes administratora danych usprawiedliwia  takie naruszenie. Niemniej nie zmienia to faktu, że z dyrektywy 95/46/WE wynika o wiele szerszy zakres uprawnień przysługujących administratorowi danych, niż wynika to z implementacji w/w dyrektywy do polskiego porządku prawnego. Również praktyka stosowania polskich rozwiązań w tym zakresie ukazuje niedoskonałość transpozycji i wskazuje na potrzebę modyfikacji art. 23 ust. 1 pkt 5, tak aby w pełni oddawał on intencje art. 7 lit. f dyrektywy 95/46/WE. Istnieją bowiem sytuacje, w których tak bezwzględna i absolutna ochrona „(…) praw i wolności osoby, której dane dotyczą”, zapewniana przez polską ustawę o ochronie danych osobowych winna zostać ograniczona na rzecz nadrzędnych celów wynikających z ochrony innych dóbr. Z łatwością można by podać stany faktyczne, które usprawiedliwiają w sposób dostateczny naruszenie praw i wolności osoby, której dane dotyczą i które pozwalają na działanie odmienne od tego, które nakazywałby art. 23 ust. 1 pkt 5 i jego literalna wykładnia.

Najlepszym przykładem, stosowanym dla potwierdzenia, a zarazem zilustrowania tej tezy może stanowić następująca sytuacja: w zakładzie pracy, w którym dochodzi do nagminnych przypadków kradzieży, pracodawca decyduje się na zainstalowanie ukrytej kamery w celu wykrycia sprawcy i przyłapania go na tzw. gorącym uczynku. Gdyby nie fakt częstych kradzieży, takie działanie ów pracodawca musiałby poprzedzić uprzednim poinformowaniem wszystkich swoich pracowników o zamiarze i planach związanych z założeniem monitoringu. Tym samym ich prawo do prywatności nie zostałoby w żaden sposób naruszone, a  rozwiązania przyjęte w art. 23 ust. 1 pkt 5 zostałyby w pełni zachowane.

Różnica w zapisie dyrektywy 95/46/WE polega na tym, że odmiennie niż czyni to polska ustawa o ochronie danych osobowych pozwala ona na dokonanie oceny czyj interes przeważa, co w przypadku polskiej ustawy jest całkowicie wykluczone. Z tego też powodu wydaje się za słuszne przyznanie racji tej części przedstawicielom doktryny, która dostrzegając ową sprzeczność, postuluje odpowiednią modyfikacje tego przepisu, aby w pełni gwarantowała ona implementację unijnych rozwiązań przyjętych w dyrektywie 95/46/WE. Aczkolwiek, odnotować należy, iż obecna konstrukcja art. 23 ust. 1 pkt 5 może stanowić źródło problemów innej natury. W praktyce może bowiem powodować całkowite wyłączenie możliwości powoływania się przez administratorów danych na uprawnienia przysługujące im na mocy tej klauzuli, gwarantowane ponadto przez dyrektywę 95/46/WE. Nie ulega bowiem wątpliwości, że takiej osobie (tj. której dane osobowe będą przetwarzane), zawsze przysługuje możliwość podniesienia zarzutu, jakoby taka działalność naruszała jej prawa i wolności. Z tego też powodu wielu autorów, stanowczo sprzeciwia się wyraźnemu trendowi do tzw. „absolutyzowania” (stawiania wyżej i ponad inne standardy i rozwiązania) ochrony danych  osobowych. Pamiętać bowiem należy, iż art. 23 ust. 1 pkt 5 winien być stosowany zawsze w oparciu o już istniejące normy i należy unikać sytuacji, w której ignorowałoby się inne przepisy służące tożsamej ochronie danych osobowych.

To krótkie przedstawienie genezy rozwiązań przyjętych w art. 23 ust. 1 pkt 5, pozwoli na głębsze zrozumienie materii związanej z klauzulą usprawiedliwionego celu i zarazem na przejście do jej właściwej analizy.

Prawnie usprawiedliwiony cel po polsku

Tytułem wstępu, zwrócić należy uwagę na fakt, iż przesłanka ta ma charakter autonomiczny i niezależny od pozostałych przesłanek sformułowanych w artykule 23 ust. 1 pkt 1-4. Innymi słowy, jej spełnienie stanowi dostateczną legitymację do legalnego w świetle polskiej ustawy o ochronie danych osobowych przetwarzania danych osobowych. Nie jest wymagane, więc spełnienie innych przesłanek. Słuszność tej opinii potwierdził Naczelny Sąd Administracyjny w swoim wyroku z dnia 21 listopada 2002 r., w którym to uznał, iż przetwarzanie danych osobowych nie jest zawsze uzależnione od zgody osoby, której te dane dotyczą, co wynika z art. 23 ust. pkt 2-5. W innym wyroku z dnia 19 listopada 2001 r. Naczelny Sąd Administracyjny uznał, że zwrot „usprawiedliwione cele” stanowi termin niedookreślony, ale również klauzulę generalną. Skutkuje to przyznaniem nie tylko administratorom danych, ale i organom stosującym prawo pewnego zakresu luzu decyzyjnego.

Najważniejszymi elementami klauzuli usprawiedliwionego celu w świetle art. 23 ust. 1 pkt 5 w/w ustawy jest po pierwsze: „niezbędność” dla wypełnienia celów realizowanych przez administratorów oraz po drugie wymóg, aby te cele były „prawnie usprawiedliwione”. Pierwszy element sprowadzić można do wniosku, iż tylko osiągnięcie określonego celu realizowanego przez administratora lub odbiorcę danych może stanowić dostateczną przesłankę dla legalnego przetwarzania danych osobowych. Oznacza to, że na administratorze danych spoczywa obowiązek udowodnienia, iż przetwarzanie danych osobowych, którego dokonuje jest niezbędne dla realizacji tego celu. Zaznaczyć trzeba, iż cytowany przepis przyznaje tożsame uprawnienie także dla odbiorców danych (są nimi najczęściej administratorzy danych, którym inny administrator przekazuje dane osobowe).

Pamiętać również należy, iż zawarta w ustawie definicja „przetwarzania danych” obejmuje również m.in.: ich udostępnianie. Z kolei drugi element, odnosi się do „prawnego usprawiedliwienia” celu realizowanego przez administratora danych albo odbiorców danych, dla którego to dokonuje się przetwarzania danych. W literaturze przedmiotu często podkreśla się, że „prawnego usprawiedliwienia” nie można utożsamiać z jakimś konkretnym przepisem szczegółowym. Gdyby przyjąć odmienne stanowisko, to nieuchronnie prowadziłoby to do kolizji zakresu dwóch przesłanek legalizujących przetwarzanie danych, tj. klauzuli usprawiedliwionego celu z art. 23 ust. 1 pkt 5 oraz przesłanki zapisanej w pkt 2 niniejszego przepisu, która upoważnia do przetwarzania danych wówczas, gdy „jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa”. Wskazuje się bowiem, iż taką decydującą rolę odgrywać powinien raczej przedmiot działalności danego podmiotu. Przy czym należy podkreślić fakt, iż nie chodzi tu o każde „prawne usprawiedliwienie” wynikające głównie z działalności prowadzonej przez administratorów lub odbiorców danych, ale tylko i wyłącznie takiej, która pozostaje w zgodzie z powszechnie obowiązującymi normami prawa. W innym przypadku bowiem, klauzula usprawiedliwionego celu nie zostanie spełniona, a przetwarzanie danych uzyska cechy działania niezgodnego z prawem (nielegalnego).

Prawnie usprawiedliwiony cel w praktyce – decyzje GIODO

W celu pogłębienia teoretycznej analizy zagadnień poruszonych do tej pory, niezbędne wydaje się przybliżenie, chociaż niektórych decyzji Generalnego Inspektora Ochrony Danych Osobowych (dalej zwanego: GIODO), które wywarły (w mniejszym lub większym stopniu) istotny wpływ na stosowanie art. 23 ust. 1 pkt 5 w szeroko pojętej praktyce życia codziennego.

I tak opierając się na istniejących obecnie w literaturze przedmiotu opracowaniach poświęconych analizie klauzuli usprawiedliwionego celu z art. 23 ust. 1 pkt 5 ustawy warto przypomnieć następujące decyzje GIODO.

W decyzji z 8 września 2006 r., organ ten stanął na stanowisku, że prowadzenie przez szkołę badan służących ustaleniu przydatności uzyskanego w niej wykształcenia dla rozwoju dalszej kariery zawodowej absolwentów może być uznane na gruncie ustawy o ochronie danych osobowych za prawnie usprawiedliwiony cel tego podmiotu. Z kolei w decyzji wyrażonej w dniu 2 lutego 2006 r., organ ten uznał, że spółka odprowadzająca nieczystości działa w ramach usprawiedliwionego celu, żądając od dostawców zimnej wody informacji o ilości wody zużytej przez poszczególnych mieszkańców. Tutaj za usprawiedliwiony cel został uznany obowiązek prawidłowego wywiązywania się z umów z mieszkańcami w zakresie odprowadzania ścieków. W kolejnym przypadku za prawnie usprawiedliwiony cel Generalny Inspektor Ochrony Danych Osobowych uznał przetwarzanie danych osobowych przez zarządcę budynku w prowadzonej przez niego księdze wejść i wyjść. Doszedł bowiem do wniosku, iż pozwala ono w sposób najefektywniejszy osiągnąć zamierzony skutek, tj.: ograniczenie przebywania osób niepożądanych z różnych względów. Takie stanowisko zostało zaprezentowane w decyzji z dn. 1 września 2003 r. Generalny Inspektor musiał rozstrzygnął również problematyczną kwestię związaną z tworzeniem stron internetowych, a dokładniej z zamieszczaniem na nich danych osobowych w postaci: struktury organizacyjnej, imion i nazwisk oraz numerów telefonów służbowych, w świetle przepisów ustawy o ochronie danych osobowych. W swej decyzji organ ten opowiedział się za traktowaniem w/w informacji o pracowniku, jako informacji ściśle związanych ze sferą zawodową pracownika i jego obowiązkami służbowymi. I w konsekwencji uznał, że dane te mogą być udostępniane przez pracodawcę – także bez zgody osoby, której dotyczą.

Na godne uwagi zasługują również decyzje Generalnego Inspektora dotyczące dopuszczalności stosowania w sektorze ubezpieczeniowym oprogramowania VRA do analizy ryzyka ubezpieczeniowego na podstawie głosu, czyli wykorzystywania tzw. wykrywaczy kłamstw. Inna ważną kwestią, którą rozstrzygał Generalny Inspektor są sprawy skupione wokół problematyki analiz prawnych przedsiębiorców w procesie poprzedzającym bezpośrednio transakcje dotyczące przedsiębiorstwa lub składników przedsiębiorstwa (czyli tzw.: legal due diligence reviews).

Marketing jako prawnie usprawiedliwiony cel

Całościowe omówienie problematyki związanej z tzw. klauzulą usprawiedliwionego celu z art. 23 ust.1 pkt 5 ustawy o ochronie danych osobowych winno obejmować również analizę art. 23 ust. 4 pkt 1-2 (o czym była już mowa wcześniej). Uwzględnia ono, jak się wydaje intencje polskiego ustawodawcy, który normatywnie połączył treści tych dwóch przepisów.

I tak stosownie do art. 23 ust. 4 pkt 1-2 uznać należy, iż: „za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności:

1) marketing bezpośredni własnych produktów lub usług administratora danych,

2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.”

Kwestią nie podlegającą tutaj dyskusji jest fakt, iż wyliczenie to nie ma charakteru zamkniętego i stanowi przykład katalogu otwartego, na co wskazuje użycie zwrotu „w szczególności”. Jednocześnie, z drugiej strony przesądza ono, że co do wymienionych w pkt 1 i pkt 2 ust. 4 art. 23 rodzajów działalności administratorzy danych nie muszą uzyskiwać zgody osób na przetwarzanie ich danych w powyższych, wymienionych w tym przepisie celach. Innymi słowy, klauzula usprawiedliwionego celu stanowi wystarczającą przesłankę uprawniającą administratora do przetwarzania danych osobowych, jeśli tylko cele dla których to robi mieszczą się w zakresie celów określonych w/w pkt 1-2.

Jednocześnie należy podkreślić fakt, iż ustawa o ochronie danych osobowych nie definiuje na swój użytek legalnej definicji pojęcia „marketingu bezpośredniego własnych produktów lub usług administratora danych” (jak chociażby czyni to w przypadku takich terminów, jak: „dane osobowe” czy ich „przetwarzanie”). Kwestię tę wypełnia orzecznictwo oraz literatura przedmiotu, które formułują własne definicje zarówno marketingu, jak i marketingu bezpośredniego. I tak za ten ostatni uważać możemy marketing stosowany przy użyciu różnych mediów reklamowych, zapewniających bezpośredni kontakt z nabywcami. Praktycznym wymiarem tej definicji jest kwestia marketingowego charakteru treści informacji umieszczonych na kopertach. Otóż przyjąć możemy, iż taka treść zostanie uznana za posiadającą pewne cechy reklamy, w przypadku gdy przedstawia ona korzyści płynące z korzystania z usług administratora danych (uznaje się bowiem, że wtedy nakłania ona do korzystania z tych usług).

Ponadto, w literaturze przedmiotu prezentowane są również poglądy (co prawda nieliczne), które dopuszczają możliwość przetwarzania danych osobowych na podstawie klauzuli usprawiedliwionego celu odnośnie marketingu bezpośredniego również cudzych produktów lub usług. Zaś sam wymóg braku naruszenia praw i wolności osoby, której dane dotyczą – pozostaje w świetle tej koncepcji nie naruszony i niezmieniony (tj. wymaga się jego spełnienia). Aczkolwiek wydaje się, że w świetle obecnie obowiązującego art. 23 ust. 4 pkt 1 wykładnia ta jest zbyt daleko idąca i nie znajduje dostatecznego uzasadnienia w treści normatywnej tego przepisu, który expressis verbis taką możliwość wyklucza. Jasno bowiem stanowi, że ustawodawcy chodziło o marketing bezpośredni własnych produktów lub usług.

Implicite przyjąć należy, że gdyby jego intencją byłoby rozszerzenie zakresu zastosowania tej normy, zapewne dałby temu wyraz poprzez inna konstrukcję tego przepisu (założenie racjonalnego ustawodawcy). Niektórzy krytycy, tego poglądu twierdzą, że jest to w istocie przykład wykładni contra legem, a tym samym całkowicie niedopuszczalnej.

Na tle praktyki stosowania art. 23 ust. 4 pkt 1 pojawiło się również następujące pytanie: do którego momentu administrator danych może przetwarzać dane osobowe w celu marketingu produktów lub usług. Przedstawiciele doktryny w poszukiwaniu odpowiedzi na tak sformułowany problem uznali za stosowne odwołanie się do cechy autonomiczności i niezależności każdej z przesłanek wymienionych w art. 23 ust. 1 pkt 1-5 ustawy o ochronie danych osobowych (o czym była już mowa poprzednio). I tak mając na uwadze (potwierdzony zresztą wielokrotnie w orzecznictwie – zarówno w decyzjach Generalnego Inspektora, jak i wyrokach Naczelnego Sądu Administracyjnego) fakt, iż każda z wymienionych w tym artykule przesłanek stanowi dostateczne, tj. w pełni wystarczające uzasadnienie dla legalnego przetwarzania danych osobowych stwierdzić musimy, że administrator danych może przetwarzać dane osobowe w celach marketingu bezpośredniego do czasu złożenia sprzeciwu. Przy czym chodzi tutaj o cywilistyczne rozumienie tej instytucji, jako oświadczenia woli osoby fizycznej, które dodatkowo nie podlega wymogowi jakiekolwiek uzasadnienia. W przypadku zaistnienia tego przypadku, tj. złożenia sprzeciwu zobowiązany jest on niezwłocznie zaprzestać dalszego przetwarzania danych osobowych.

Dochodzenie roszczeń jako prawnie usprawiedliwiony cel

Mniej dyskusyjna wydaje się kwestia stosowania art. 23 ust. 4 pkt 2, w którym „(…) za prawnie usprawiedliwiony cel uważa się w szczególności: dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej”. Bowiem przyjmuje się za powszechnie obowiązującą zasadę, prawidłowość w myśl której każdy dłużnik obowiązany jest do regulowania zaciągniętych zobowiązań, tj. zapłaty długu. Popadanie w zwłokę, tj. nie wywiązywanie się z tego obowiązku nie może stanowić w świetle przytoczonych unormowań w/w ustawy wystarczającej przesłanki, która mogłaby usprawiedliwić zakaz przetwarzania danych osobowych takiej osoby (tj. właśnie tego dłużnika) przez administratora danych lub odbiorcę danych. Stanowisko to wydaje się być wystarczająco uzasadnione i poparte argumentami nie tylko wynikającymi z przepisów prawa cywilnego, ale również z norm moralnych, zasad współżycia społecznego oraz dobrych obyczajów (a więc z systemu o charakterze pozanormatywnym). Pogląd taki ma również swoją ugruntowaną pozycję w orzecznictwie sądów administracyjnych. Koncepcja ta nie doznaje uszczerbku pomimo faktu, iż z formalnego punktu widzenia polska ustawa o ochronie danych osobowych stosownie do art. 23 ust. 1 pkt 5 pozwala dłużnikowi (który nie wywiązuje się ze swoich zobowiązań wobec swego wierzyciela) na próbę obrony, poprzez wykazywanie, iż taka praktyka (polegająca na przetwarzaniu jego danych osobowych przez przedsiębiorcę w stosunku do którego nie wywiązuje się on z zobowiązań) jest niedozwolona, jako łamiąca i naruszająca prawa i wolności tego dłużnika. Podstawą prawną dla takiego stanowiska mogłaby stanowić ochrona gwarantowana właśnie przez wspomniany art. 23 ust. 1 pkt 5. Niemniej jednak, orzecznictwo sądów administracyjnych kwalifikuje tego typu argumentację, jako nieuzasadnioną, bowiem jej akceptacja prowadziłaby nieuchronnie do kolizji z innymi dobrami, np.: chronionymi na mocy przepisów dotyczących swobody działalności gospodarczej. Ponadto pamiętać należy, iż system prawa stanowi pewną wzajemnie uzupełniającą się i niesprzeczna całość, zaś sam ustawodawca tworzący przepisy kieruje się zasadą racjonalności.

Aby lepiej zrozumieć tę kwestię warto raz jeszcze odwołać się do decyzji Generalnego Inspektora uszczegółowiającego stosowanie w praktyce tego artykułu. I tak w swym rozstrzygnięciu z dnia 15 lipca 2005 r. stwierdził on, że jeśli syndyk przetwarza (w tym też udostępnia), ale tylko w ramach dochodzonej przez siebie wierzytelności dane osobowe osoby fizycznej to znajduje to swoje uzasadnienie w art. 23 ust. 1 pkt 2 i 5.

Inną ciekawą kwestią, którą tym razem rozważał Wojewódzki Sąd Administracyjny była problematyka dot.: wykorzystywania przez przedsiębiorcę danych osobowych dłużnika,

w których to posiadanie wszedł ten przedsiębiorca, przy okazji nabycia  wierzytelności od poprzedniego wierzyciela. W swym wyroku z dn. 30 listopada 2004 r. WSA stanął na stanowisku, iż tak rozumiany prawnie usprawiedliwiony cel może występować, ale należy również brać pod uwagę a casu ad casum odnośnie każdej sytuacji, czy nie doszło do zakazanego na mocy art. 23 ust. 1 pkt 5 naruszenia praw i wolności osoby, której dane dotyczą.

W literaturze przedmiotu, podkreśla się, że bardzo ważna dla rozwoju praktyki i wykładni usprawiedliwionego celu administratora danych albo odbiorców danych odnośnie prowadzenia roszczeń z tytułu prowadzonej działalności gospodarczej jest późniejsza decyzja Generalnego Inspektora, tj. rozstrzygnięcie które zapadło w dn. 6 stycznia 2005 r. Organ ten stwierdził w niej po raz pierwszy – odchodząc tym samym od prezentowanego wcześniej stanowiska (wyrażonego chociażby w decyzji z dn. 13 lutego 2004 r.) i rozpoczynając  tym samym nową linię orzeczniczą – iż art. 23 ust. 1 pkt 5 zawiera warunki legalnego przetwarzania danych osobowych, które powinien spełnić administrator danych. Implicite, uznać należy, że działanie administratora danych „w prawnie usprawiedliwionym celu” również nie może naruszać praw i wolności osób, której te dane dotyczą. Oznacza to, że w razie przetwarzania danych osobowych przez administratora danych bez zgody osoby, której dane dotyczą, należy uprzednio ustalić czy spełniona została któraś z ustawowych przesłanek uzasadniających przetwarzanie danych osobowych bez zgody osoby, której dane dotyczą. Przy czym w przypadku, powoływania się na art. 23 ust. 1 pkt 5, tj. klauzulę usprawiedliwionego celu podkreślić należy fakt, iż spełniony musi zostać wymóg jednoczesnego braku „naruszenia praw i wolności osoby, której dane dotyczą”.

Podsumowanie

Rekapitulując sposób prowadzonego wywodu i mając na uwadze wszelkie kwestie w nim poruszone, można pokusić się o następujące wnioski natury ogólnej:

– polska ustawa z dn. 29 sierpnia 1997 r. o ochronie danych osobowych stanowi efekt transpozycji rozwiązań zawartych w dyrektywie  95/46/WE, jednakże należy uznać za słuszne głosy postulujące jej modyfikację w celu rozszerzenia uprawnień przysługujących administratorowi danych – jakie  otrzymał na mocy odpowiedniego w tym zakresie przepisu dyrektywy 95/46/WE;

– nie ulega wątpliwości, że ratio legis art. 23 ust. 1 pkt 5 m.in.: świadomie prowadzi do zawężenia możliwości korzystania przez administratora danych z tzw. klauzuli usprawiedliwionego celu, poprzez proklamowanie zakazu naruszania praw i wolności osoby, której dane dotyczą (podczas ich przetwarzania);

– dotychczasowa linia orzecznicza zarówno, Generalnego Inspektora Ochrony Danych Osobowych, jak i Naczelnego Sądu Administracyjnego wydaje się nie pozostawiać wątpliwości, iż przesłanka z art. 23 ust. 1 pkt 5 ma charakter autonomiczny i niezależny od pozostałych przesłanek sformułowanych w artykule 23 ust. 1 pkt 1-4;

– dla dogłębnej analizy problematyki tzw.: klauzuli usprawiedliwionego celu niezbędny jest przegląd istniejącej linii orzeczniczej Generalnego Inspektora, jak i Naczelnego Sądu Administracyjnego;

–  najważniejszymi elementami klauzuli usprawiedliwionego celu w świetle art. 23 ust. 1 pkt 5 ustawy jest: „niezbędność” dla wypełnienia celów realizowanych przez administratorów oraz po drugie wymóg, aby te cele były „prawnie usprawiedliwione”;

–  należy podkreślić fakt, iż ustawa o ochronie danych osobowych nie zawiera definicji legalnej zwrotu „marketingu bezpośredniego własnych produktów lub usług administratora danych”, w związku z czym znaczącą rolę w tej mierze odgrywa orzecznictwo sądowe;

– w świetle najnowszej linii orzeczniczej NSA przyjąć można pogląd, iż sądownictwo zaakceptowało zasadę w myśl której dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej, stanowi wystarczającą przesłankę uprawniającą do przetwarzania danych osobowych dłużnika, implicite nie stanowi ono wystarczające podstawy do powoływania się na zawarty w art. 23 ust. 1 pkt 5 zakaz przetwarzania danych osobowych, w przypadku naruszenia praw i wolności osoby, której dane te dotyczą (w tym przypadku będą to dane dłużnika, który uchybił swemu obowiązkowi względem wierzyciela).

Artykuł został napisany na podstawie opracowania autorstwa Kamila Kaczmarka.