29 grudnia 2021

Prawnie uzasadniony interes administratora. Przesłanka legalnego przetwarzania danych osobowych

Udostępnij

Przetwarzanie danych jest zgodne z prawem między innymi wtedy, gdy wynika to z prawnie uzasadnionych interesów administratora. Jest to jedna z sześciu przesłanek.  Zgodnie z art. 6 ust. 1 lit. f RODO[1] przetwarzanie jest zgodne z prawem, gdy  i w takim zakresie, w jakim jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Wyjątkiem są sytuację, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Przepis nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

Przetwarzanie danych

Zgodnie z art. 4 pkt. 2 RODO przetwarzanie to operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie [2].

Wybór podstawy przetwarzania

Rozpoczynając działalność, która wiąże się z przetwarzaniem danych osobowych, administrator musi zawsze zastanowić się, jaka podstawa planowanego przetwarzania będzie odpowiednia. Decydując się na przetwarzanie danych na podstawie PUI administrator nie uzyskuje już zgody osoby, której dane dotyczą [3]. Administrator przy tym nie może stosować uzasadnionego interesu z mocą wsteczną jako podstawy uzasadniającej przetwarzanie danych w sytuacji powstania wątpliwości co do ważności zgody. Konsekwencją niespełnienia wymogów dotyczących świadomej zgody będzie nieważność zgody i naruszenie art. 6 RODO [4].

Przetwarzanie na podstawie art. 6 ust. 1 lit. f RODO jest możliwe, gdy nie ma innej podstawy prawnej.  

Niedookreślone brzmienie przepisu w sposób zamierzony umożliwia większą swobodę decyzyjną. Ponadto za pomocą określeń wartościujących odsyła do norm pozaprawnych, które ocenia się w każdym przypadku indywidualnie. Zatem art. 6 ust. 1 lit. f ma charakter klauzuli generalnej. Jak podnosi się w doktrynie: pozwala to na bieżącą aktualizacje katalogu przypadków uzasadnionego przetwarzania opartego na interesie administratora, niezależnie od pojawiających się nowości technologicznych, czy modeli biznesowych[5]. Interes administratora powinien wynikać z prawa, co należy rozumieć szeroko[6].

Motywy nr 47-49 RODO wskazują przykładowe uzasadnione interesy administratora dla przetwarzania danych osobowych. Są to m. in. przypadki, gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz, mające na celu zapobieganie oszustwom. Możliwe jest również uzasadnione przetwarzanie do celów marketingu bezpośredniego.

Zgodnie z motywem 48 administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników.

Zgodnie z motywem 49 dane osobowe powinny być przetwarzane w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji – tj. zapewnienia odporności sieci lub systemu informacyjnego na przypadkowe zdarzenia albo niezgodne z prawem lub nieprzyjazne działania naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych osobowych – oraz bezpieczeństwa związanych z nimi usług.

Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania.

Warto także podkreślić, że pomimo możliwości szerokiego zastosowania omawianego przepisu, w dalszym ciągu spełnia on wysokie standardy ochrony, ze względu na uprzednią  konieczność każdorazowej oceny stanu faktycznego i wykonania testu równowagi opartego na ważeniu interesów.

Kiedy można przetwarzać na podstawie prawnie uzasadnionego interesu?

Stosowanie przez przedsiębiorcę podstawy przetwarzania danych osobowych z art. 6 ust. 1 lit. f RODO wymaga łącznego spełnienia wszystkich wymienionych tam przesłanek. Ocena, czy przesłanki zostały spełnione, musi nastąpić przed przetwarzaniem danych osobowych.

Po pierwsze należy ocenić, czy przetwarzanie danych jest niezbędne i konieczne. Pomocne może być rozważenie, czy nie ma innego sposobu na osiągnięcie danego celu albo czy inny sposób wymagałby nieproporcjonalnego wysiłku[7]. Aby uznać, że przetwarzanie jest niezbędne, musi występować bezpośredni związek pomiędzy realizacją interesu a potrzebą przetwarzania danych osobowych. Każdą kategorię przetwarzanych danych (np. imię nazwisko, PESEL), należy odrębnie przeanalizować i ocenić, czy wszystkie przetwarzane dane są niezbędne administratorowi, uwzględniając zasadę minimalizacji danych[8], o której mowa w art. 5 ust. 1 lit. c. RODO. 

Po drugie należy ocenić, czy dane osobowe są wykorzystywane do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Oceniając interes można zadać sobie następujące pytania:

  • W jakim celu chcę przetwarzać dane, co chcę tym osiągnąć?
  • Jak ważne są korzyści z przetwarzania i kto je czerpie?
  • Jakie byłyby skutki, gdybym nie mógł kontynuować przetwarzania?
  • Czy wykorzystywanie danych po ustaniu przetwarzania byłoby w jakikolwiek sposób nieetyczne lub niezgodne z prawem? [9]

Po trzecie należy wykonać test równowagi[10], który polega na ważeniu interesów administratora oraz osoby, której dane są przetwarzane[11].

Jeżeli choć jedna z ww. przesłanek nie zostanie spełniona, wtedy administrator może zmniejszyć  zakres przetwarzanych danych, zmienić charakter przetwarzania lub wprowadzić dodatkowe zabezpieczenia. Bez względu na to, jakie działania zostaną podjęte, administrator jest zobowiązany do ponownego przeprowadzenia testu równowagi. Gdy wprowadzone zmiany nie zmienią wyniku testu, administrator nie może przetwarzać danych na tej podstawie i powinien znaleźć alternatywną podstawę prawną albo nie rozpoczynać przetwarzania.[12] Sprzeczne z art. 6 ust. 1 lit. f RODO będzie nadmierna ingerencja w prywatność osób fizycznych lub  znaczne ryzyko wyrządzenia im szkody. Administrator nie może przetwarzać danych na podstawie art. 6 ust. 1 lit. f RODO, jeżeli przetwarzanie jest dopuszczalne na innej podstawie prawnej.

Zgodnie z art. 5 ust. 2 RODO (zasadą rozliczalności) administrator musi być w stanie wykazać przestrzeganie RODO, a więc przetwarzając dane na podstawie art. 6 ust. 1 lit. f RODO administrator musi wykazać, że wszystkie trzy przesłanki były łącznie spełnione.[13] Wyniki wykonanej przez administratora analizy powinny być utrwalone, ponieważ w razie ewentualnej kontroli może to być jedyny sposób wykazania, że wybierając tę podstawę przetwarzania administrator ocenił zasadność tego wyboru oraz uwzględnił prawa i interesy osób, których dane były przetwarzane.[14]

Nawet spełnienie przesłanek wymienionych w art. 6 ust. 1 RODO nie wystarcza do przetwarzania danych wrażliwych wymienionych  w art. 9 ust. 1 RODO.[15] Wyjątki od zakazu przetwarzania danych wrażliwych są wymienione w art. 9 ust. 2 RODO.[16]

Przetwarzając dane na podstawie art. 6 ust. 1 lit. f RODO administrator powinien:

  • przeprowadzić i udokumentować wyniki trzystopniowego testu,
  • poinformować osoby, których dane dotyczą, o tym jakie uzasadnione interesy są realizowane,
  • umożliwić im wyrażenie sprzeciwu wobec operacji opartych na tej podstawie. [17]

Test równowagi

Test równowagi polega na porównaniu z jednej strony prawnie uzasadnionego interesu administratora danych (lub osoby trzeciej), a z drugiej strony, praw i wolności osoby, której dane dotyczą. Jeżeli przeważające będą prawa podmiotu danych, to administrator nie powinien opierać przetwarzania danych na podstawie art. 6 ust. 1 lit f RODO.[18]

Celem testu równowagi jest sprawdzenie, czy podstawowe wolności, prawa i interesy osób są nadrzędne względem prawnie uzasadnionego interesu administratora. Test równowagi z założenia powinien być przeprowadzony jak najbardziej obiektywnie.  Dobrą praktyką jest przeprowadzenie testu przez możliwie niezależnego pracownika na przykład Inspektora Ochrony Danych..

Przy wykonywaniu testu równowagi należy wziąć pod uwagę zarówno charakter interesów, jak i zakres i kategorie przetwarzanych danych. Należy uwzględnić:

  • czy osoby, których dane będą przetwarzane, mogą spodziewać się takiego przetwarzania oraz jaki to wywrze na nie wpływ,
  • status osoby i administratora,
  • sposób przetwarzania danych,
  • czy dokonywana jest publikacja bądź czy ujawnia się dane dużej liczbie osób/podmiotów,
  • czy przetwarzanie odbywa się na dużą skalę,[19]
  • interes podmiotu danych,
  • rodzaj prawa lub wolności,
  • zagrożenia wynikające z przetwarzania danych,
  • relacje między podmiotami przetwarzającym i podmiotem danych,
  • łatwość z jaką podmiot danych może doprowadzić do zaniechania przetwarzania,
  • indywidualną sytuację podmiotu danych, w tym jego wiek.[20]

Podczas wykonywania testu równowagi należy pamiętać, że dane osobowe nie są równorzędne. Inaczej traktuje się przetwarzanie numeru PESEL czy karty kredytowej, a inaczej przetwarzanie adresu e-mail lub imienia i nazwiska. Wynika to z odmiennych zagrożeń i konsekwencji przetwarzania dla podmiotu danych. Dla wyważenia interesów wskazanych podmiotów mają również znaczenie środki prawne, które przysługują podmiotowi w celu ochrony jego interesów i praw. Za szybki i efektywny należy uznać sprzeciw, który powoduje zablokowanie możliwości przetwarzania danych.

Dane dzieci są pod szczególną ochroną i zazwyczaj uznaje się ich nadrzędność wobec interesów administratora. Zgodnie z art. 8 ust. 1 RODO, można wyróżnić dwa progi wiekowe dzieci podlegające różnej ochronie. Przetwarzanie danych osobowych dzieci do 13 roku życia powinno nastąpić tylko w wyjątkowych i szczególnych przypadkach. Natomiast w przypadku dzieci powyżej wskazanego wieku przetwarzanie jest bardziej zliberalizowane, ale również w tym przypadku należy brać pod uwagę prymat interesów dziecka.

Przykładowymi zabezpieczeniami, które mają wpływ na wynik testu równowagi, są:

  • minimalizacja danych,
  • anonimizacja bądź pseudonimizacja,
  • wielopoziomowe uwierzytelnianie,
  • ograniczony czas i dostęp przetwarzania danych,
  • szyfrowanie.[21]

Zgodnie z wytycznymi Grupy Roboczej art. 29: „konkretny interes musi zostać zidentyfikowany, jako dający korzyści osobie, której dane dotyczą. W ramach najlepszej praktyki administrator może udzielić osobie, której dane dotyczą, informacji z testu równowagi, który musi zostać wykonany przed każdym zbieraniem danych osobowych od osób, których dane dotyczą, w celu umożliwienia oparcia się na art. 6 ust. 1 lit. f. Niniejsze może zostać zawarte w warstwowym oświadczeniu/informacji o prywatności, aby uniknąć zmęczenia informacją. Informacja powinna wyjaśniać, że można uzyskać informacje dotyczące testu równowagi na żądanie. Jest to istotne dla efektywnej przejrzystości, gdy osoby, których dane dotyczą, mają wątpliwości co do rzetelnego przeprowadzenia  testu bilansującego lub chcą złożyć skargę do organu nadzorczego.”[22]

Czym jest prawnie uzasadniony interes w kontekście działalności przedsiębiorcy?

Przedsiębiorca ma możliwość przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO w związku z prowadzeniem przedsiębiorstwa. Poniżej wskazano przykłady, które związane są z przedsiębiorcą jako podmiotem, który prowadzi działalność gospodarczą, a w ramach tej działalności pozyskuje klientów. Ponadto możliwe jest również skorzystanie z ww. podstawy prawnej dla ochrony praw przedsiębiorcy, zwłaszcza prawa do zachowania dobrego imienia. Kolejnymi przykładami są interesy, które dotyczą przedsiębiorcy jako pracodawcy.

Zgodnie z poglądami doktryny uzasadniony interes administratora może przejawiać się  m. in. przy identyfikowaniu podejrzanych płatności, monitoringu osób, które mają dostęp do pieniędzy czy systemów weryfikujących klientów (np. w bankach, czy w celu zapobiegania kradzieżom i aktom wandalizmu, jednak z zastrzeżeniem miejsc w których podstawowe prawa i wolności mogą być poprzez monitoring naruszone np. w przebieralniach),[23] działalności wyszukiwarek internetowych (umożliwienie dostępu do informacji podmiotowi danych, chyba że dane mają charakter pomówień),[24] wyświetlaniu reklam czy ofert kolejnych zakupów klientom sklepów internetowych podających swoje dane przy zamówieniu,[25] ocenie ryzyka potencjalnych klientów (np. określenie zdolności kredytowej), jak również przy działaniach compliance polegających na dochodzeniu roszczeń, ustaleniem, dochodzeniem lub obroną przed roszczeniami, także tymi, które wynikają z zawartych umów ubezpieczeniowych.

W przypadku powołania się na interes administratora do celów marketingu bezpośredniego należy mieć na uwadze przepisy szczególne, które wymagają uzyskania zgody od osoby do której są kierowane[26] (np. ustawa o prawie telekomunikacyjnym,[27] ustawa o świadczeniu usług drogą elektroniczną[28]). Przedsiębiorca powinien w klauzuli informacyjnej w związku z marketingiem bezpośrednim wskazać, na czym konkretnie polega uzasadniony interes – np. na promowaniu posiadanego asortymentu lub obowiązujących promocji. Ponieważ może to być związane z ryzykiem ujawnienia danych dotyczących sfery prywatnej lub życia rodzinnego, w sytuacji gdy używanie tych danych w konkretnej sytuacji nie jest niezbędne.[29]

Orzecznictwo przesądziło, że istnieje możliwość powoływania się na klauzulę prawnie usprawiedliwionego celu w przypadku przetwarzania danych dłużnika w związku z cesją wierzytelności konsumenckiej.[30]

Możliwe jest w tym trybie uzyskanie adresu IP[31] osoby, która anonimowo za pomocą strony internetowej zniesławiła[32] przedsiębiorcę. [33]

Trybunał Unii Europejskiej orzekł, że art. 6 ust. 1 lit. f) RODO nie stoi na przeszkodzie systematycznej rejestracji adresów IP użytkowników sieci, których łącza internetowe miały być wykorzystywane do naruszeń prawa, tj. udostępniania plików zawierających utwory bez zezwolenia. Nie sprzeciwia się też podawaniu nazw i adresów pocztowych użytkowników do wiadomości podmiotu praw własności intelektualnej lub osoby trzeciej w celu wniesienia powództwa o odszkodowanie. Jednak wnioski i żądania kierowane w tym zakresie powinny być uzasadnione, proporcjonalne i nie mieć znamion nadużycia.[34]

Należy podkreślić, że ww. podobieństwo do ww. przykładów nie są wystarczające dla zgodnego z prawem przetwarzania w świetle art. 6 ust. 1 lit. f RODO. Niezbędna jest każdorazowa ocena, czy występuje nadrzędny interes podmiotu, którego dane osobowe są przetwarzane i wykonanie testu równowagi.[35]

Przedsiębiorca jako pracodawca

Przetwarzanie danych pracowniczych na podstawie art. 6 ust. 1 lit. f RODO uzasadnione jest w aspekcie dbania o dobro zakładu pracy.[36] Możliwe jest prowadzenie rejestru osób odwiedzających.[37]

W każdym z tych przypadków interesem jest zapewnienie bezpieczeństwa pracowników i innych osób przebywających na terenie zakładu pracy i zapewnienie przez pracodawcę bezpiecznych i higienicznych warunków pracy, zgodnie z art. 207 Kodeksu pracy.[38]

Interes pracodawcy, który jest przedsiębiorcą oraz jednocześnie administratorem danych osobowych oraz interes pracowników często jest wspólny.[39] Dlatego pracodawca jest uprawniony zwłaszcza w pewnych zawodach do ujawniania m.in. służbowego adresu e-mail[40] czy imienia i nazwiska pracownika[41]. Dlatego podnosi się, że w czasach rozwoju gospodarczego i cywilizacyjnego rozwoju gospodarczego i cywilizacyjnego należy zastanowić się nad liberalizacją poglądów dotyczących wizerunku pracownika.[42]

Warto zauważyć, że Prezes UODO nakazał usunięcie ze strony internetowej danych osobowych osoby fizycznej w upadłości likwidacyjnej pozyskanych z Monitora Sądowego i Gospodarczego uznając, że z uwagi sytuację osobistą, takie udostępnienie narusza prawa i wolności osobiste, w szczególności powoduje dyskryminację w zatrudnieniu ("negatywnie wpływa na prowadzone przez niego rozmowy kwalifikacyjne i naraża go na nieprzyjemności").[43]

Przykłady przetwarzania danych na podstawie art. 6 ust. 1 lit. f. RODO

Prezes Urzędu Ochrony Danych Osobowych w swoich dotychczasowych decyzjach uznał, że  warunek istnienia ważnego interesu administratora danych osobowych jest spełniony gdy:

  • administrator udostępnia w Internecie imię, nazwiska, adres zamieszkania oraz informacje o wysokości zadłużenia - ponieważ było to niezbędne dla podejmowania działań zmierzających do zawarcia umowy sprzedaży wierzytelności,[44]
  • bank przetwarza dane związku z art. 118 i art. 4421 oraz 731 Kodeksu cywilnego[45] - ponieważ dane były przetwarzane w celu dochodzenia i obrony przed ewentualnymi roszczeniami oraz w zw. z art. 105a ust. 5 Prawa bankowego w celu stosowaniu metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia UE nr 575/2013,[46]
  • Spółka przetwarza dane jedynie w celu wykonania ciążących na niej obowiązków prawnych związanych z rozpatrzeniem skargi, a nie w celu marketingu usług i produktów własnych, [47]
  • dane są przetwarzane w celu obrony przed ewentualnymi roszczeniami, m.in. w związku z postępowaniem prowadzonym przed Prezesem UODO,[48]
  • Spółka przetwarza (w tym udostępnianie) publicznie dostępne dane związane z jej dobrowolnym uczestnictwem w podmiocie podlegającym wpisowi do KRS,[49]
  • bank przetwarza dane do celów jedynie do celów statystycznych,[50]
  • bank przetwarza dane w zakresie numeru umowy kredytowej oraz ich usunięcia przez instytucję upoważnioną m.in. do zbierania i udostępniania informacji o wierzytelnościach, gdyż jest niezbędne dla dochodzenia roszczeń,[51]
  • towarzystwo ubezpieczeń dochodzi i broni się przed roszczeniami związanymi z zawartymi ze Skarżącym umowami ubezpieczenia i zgłoszoną szkodą i wypłatą świadczenia w związku z zajściem zdarzenia ubezpieczeniowego oraz w zw. z postępowaniem Inspektora Ochrony Danych Towarzystwa w sprawie sprzeciwu Skarżącego wobec przetwarzania jego danych w celach archiwalnych,[52]
  • zarządca nieruchomości udostępnia dane jednostce budżetowej miasta na potrzeby windykacji należności z tytułu bezumownego korzystania z gruntu,[53]
  • Prezes Sądu Okręgowego tylko w niezbędnym zakresie udostępnia dane, które udostępnił sam Skarżący, w oświadczeniu zamieszczonym na stronie internetowej Sądu i jako podmiot reprezentujący tę instytucję na zewnątrz odnosi się do wymawianych publicznie zarzutów kierowanych pod adresem sędziów, w tym personalnie do osoby je formułującej,[54]
  • bank pozyskuje informacje o kraju rezydencji podatkowej klienta oraz jego statusu rezydenta podatkowego w innych krajach, gdyż Bank - jako płatnik zryczałtowanego podatku dochodowego od osób fizycznych, naliczanego od uzyskiwanych przez klienta dochodów z odsetek od środków pieniężnych zgromadzonych na jego rachunku bankowym jest zobowiązany do pozyskiwania tych danych celem wypełnienia ciążącego na nim obowiązku płatniczego oraz sprawozdawczego,[55]
  • wierzyciel przetwarza dane: imiona, nazwiska, adres i datę zameldowania na pobyt stały oraz stopień pokrewieństwa ze spadkodawcą ponieważ wierzyciel ma prawnie uzasadniony interes do dochodzenia spłaty zadłużenia spadkodawcy od jego następców prawnych wynikający z art. 922 § 1 kodeksu cywilnego,[56]
  • Zarząd spółki wykorzystuje adres email byłego wspólnika w celu poinformowania kontrahentów o zmianie we władzach spółki,[57]
  • podmiot świadczący usługi drogą elektroniczną udostępnia adres IP ponieważ adres IP nie zawsze może być traktowany jako dane osobowe. Gdy adres IP jest na dłuższy okres czasu lub na stałe przypisany do konkretnego urządzenia, a urządzenie to przypisane jest konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową i pozwala na jego identyfikację,[58]
  • spółdzielnia mieszkaniowa udostępnia najemcy lokalu dane o współwłaścicielach, o wysokości miesięcznych opłat należnych za ten konkretny lokal z podziałem na części składowe w związku z przepisami dot. ubiegania się, przyznawania i obliczania dodatku mieszkaniowego,[59]
  • prezydent miasta wykorzystuje przed sądem karnym w sprawie o pomówienie dane, które zostały zebrane w innym celu (co do zasady obrona praw przed sądem przy wykorzystywaniu wszelkich środków dowodowych, podlegających ocenie niezawisłego sądu, jest działaniem w prawnie uzasadnionym interesie).[60]

Wnioski końcowe

Art. 6 ust. 1 lit. f RODO dotyczy przetwarzania danych osobowych osób, bez ich zgody przez administratora posiadającego uzasadniony prawnie interes. Przy zastosowaniu ww. przepisu za każdym razem należy:

  1. dążyć do minimalizacji przetwarzanych danych,
  2. ocenić, czy nie istnieje inna podstawa przetwarzania,
  3. sprawdzić, czy wszystkie trzy przesłanki stosowania przepisu zostały wypełnione (niezbędność, interes przedsiębiorcy, test równowagi) oraz
  4. przechowywać wyniki testu w formie dokumentu.

Administrator przetwarzający dane na podstawie art. 6 ust. 1 lit. f RODO ma obowiązek  przeprowadzić i udokumentować wyniki testu, poinformować osoby, której dane dotyczą o tym, jakie uzasadnione interesy są realizowane oraz umożliwić jej zgłoszenia  sprzeciwu wobec przetwarzania danych osobowych. 

Jędrzej Klatka

radca prawny, partner zarządzający Kancelarii Radców Prawnych Klatka i Partnerzy w Katowicach, specjalizuje się w prawie administracyjnym, a zwłaszcza prawie ochrony środowiska i prawie zamówień publicznych, ekspert Banku Światowego w dziedzinie publicznego transportu zbiorowego, ekspert Rady Europy w dziedzinie zasad etyki prawników, ekspert Polskiej Izby Ekologii w dziedzinie Prawa ochrony środowiska Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

Artykuł pochodzi z Biuletynu Euro Info 11/2021

Przeczytaj więcej takich artykułów w strefie Wiedzy PARP


[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych), Dz. U. UE. L. 2016. 119. 1 (dalej jako: RODO).

[2] Odlanicka-Poczobutt M. , Szyszka-Schuppik A., Bezpieczeństwo danych osobowych w świetle nowych przepisów (RODO) – przegląd historyczny, http://yadda.icm.edu.pl/baztech/element/bwmeta1.element.baztech-9622869c-4642-4535-93cf-68ae406d77de [dostęp: 22.10.2021 r. godz. 8.00].

[3] Administrator jest natomiast zobowiązany do wypełnienia m. in. obowiązków informacyjnych wobec osób, których dane przetwarza, co umożliwia im złożenie sprzeciwu.

[4] Wytyczne 05/2020 dotyczące zgody na mocy rozporządzenia 2016/679 Wersja 1.1 Przyjęta dnia
4 maja 2020 r.

https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_pl.pdf [dostęp: 16.10.2021 r. godz. 12.04].

[5] D. Lubasz, W. Chomiczewski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018, art. 6. s. 392.

[6] Ibidem.

[7] https://grantthornton.pl/publikacja/prawnie-uzasadniony-interes-administratora-jako-podstawa-przetwarzania-danych-osobowych/ [dostęp: 21.10.2021 r. godz. 16.00].

[8] Zgodnie z art. 5 ust. 1 lit. c. RODO: adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

[9] https://grantthornton.pl/publikacja/prawnie-uzasadniony-interes-administratora-jako-podstawa-przetwarzania-danych-osobowych/  [dostęp: 21.10.2021 r. godz. 16.00].

[10] Patrz dalej rozdz. III.

[11] W opinii Grupy Roboczej art. 29 nr 6/201417 wskazano, że prawnie uzasadniony interes administratora danych (lub osoby trzeciej) musi być wyważony względem interesów związanych z podstawowymi prawami i wolnościami osoby, której dane dotyczą.

Kinga Kowalska, Monitoring wizyjny w zakładzie pracy w kontekście ogólnego rozporządzenia o ochronie danych (RODO),  2019, MOP 2019, Nr 6, str. 316, https://sip.legalis.pl/documentfull.seam?documentId=mjxw62zogi3damrsgiydimi#tabs-metrical-info  [dostęp: 25.10.2021 r. godz. 7.45].

[12] https://grantthornton.pl/publikacja/prawnie-uzasadniony-interes-administratora-jako-podstawa-przetwarzania-danych-osobowych/ [dostęp: 21.10.2021 r. godz. 16.00].

[13] Np. WSA w Warszawie w wyroku z dnia 13.04.2021 r. sygn. akt II SA/Wa 1898/20, orzekł, że umowa sprzedaży bazy danych nie jest wystarczającą przesłanką legalizującą proces przetwarzania; odmienne stanowisko oznaczałoby możliwość swoistego następczego wykreowania podstawy prawnej dla procesu przetwarzania; tymczasem zachodziłby brak podstawy pierwotnej w przepisach o ochronie danych osobowych; takie działanie narusza interesy Wnioskodawcy; nie może się on bowiem spodziewać przetwarzania; w konsekwencji ograniczona to możliwość realizacji jego praw - w tym m.in. podjęcia czynności zmierzających do wstrzymania przetwarzania przez administratora; w tych okolicznościach interesy Wnioskodawcy są nadrzędne wobec interesu administratora; w związku z tym - pozyskując i przetwarzając dane - Spółka naruszyła art. 6 ust. 1 RODO. https://orzeczenia.nsa.gov.pl/doc/6F4D63ACA8  [dostęp: 2021-10-24 22:50].

[14] Chodzi przykładowo o takie działania jak: prowadzenie analityki korzystania z serwisu internetowego, przetwarzanie danych pracowników w celu organizacji wyjazdów służbowych lub szkoleń, udostępnianie przez agencję rekrutacyjną przesłanych aplikacji potencjalnym pracodawcom, przetwarzanie danych pracowników kontrahenta w celach kontaktowych, czy śledzenie floty samochodów z wykorzystaniem technologii GPS. https://grantthornton.pl/publikacja/prawnie-uzasadniony-interes-administratora-jako-podstawa-przetwarzania-danych-osobowych/  [dostęp: 21.10.2021 r. godz. 16.00].

[15] Obejmuje dane ujawniające: pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, jak i dane dotyczące zdrowia i życia seksualnego. Prawodawca wprowadził przy tym rozbudowany katalog odstępstw od zakazu (art. 9 ust. 2), w szczególności związanych z realizacją uzasadnionego interesu prawnego administratora danych (np. przetwarzanie danych w ramach stosunku pracy), ochrony żywotnych interesów podmiotu danych czy świadczenia usług medycznych.

[16] M. Rojszczak, 4.5.1. Podstawowe zasady przetwarzania [w:] Ochrona prywatności w cyberprzestrzeni z uwzględnieniem zagrożeń wynikających z nowych technik przetwarzania informacji, Warszawa 2019. https://sip.lex.pl/#/monograph/369454046/383364/rojszczak-marcin-ochrona-prywatnosci-w-cyberprzestrzeni-z-uwzglednieniem-zagrozen-wynikajacych-z...?cm=URELATIONS (dostęp: 2021-10-24 22:52)

[17] https://prawo.gazetaprawna.pl/artykuly/1268725,prawnie-uzasadniony-interes-jako-podstawa-przetwarzania-danych.html [dostęp: 19.10.2021 r. godz. 11.05].

[18] P. Fajgielski, Komentarz do art. 6 (w:) red. P. Fajgielski, Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018.

[19] https://grantthornton.pl/publikacja/prawnie-uzasadniony-interes-administratora-jako-podstawa-przetwarzania-danych-osobowych/  [dostęp: 21.10.2021 r. godz. 16.00].

[20] D. Lubasz, W. Chomiczewski [w:] RODO. Ogólne rozporządzenie ... str. 396-397.

[21] https://grantthornton.pl/publikacja/prawnie-uzasadniony-interes-administratora-jako-podstawa-przetwarzania-danych-osobowych/  [dostęp: 21.10.2021 r. godz. 16.00].

[22] Grupa Robocza Art. 29 Wytyczne w sprawie przejrzystości na podstawie rozporządzenia 2016/679 Przyjęte dnia 29 listopada 2017 r. Ostatnio zmienione i przyjęte w dniu 11 kwietnia 2018 r. https://gdpr.pl/wytyczne-grupy-roboczej-art-29-w-sprawie-przejrzystosci-na-mocy-rozporzadzenia-2016-679 [dostęp: 25.10.2021 r. godz. 13.18].

[23] D. Lubasz, W. Chomiczewski [w:] RODO. Ogólne rozporządzenie ... str. 393.

[24] D. Lubasz, W. Chomiczewski [w:] RODO. Ogólne rozporządzenie ... str. 399.

[25] D. Lubasz, W. Chomiczewski [w:] RODO. Ogólne rozporządzenie ... str. 397.

[26] https://capitallegal.pl/rodo-a-zgody-marketingowe/ [dostęp: 22.10.2021 r. godz. 14.11].

[27] m.in. art. 172 ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (t. j. Dz. U. z 2021 poz. 576) Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.

[28] m.in. art. 10 ust. 1 i 2  ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t. j. Dz. U. 2020 poz. 344) Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.

[29] P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Legalis 2018.

  1. Glumińska-Pawlic, B. Przywora, A. Słysz (red.), Identyfikacja barier prawnych w prowadzeniu działalności gospodarczej. Wybrane zagadnienia, Warszawa 2020 Rozdz. XX RODO jako bariera w prowadzeniu działalności. https://sip.legalis.pl/document-full.seam?documentId=mjxw62zogi3damrxheydcmq#tabs-metrical-info

[30] Wyrok NSA  z dnia 6.06.2005 r. sygn. akt. I OPS 2/05 https://orzeczenia.nsa.gov.pl/doc/B34A87CD32 .

[31] Wyrok NSA z 19.05. 2011 r.  sygn. akt I OSK 1079/10.

[32] NSA w wyroku z 21.08.2013 r. sygn. akt I OSK 1666/12 orzekł, że Nieuzasadnione niczym jest twierdzenie, że ktoś wypowiadający się anonimowo, w sposób naruszający dobra innych podmiotów ma podlegać szczególnej ochronie i to jego dane osobowe są dobrem, które ustawodawca miał zamiar chronić w pierwszej kolejności". Oceny w tym zakresie dokonuje bowiem właściwy sąd, a Skarżący ma prawo korzystać z ochrony przed sądem, o ile czuje się zniesławiony.

[33] Jeżeli skarżący wniósł prywatny akt oskarżenia w sprawie o przestępstwo z art. 212 k.k. Uzasadnione jest zatem uzyskanie numeru IP komputera użytkownika posługującego się nickiem na portalu internetowym, ponieważ podstawą jest ochrona prawa Skarżącego, w tym szczególnie jego dobrego imienia, której zamierza dochodzić przed sądem. Wyrok WSA w Warszawie z 3.02. 2010 r. sygn. akt II SA/Wa 1598/09.

[34] K. Sztobryn, A. Urbanek, Dochodzenie odszkodowania za korzystanie z torrentów. Omówienie wyroku TS z dnia 17 czerwca 2021 r., C-597/19 (CNIL), LEX/el. 2021. https://sip.lex.pl/#/publication/151389357/sztobryn-karolina-urbanek-anna-dochodzenie-odszkodowania-za-korzystanie-z-torrentow-omowienie...?cm=URELATIONS  [dostęp: 24.10.2021 r. godz. 22:56].

[35] D. Lubasz, W. Chomiczewski [w:] RODO. Ogólne rozporządzenie ... str . 396.

[36] Arkadiusz Sobczyk Processing employee data under art. 6 paragraph 1 point f) GDPR (Przetwarzanie danych pracowniczych na podstawie art. 6 ust. 1 lit. f RODO), Praca i zabezpieczenie społeczne 12/2018, https://ruj.uj.edu.pl/xmlui/bitstream/handle/item/70259/sobczyk_processing_employee_data_under_art_6_paragraph_1_point_6_gdpr_2018.pdf?sequence=2&isAllowed=y [dostęp: 25.10.2021 r. godz. 10.00].

[37]https://sip.legalis.pl/document-full.seam?documentId=mjuwelrsgyydgmryhe3to [dostęp: 25.10.2021 r. godz. 10.05].

[38]Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 2020 poz. 1320)

[39] prof. UAM dr hab. Anna Musiała, Władza publiczna „rozproszona” w prawie pracy – dylematów systemowych w prawie ciąg dalszy, 2020, MOPR 2020, Nr 8, str. 9.

https://sip.legalis.pl/document-full.seam?documentId=mjxw62zogi3damrwgq3temq#tabs-metrical-info  [dostęp: 25.10.2021 r. godz. 10.20].

[40] Wyrok WSA w Warszawie z 3 .02.2010 r. sygn. akt II SA/Wa 1598/09 https://orzeczenia.nsa.gov.pl/doc/AD6FF02867 .

[41] wyrok Sądu Najwyższego z 19.11.2003 r. sygn. akt  I PK 590/02 http://www.sn.pl/sites/orzecznictwo/orzeczenia1/i%20pk%20590-02-1.pdf .

[42]https://ruj.uj.edu.pl/xmlui/bitstream/handle/item/70259/sobczyk_processing_employee_data_under_art_6_paragraph_1_point_6_gdpr_2018.pdf?sequence=2&isAllowed=y [dostęp: 25.10.2021 r. godz. 10.25].

[43] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 20.11.2019 r. sygn. ZKE.440.54.2019, Pismo z dnia 20.11.2019 r., https://uodo.gov.pl/decyzje/ZKE.440.54.2019

[44] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 27 maja 2020 r. sygn. ZKE.440.66.2019, https://uodo.gov.pl/decyzje/ZKE.440.66.2019

[45] Ustawa z dnia 23 kwietnia 1964 r.  Kodeks cywilny (t. j. Dz. U. z 2020 poz. 1740).

[46] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 30 kwietnia 2020 r. sygn. ZKE.440.5.2019, https://uodo.gov.pl/decyzje/ZKE.440.5.2019

[47] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 23.04.2020 r. sygn. ZKE.440.22.2019, https://uodo.gov.pl/decyzje/ZKE.440.22.2019

[48] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 24.12.2019 r. sygn. ZKE.440.57.2019, https://uodo.gov.pl/decyzje/ZKE.440.57.2019

[49] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 23.12.2019 r. sygn. ZKE.440.70.2019, https://uodo.gov.pl/decyzje/ZKE.440.70.2019

[50] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 23.12.2019 r. sygn. ZKE.440.17.2019, https://uodo.gov.pl/decyzje/ZKE.440.17.2019

[51] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 6.11.2019 r. sygn. ZKE.440.44.2019,

https://uodo.gov.pl/decyzje/ZKE.440.44.2019

[52] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 18.10.2019 r. sygn. ZSPR.440.998.2018, https://uodo.gov.pl/decyzje/ZSPR.440.998.2018

[53] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 25.04.2019 r., sygn. ZSPU.440.469.2018, https://uodo.gov.pl/decyzje/ZSPU.440.469.2018

[54] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 9.08.2019 r., sygn. ZSOŚS.440.157.2018, https://uodo.gov.pl/decyzje/ZSO%C5%9AS.440.157.2018

[55] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 5.06.2020 r. sygn. ZKE.440.52.2019, https://uodo.gov.pl/decyzje/ZKE.440.52.2019

[56] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 20.12.2018  r. sygn.. ZSPR.440.370.2018, https://uodo.gov.pl/decyzje/ZSPR.440.370.2018

[57] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 19.02.2019 r.  sygn. ZSZZS.440.658.2018, https://uodo.gov.pl/decyzje/ZSZZS.440.658.2018

[58] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 21.03.2019 r. sygn. ZSPR.440.195.2019, https://uodo.gov.pl/decyzje/ZSPR.440.195.2019

[59] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 11 kwietnia 2019 r. sygn. ZSPU.440.840.2018, https://uodo.gov.pl/decyzje/ZSPU.440.840.2018

[60] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 15.05.2019 r. sygn. ZSPU.440.423.2018, https://uodo.gov.pl/decyzje/ZSPU.440.423.2018

Zobacz więcej podobnych artykułów