Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Ocena celowości przetwarzania danych osobowych

22-09-2020 Autor: Jan Byrski, Henryk Hoser

W niniejszym artykule przyjrzymy się wyrokowi NSA, który dotyczy stosunkowo rzadko poruszanej w orzecznictwie zasady celowości przetwarzania („ograniczenia celu”), w tym potrzeby uwzględniania okoliczności zebrania danych osobowych.

 

Zazwyczaj różnego rodzaju uproszczenia przy świadczeniu usług przyjmowane są przez klientów z entuzjazmem. W opisanym przypadku było jednak inaczej. Klient jednego z banków, któremu nadano jeden login umożliwiający zarówno dostęp do prywatnej bankowości elektronicznej, jak i do konta firmowego, uznał, że takie rozwiązanie narusza przepisy o ochronie danych osobowych. W jego ocenie „połączenie” dwóch rodzajów bankowości elektronicznej – w jednym banku – oraz wykorzystanie jego danych kontaktowych zebranych przy okazji zawierania różnych umów naruszyło m.in. zasadę ograniczenia celu przetwarzania danych osobowych.


Sprawa, którą zainicjowała skarga do ówczesnego organu nadzoru, tj. GIODO doczekała się ostatnio rozstrzygnięcia. NSA częściowo podzielił argumentację skarżącego, uchylając wyrok WSA w Warszawie, który wcześniej oddalił jego skargę, oraz poprzedzające ten wyrok decyzje GIODO. Sprawa jest ciekawa nie tylko z tego powodu, że dotyczy stosunkowo rzadko poruszanej w orzecznictwie celowości przetwarzania („ograniczenia celu”), ale także dlatego, że decyzja organu nadzoru została wydana w poprzednio obowiązującym stanie prawnym. W związku z tym znaczna część uwag zawartych w uzasadnieniu wyroku NSA może wydawać się nieaktualna, zwłaszcza że wskutek uchylenia decyzji organu będzie on musiał wydać nową decyzję, w której powinien uwzględnić aktualny stan prawny, obowiązujący w dacie orzekania1.


Różne cele i podstawy przetwarzania


Na wstępie warto zauważyć, że dane tej samej osoby fizycznej, w zależności od okoliczności ich zebrania, mogą być przetwarzane w różnych celach i na różnych podstawach prawnych. Kwestie właściwych podstaw prawnych nie były niestety odpowiednio uwypuklone w analizowanej sprawie, ponieważ skarżący zasadniczo nie kwestionował samej możliwości przetwarzania jego danych osobowych przez bank. Jego żądanie, dotyczące zaprzestania przetwarzania danych, dotyczyło konkretnych celów, w jakich dane były wykorzystywane.


Każdy cel przetwarzania zawsze powinien być jednak powiązany z konkretną podstawą prawną określoną obecnie w art. 6 ust. 1 rodo (dane zwykłe) lub art. 9 ust. 2 rodo (dane wrażliwe). Wydaje się zatem, że warto najpierw rozważyć podstawy prawne, jakie mogły znaleźć zastosowanie w kontekście przetwarzania danych osobowych skarżącego. W analizowanej sprawie sam skarżący – jak się wydaje błędnie – przyjął, że podstawę prawną przetwarzania jego danych, niezależnie od okoliczności ich zebrania, stanowi art. 23 ust. 1 pkt 3 uchylonej już ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: uodo z 1997 r.) (odpowiednik obecnego art. 6 ust. 1 lit. b rodo). Tymczasem wskazana podstawa prawna może znaleźć zastosowanie wyłącznie w przypadku, w którym osoba, której dane dotyczą, jest lub ma być stroną umowy, a przetwarzanie jest niezbędne do wykonania umowy lub podjęcia działań na żądanie tej osoby przed jej zawarciem.


Należy w związku z tym wyraźnie rozróżnić dwie sytuacje, a mianowicie:
1) przetwarzanie danych zebranych na potrzeby zawarcia i wykonywania umowy z klientem indywidualnym;
2) przetwarzanie danych zebranych na potrzeby zawarcia i wykonywania umowy z klientem korporacyjnym (tutaj spółką).


W pierwszym przypadku dane osobowe osoby fizycznej mogą być przetwarzane na podstawie art. 6 ust. 1 lit. b rodo (dawniej art. 23 ust. 1 pkt 3 uodo z 1997 r.), o ile ich przetwarzanie jest niezbędne do realizacji umowy – także w zakresie dostępu do bankowości internetowej. W pewnych okolicznościach może dotyczyć to również danych kontaktowych, takich jak numer telefonu czy adres e-mail. Dane kontaktowe takiej osoby mogą być także przetwarzane na podstawie art. 6 ust. 1 lit. f rodo (dawniej art. 23 ust. 1 pkt 5 uodo z 1997 r.), tj. z uwagi na prawnie uzasadnione interesy administratora danych związane z przetwarzaniem danych w określonych celach, chociażby takich jak dochodzenie roszczeń, marketing usług własnych administratora czy też zapobieganie oszustwom itp.).


W drugim przypadku dane osobowe osoby fizycznej, występującej w roli reprezentanta osoby prawnej, nie mogą być już przetwarzane na podstawie art. 6 ust. 1 lit. b rodo, z tej przyczyny, że reprezentant nie jest stroną umowy zawieranej z bankiem (stroną takiej umowy jest podmiot, który on reprezentuje). Dane osobowe w tym kontekście mogą być jednak legalnie przetwarzane na podstawie art. 6 ust. 1 lit. f rodo. Prawnie uzasadnione interesy mogą być w takim przypadku związane w szczególności z wykonywaniem umowy między stronami i bieżącymi kontaktami z osobą prawną, na rzecz której działa osoba fizyczna, oraz odpowiednio z celami, które można wskazać także w przypadku, w którym stroną umowy jest osoba fizyczna (np. dla celów dochodzenia roszczeń).


Podstawy prawne przetwarzania danych osobowych klienta indywidualnego i osoby reprezentującej spółkę będą zatem różne i powinny być traktowane osobno, co niestety nie zostało wyraźnie rozróżnione w ramach niniejszej sprawy. Jest to o tyle istotne, że od przyjętych podstaw prawnych przetwarzania będą zależały także niektóre uprawnienia przewidziane w rodo, w tym prawo do przenoszenia danych na podstawie art. 20 rodo, które przysługuje wyłącznie w przypadku przetwarzania danych w sposób zautomatyzowany na podstawie zgody lub na podstawie umowy. Prawo to nie będzie zatem przysługiwać, jeśli jedyną podstawą przetwarzania danych jest prawnie uzasadniony interes.


Niezależnie od tego w przypadku działalności bankowej mogą oczywiście występować także inne podstawy prawne, które w tej sprawie w ogóle nie były analizowane (np. art. 6 ust. 1 lit. c rodo z uwagi na obowiązki prawne ciążące na banku związane z prowadzeniem działalności bankowej, takie jak obowiązki wynikające z przepisów ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu).

 

[...]

 

Jan Byrski – autor jest profesorem w Instytucie Prawa Uniwersytetu Ekonomicznego w Krakowie, adwokatem i wspólnikiem w kancelarii Traple Konarski Podrecki i Wspólnicy.
Henryk Hoser – autor jest adwokatem współpracującym z kancelarią Traple Konarski Podrecki i Wspólnicy.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.