W aktualnym stanie prawnym jako jedna z podstaw legalnego przetwarzania danych osobowych wskazany został tzw. prawnie usprawiedliwiony cel realizowany przez administratora danych albo odbiorców danych. Zgodnie z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych przetwarzanie danych jest dopuszczalne gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Zgodnie z ust. 4 w/w przepisu a prawnie usprawiedliwiony cel uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Zarówno w doktrynie, jak w orzecznictwie utrwaliło się stanowisko, zgodnie z którym katalog wskazany w art. 23 ust. 4 ustawie o ochronie danych osobowych ma charakter otwarty, tym samym możliwe jest wskazywanie innych przykładów przetwarzania danych, które mogą być uznane za legalne, z uwagi na realizację prawnie usprawiedliwionego celu administratora danych lub odbiorcy. Tym samym przepis ten stanowi niejako „wentyl bezpieczeństwa” – w sytuacji w której brak jest innej podstawy prawnej, a z okoliczności konkretnego stanu faktycznego wynika, że przetwarzanie danych jest uzasadnione i niezbędne zasadne jest powoływanie się na prawnie usprawiedliwiony cel jako przesłankę legalnego przetwarzania danych.

Sztandarowym przykładem może być przetwarzanie danych w związku ze  stosowaniem monitoringu wizyjnego w celu zapewnienia bezpieczeństwa osób lub mienia na terenie objętym zasięgiem kamer CCTV. Brak jest przepisów prawa które regulowałyby w sposób kompleksowy kwestie związane ze stosowaniem monitoringu (poza wyjątkowymi przykładami – np. w zw. z art. 11 ustawy z dnia 20 marca 2009 r. o bezpieczeństwie imprez masowych). Zatem w sytuacji w której monitoring pozwala na pośrednią lub bezpośrednią identyfikację osób fizycznych należy stosować ogólne przepisy ustawy o ochronie danych osobowych. W ogólnych przepisach brak jest przesłanki która wskazywałaby wprost, że przetwarzanie danych w związku z monitoringiem jest legalne. Jednocześnie rozwiązanie to jest tak popularne i powszechnie stosowane (i jak się wydaje w wielu sytuacjach uzasadnione względami bezpieczeństwa), że nie sposób uznać, że samo w sobie jest nielegalne. Stąd jedynym rozwiązaniem jest powołanie się na prawnie usprawiedliwiony cel administratora danych. Zresztą przy wypełnieniu wniosku o rejestrację zbioru danych na stronie GIODO jeden z przykładowych środków ochrony fizycznej danych który można zaznaczyć, to kontrola pomieszczeń przez system monitoringu z zastosowaniem kamer przemysłowych.

Ciekawym przykładem powoływania się na prawnie uzasadniony cel odbiorcy danych jest sytuacja w której osoba trzecia zwraca się do administratora danych o udostępnienie danych innej osoby. Sytuacja taka często miała miejsce w przypadku zamieszczania obraźliwych komentarzy w sieci. Wobec braku innej podstawy prawnej GIODO wielokrotnie wskazywał, że podstawę prawną udostępnienia danych osobowych (w szczególności nr IP) osoby która narusza dobra osobiste w sieci jest właśnie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych (np. decyzja nr DOLiS/DEC-611/15).

Warto przy tym pamiętać, że przesłanka ta może dotyczyć wyłącznie tzw. danych zwykłych, jako że w przypadku tzw. danych wrażliwych, o których mowa w art. 27 ust. 1 ustawy o ochronie danych osobowych zamknięty katalog przesłanek umożliwiających legalne przetwarzanie tego typu danych zawarty został w art. 27 ust. 2 ustawy o ochronie danych osobowych.

W praktyce mogą pojawiać się także różne inne przykłady prawnie uzasadnionych celów administratora danych lub odbiorcy tych danych.

Zwięzłe przepisy ustawy o ochronie danych osobowych zostaną zastąpione z dniem 25 maja 2018 r. przez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej RODO).

Przesłanki niezbędne dla wykazania legalności przetwarzania tzw. zwykłych danych osobowych zostały wymienione w art. 6 RODO. Jedną z przesłanek stanowią prawnie uzasadnione interesy realizowane przez administratora danych lub przez stronę trzecią. Przepis wskazuje, że przetwarzanie jest zgodne z prawem jeśli jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO).

Tutaj wypada mieć na uwadze pewną nowość, która w praktyce może sprawić wiele problemów w przyszłości. Mianowicie RODO przewiduje, że ta przesłanka nie znajduje zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. Tak jak już zostało wcześniej wspomniane aktualnie zdecydowana większość podmiotów stosujących monitoring wizyjny (zarówno prywatnych jak i z sektora publicznego) odwołuje się do przesłankę „prawnie usprawiedliwionego celu”. Wobec braku szczególnych uregulowań w tym zakresie należy poddać w wątpliwość legalność stosowania monitoringu przez organy publiczne po dacie 25 maja 2018 r. W niektórych przypadkach, np. w odniesieniu do gmin, zasadne może być odwoływanie się do ogólnych przepisów np. ustawy o strażach gminnych (art. 11 ust. 1 pkt 1 - zadaniem straży jest ochrona spokoju i porządku w miejscach publicznych) oraz rozporządzenia Rady Ministrów w sprawie sposobu obserwowania i rejestrowania przy użyciu środków technicznych obrazu zdarzeń w miejscach publicznych przez straż gminną (co jednak będzie to dotyczyć wyłącznie monitoringu miejskiego). Pewną furtkę może stanowić też art. 6 ust. 1 pkt 3 RODO, który zezwala na przetwarzanie danych gdy jest to niezbędne do wykonania zadania realizowanego w interesie publicznym. Niemniej jednak dla uniknięcia wątpliwości interpretacyjnych z całą pewnością kwestia stosowania monitoringu wizyjnego powinna zostać możliwie pilnie uregulowana w akcie rangi ustawowej.

Przepisy RODO nie wskazują wprost co należy rozumieć pod pojęciem „prawnie uzasadnionego interesu”, z założenia bowiem przesłanka ta powinna mieć charakter elastyczny (podanie zamkniętego katalogu przykładów z całą pewnością nie jest możliwe). Kwestia ta została ponadto bardziej szczegółowo omówiona w motywie 47 RODO. W motywie wskazano, że prawnie uzasadnione interesy mogą dotyczyć nie tylko administratora który dane przetwarza, ale także administratora, któremu dane mogą zostać ujawnione lub też strony trzeciej (np. osoby fizycznej). Warunkiem jest, to aby w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie były interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Takie postawienie sprawy wydaje się zdecydowanie bardziej czytelne i zrozumiałe niż aktualne brzemiennie przepisu art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Nacisk położony bowiem został na konieczność wyważania interesów osoby której dane dotyczą wobec interesów innego podmiotu czy osoby. Aktualny zapis wskazujący, że przetwarzanie nie może  naruszać praw i wolności osoby nie był zbyt fortunny – bowiem w wielu przypadkach może być tak, że przetwarzanie danych w jakimś sensie będzie naruszało interes czy prawo i wolność osoby, jednak analiza sytuacji wykaże, że prawo innej osoby (np. takiej, która wobec naruszenia jej dobrego imienia) będzie miało charakter nadrzędny. Rozstrzygnięcia konkretnych przypadków zawsze będą wymagały analizy ad casum, zależnie od konkretnego stanu faktycznego.

Z motywu 47 wynika także, że prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu.

Wskazane także zostały przykłady sytuacji, które mogą być uznane za przetwarzanie danych w prawnie uzasadnionym interesie administratora, którego sprawa dotyczy. Są to: przetwarzanie danych osobowych do celów marketingu bezpośredniego (podobnie jak obecnie) oraz przetwarzanie danych osobowych bezwzględnie niezbędne do zapobiegania oszustwom (co nie było wprost wskazane w aktualnej ustawie o ochronie danych osobowych). Niemniej jednak należałoby uznać, że dotychczasowy dorobek doktrynalny i orzeczniczy powinien być uwzględniany w przyszłości. Katalog prawnie uzasadnionych interesów także należy uznać za otwarty – a przykłady wskazane w preambule jako pewnego rodzaju wskazówki. Warto mieć bowiem na uwadze, że dominujące stanowisko prezentowane w doktrynie i orzecznictwie (zarówno polskim jak i europejskim) wskazuje, że preambuła nie ma sama w sobie mocy prawnej, a ma służyć jedynie prawidłowej interpretacji przepisów zawartych w ogólnym rozporządzeniu o ochronie danych.

Warto przy tym zwrócić uwagę na konieczność szerszej realizacji obowiązków informacyjnych (pierwotnego i wtórnego). Zgodnie z art. 13 ust. 1 lit d RODO w przypadku zbierania danych osobowych od osoby, której dane dotyczą  administrator podczas pozyskiwania danych osobowych ma m. in. obowiązek podać prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią (jeżeli przetwarzanie odbywa się na tej podstawie). Podobnie w przypadku tzw. wtórnego obowiązku informacyjnego – zgodnie z art. 14 ust. 2 lit. b RODO - jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) administrator powinien podać w momencie realizacji obowiązku informacyjnego prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią. Tym samym w tych przypadkach, w których podstawę przetwarzania stanowią prawnie uzasadnione interesy administratora w celu zapewnienia rzetelności i przejrzystości przetwarzania powinny być one podane do wiadomości osobom, których dane dotyczą.

Henryk Hoser

audytor JDS Cosnulting sp. z o.o. sp.k., aplikant adwokacki