Niezależnie od ogromnej chęci dysponowania danymi osobowymi, duża liczba firm musi stosować się do powszechnie obowiązujących regulacji prawnych. Te z kolei są bardzo restrykcyjne i przewidują ściśle określone zasady związane nie tylko z gromadzeniem i udostępnianiem danych osobowych, ale także z ich przetwarzaniem.
Przetwarzanie danych osobowych w prawie każdym państwie świata wymaga zgody konkretnej osoby na dokonanie takiej czynności. Zgodnie z treścią art. 23 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
- jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
- jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Zgodnie z treścią art. 8 ust. 2 Europejskiej Konwencji o Ochronie Praw Człowieka, niedopuszczalna jest ingerencja władzy publicznej w korzystanie z prawa do poszanowania życia prywatnego i rodzinnego, z wyjątkiem przypadków przewidzianych przez ustawę i koniecznych w demokratycznym społeczeństwie z uwagi na bezpieczeństwo państwowe, bezpieczeństwo publiczne lub dobrobyt gospodarczy kraju, ochronę porządku i zapobieganie przestępstwom, ochronę zdrowia i moralności lub ochronę praw i wolności innych osób. Powyższe okoliczności stanowią zatem owe niezbędne zadania realizowane dla dobra publicznego, które uzasadniają przetwarzanie danych osobowych nawet bez zgody ich właściciela.
Zgoda na przetwarzanie danych może obejmować także przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania. Wyjątkowo jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie jej zgody na przetwarzanie jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe. Jak podkreśla J. Barta „Żywotnymi interesami w rozumieniu komentowanego przepisu są takie interesy, które zasługują na to, by przyznawać im pierwszeństwo przed interesem zachowania danych osobowych w poufności. Żywotne interesy przeważają zatem nad interesami nakazującymi uzależniać przetwarzanie danych osobowych od zgody zainteresowanego. Muszą być to interesy o dużym znaczeniu, doniosłe, np. zdrowie, życie, nie należy tu także wykluczać interesów majątkowych. Ocena, czy w danym przypadku mamy do czynienia z takimi właśnie interesami oraz czy zainteresowany nie jest w stanie sam tych interesów w inny sposób chronić, znajduje się właściwie w rękach przetwarzającego dane (administratora). Jego decyzje w tej mierze nie mają jednak ani rozstrzygającego i ostatecznego charakteru, ani też nie są to decyzje samowolne i arbitralne. Polegają na wyważaniu interesów. W zasadzie przetwarzanie danych osobowych powinno być dopuszczone w takich przypadkach, w których racjonalnie można zakładać, iż zainteresowany – gdyby istniała taka możliwość – udzieliłby swego zezwolenia. W razie sporu wspomniane decyzje będą podlegać kontroli sądowe”.
Pamiętajmy, że zgoda konkretnej osoby na gromadzenie, przetwarzanie i udostępniania jej danych nie może być w żadnym przypadku domniemana. Jak podkreśla ustawodawca ilekroć w ustawie jest mowa o zgodzie osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.
Zgodnie z wyrokiem WSA w Warszawie z dnia 11 grudnia 2008 r. (sygn. akt II SA/Wa 1061/08), zgoda na przetwarzanie danych osobowych ma charakter oświadczenia woli. Winna być ona wyraźna. Nie wystarczy zatem samo powiadomienie o zamiarze przetwarzania danych i brak sprzeciwu z drugiej strony. Zgoda nie musi być, co prawda, udzielona na piśmie, ale winna jasno i jednoznacznie prezentować wolę zainteresowanego i jej zakres. Udzielający zgody musi być przy tym zorientowany, o jakie dane chodzi i o jakie ich przetwarzanie, w tym zwłaszcza, do jakich celów. Sposób poinformowania musi być zrozumiały i nie może dotyczyć bliżej niedookreślonych czynności. Przetwarzanie i wykorzystanie danych powinno następować tylko w tym celu, dla którego zostały pozyskane i cel ten powinien być znany osobie, której dane dotyczą. Oznacza to obowiązek informowania o celu gromadzenia i zakaz zbierania danych na zapas, dla nieokreślonych lub niedających się określić celów.
Zgodnie z wyrokiem WSA w Warszawie z dnia 21 października 2010 r. (sygn. akt II SA/Wa 857/09), podmiot danych osobowych ma prawo kształtować swoją sytuację prawną w sferze własnych danych osobowych, a zatem również wycofać zgodę na przetwarzanie danych. Nie można więc podzielić poglądu, że zgoda jest oświadczeniem woli nieodwoływalnym. Do 7 marca 2011 r. możliwość odwoływania zgody na przetwarzanie danych osobowych nie była na tyle jasna, że w praktyce wiele firm odmawiało wnioskodawcom wycofania danych z baz przedsiębiorców. Na szczęście po tej dacie weszła w życie nowelizacja ustawy o ochronie danych osobowych, która pozwala zainteresowanym na skuteczne cofnięcie omawianej zgody i powołanie się w związku z tym na wyraźną podstawę prawną, jaką jest art. 7 pkt powyższego aktu prawnego. Przetwarzania danych osobowych uprawnia wyłącznie działanie legalne, a więc znajdujące oparcie w przepisie prawa, podjęte przez podmiot do działania umocowany i wykonujący czynności w ramach tego umocowania.
Wyrażenie zgody na przetwarzanie jej danych nie oznacza, że zgoda ta jest bezterminowa i że konkretna osoba nie ma prawa ingerencji w proces przetwarzania. Każdej osobie przysługuje bowiem prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane.
Pamiętajmy, że w razie wykazania przez osobę, której dane osobowe dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych jest obowiązany, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy. W razie niedopełnienia przez administratora danych powyższego obowiązku, osoba, której dane dotyczą, może się zwrócić do Generalnego Inspektora z wnioskiem o nakazanie dopełnienia tego obowiązku. Administrator danych jest obowiązany poinformować bez zbędnej zwłoki innych administratorów, którym udostępnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu danych.
