Odwołanie zgody na przetwarzanie danych osobowych - dr Jan Byrski (PWSZ w Tarnowie, Kancelaria Prawna Traple Konarski Podrecki)
Swoje wystąpienie prelegent rozpoczął od próby zdefiniowania pojęcia zgody na przetwarzanie danych osobowych - wskazując, iż należy tu sięgnąć do regulacji cywilistycznej, a zatem do 60 KC, zawierającego definicję oświadczenia woli.
Problematyka zagadnienia jest dwojaka:
- jaki podmiot może skutecznie wyrazić zgodę?
- jaki podmiot może skutecznie cofnąć zgodę?
Z całą pewnością złożenie oświadczenia woli nie jest możliwe w przypadku osób poniżej 13 roku życia, jak również co do zasady jest możliwe w przypadku osób powyżej 18 roku życia, posiadających pełną zdolność do czynności prawnych. Problematyczna może wydawać się kwestia osób znajdujących się pomiędzy - tj. mających ukończone lat 13, a nieukończone lat 18 (czy też osoby dorosłe, ale ubezwłasnowolnione częściowo). Jedno ze stanowisk każe w takiej sytuacji wymagać do skutecznego złożenia oświadczenia woli zarówno zgody zainteresowanego, jak i jego przedstawiciela ustawowego (17 KC). Drugie zwraca uwagę na przepis szczególny w stosunku do 17 KC - czyli 20 KC - tzw. umowy należące do umów powszechnie zawieranych w drobnych bieżących sprawach życia codziennego.
Konsekwencja wymaga zatem podzielenia poglądu drugiego - samodzielnego wyrażenia zgody bez zgody przedstawiciela ustawowego - bowiem skoro osoby o ograniczonej zdolności do czynności prawnej mogą bez zgody przedstawiciela ustawowego dokonać np. zakupów w sklepie internetowym, to na jakiej podstawie miano by zabronić im samodzielnego wyrażenia zgody na np. zamówienie newslettera z jakiegoś serwisu www? Autor zastrzega jednak - takie rozumowanie ma zastosowanie w wypadku danych zwykłych, nie zaś danych sensytywnych (27 UoODO).
Interesującym problemem wydaje się być kwestia formy oświadczenia o odwołaniu zgody na przetwarzanie danych osobowych. W przypadku danych zwykłych - może być to forma dorozumiana, byle jasno z niej wynikało, iż zostaje złożone oświadczenie woli. W przypadku danych sensytywnych, wrażliwych - konieczna jest jednak forma pisemna. Pojawia się pytanie - czy są przepisy, na podstawie których udzielona zgoda na przetwarzanie danych osobowych nie może być odwołana? Prelegent stanął na stanowisku, że tak - jako że art. 22 ust. 5 ustawy o działalności ubezpieczeniowej nie mówi wprost o możliwości odwołania zgody - zatem należy przyjąć, iż wolą ustawodawcy było, aby odwołanie takie nie było możliwe (mimo, że jest możliwe na podstawie art. 4 ust. 1 pkt ustawy o świadczeniu usług drogą elektroniczną, art. 174 pkt 3 ustawy prawo telekomunikacyjne, art. 105a ust. 2 zd. 2 ustawy prawo bankowe - gdzie mowa o możliwości odwołania zgody stwierdzona jest explicite). Wskazać jednakże należy na art. 7 pkt 5 UoODO w znowelizowanym brzmieniu, gdzie mowa jest, iż: zgoda może być odwołana w każdym czasie - czyżby miał ów przepis precyzować i wyjaśniać wątpliwości takie jak art. 22 ust. 5 ustawy o działalności ubezpieczeniowej?
Prelegent się także do problemu dotyczącego możliwości dalszego przetwarzania danych osobowych przez ADO po odwołaniu zgody na to przetwarzanie - stając na stanowisku, iż przetwarzanie podstawowych danych osobowych jest jak najbardziej możliwe, jednakże z wyraźnym brakiem zgody co do dalszych, szczegółowych danych. Przykładowo - ADO, wobec braku zgody użytkownika na otrzymywanie wiadomości marketingowych, nie może powołać się na uzyskanie tej zgody na podstawie art. 23 ust. 1 pkt 5 UoODO, wskazując na inny prawnie usprawiedliwiony cel.
W wystąpieniu, odnosząc się do art. 35 ust. 3 UoODO, autor stanął na stanowisku, iż odwołanie zgody na przetwarzanie danych osobowych przez użytkownika nie rodzi po stronie ADO obowiązku wynikającego z tego przepisu odnośnie poinformowania o powyższym innych ADO, którym udostępniono zbiór danych - przyjmując, iż odwołanie zgody na przetwarzanie danych nie jest ani uaktualnieniem, ani sprostowaniem danych.
Udostępnienie danych osobowych po uchyleniu art. 29-30 Ustawy o ochronie danych osobowych - adw. Xawery Konarski (Kancelaria Prawna Traple Konarski Podrecki)
Na początku wystąpienia wskazano na rozróżnienie danych osobowych, wskazane w UoODO - na dane zwykłe (art. 23) oraz dane sensytywne, wrażliwe (art. 27). Znaczenie uchylonych art. 29 i 30 tejże ustawy jest bardzo duże, ponieważ stanowiły one dotąd podstawę do udostępniania tychże danych w celu innym niż włącznie do zbioru danych - po wskazaniu interesu prawnego oraz faktycznego przez żądającego udostępnienia.
Przykład bardzo prosty, na zastosowanie powyższej regulacji - ustalanie podmiotu, który wnioskujący o udostępnienie danych chciałby pociągnąć do odpowiedzialności cywilnej, wytaczając powództwo. Podstawa? Np. zniesławienie, obraza, wykorzystanie wizerunku, naruszenie dóbr osobistych - wpis na forum, Facebook, n-k, blogi... Postępowanie cywilne precyzuje, iż to strona powodowa winna wskazać - oznaczyć - pozwanego, a także wskazać jego adres. W przypadku czynów dokonywanych w formie elektronicznej, bardzo często ustalenie sprawcy - potencjalnego pozwanego - nie jest możliwe inaczej, jak przy współpracy ADO, który na odpowiednio uzasadniony wniosek udostępniał dane osobowe.
W dotychczasowym stanie prawnym sytuacja była dość jasna. Osobno i na innych podstawach prawnych (odpowiednie przepisy ustaw określających kompetencje danych służb czy urzędów) funkcjonowały podmioty, o których mówił 29 ust. 1 UoODO - organy ścigania, sądy itp. Osobno - podmioty, które nie mogły wskazać jednoznacznej podstawy prawnej nakazującej udostępnienie danych osobowych, o których mowa w art. 29 ust. 2 UoODO. To właśnie ta druga grupa podmiotów była najbardziej kontrowersyjna. Konieczne było złożenie umotywowanego pisemnego wniosku, a także wiarygodne uzasadnienie potrzeby wejścia w posiadanie danych - przy jednoczesnym braku naruszenia praw i wolności osób, których dane dotyczą (30 pkt 4 UoODO).
W kontekście zmian i stanu prawnego, z jakim niebawem będziemy mieli do czynienia, należy na początku wskazać, iż nowa podstawa do występowania z wnioskiem przez podmioty, dotychczas działające na podstawie art. 29 ust. 2 UoODO... istniała dotychczas w ustawie w jej pierwotnym brzmieniu. Usunięte przez nowelizację bowiem art. 29 i 30 to nic innego jak lex specialis w stosunku do art. 23 - przepisy precyzujące kwestię zawartą w tym wcześniejszym artykule, wskazujące wprost, kiedy ADO jest zobowiązany do udostępnienia danych na wniosek.
Obecnie - podstawa z art. 23 ust. 1 pkt 2 (ew. także pkt 4) pozostaje jedyną podstawą dla fakultatywnego udostępnienia danych osobowych. Z punktu widzenia udostępnień obligatoryjnych nie zmienia się formalnie nic - także bez wyrażenia zawartego w dotychczasowym art. 29 UoODO konkretne urzędy i organy mają prawo do skutecznego występowania o udostępnienie danych osobowych na podstawie ustaw regulujących ich działalność i kompetencje (przepis ten, de facto, jedynie ogólnie powtarzał w ramach UoODO że takie udostępnienie danych jest możliwe).
Owszem, z punktu widzenia ADO/ABI jest zmiana - odpada bowiem pozytywna przesłanka materialna. Dotychczasowy 29 ust. 2 UoODO wskazywał konkretnie warunki formalne, jakie musiał spełniać wniosek:
- pisemny
- umotywowany
- wiarygodnie uzasadniony
Obecnie - w żaden sposób, usuwając w/w przepis, nie zmieniono art. 23, a zatem obecna UoODO nie reguluje kwestii formy wniosku. Teoretycznie zatem - wystarczy sformułowanie w stylu Proszę udostępnić mi dane osobowe X. Jest wniosek? Jest. Jeśli można po nim zidentyfikować użytkownika - to teoretycznie wszystko jest prawidłowo. Kolejna kwestia - co w przypadku zgłoszenia żądania... telefonicznie? Ustawa tego nie zabrania. Czy zatem wszyscy ADO/ABI winni nagrywać wszelkie rozmowy telefoniczne? Bo przecież jak inaczej udowodnić cokolwiek, w przypadku odmowy takiemu żądaniu telefonicznemu, w ewentualnym późniejszym postępowania przed GIODO?
Zliberalizowanie przesłanek udostępniania danych osobowych to utrudnienie dla ADO/ABI. Dotychczas przesłanki udostępnienia danych - kwestie formalnych wymogów, jakie spełniać musiał wniosek - były jednoznaczne. Oceny wniosku dokonuje przecież ADO/ABI samodzielnie - jak zatem obecnie to zrobić? Właściwie jedyną przesłanką pozostaje... takie sformułowanie wniosku, aby możliwe było w systemie danych użytkowników zlokalizowanie na podstawie wniosku użytkownika, którego danych udostępnienia żąda wnioskodawca. ADO/ABI pozbawieni zostali możliwości oceny zasadności wniosku.
Co więcej - po zmianach, z uwagi na usunięcie 30 UoODO, niemożliwe będzie również odmówienie udostępnienia informacji na podstawie możliwości naruszenia interesów osób trzecich (poza występującym z wnioskiem i tym, kogo wniosek dotyczy). Dotychczas ADO/ADI, rozpatrując wnioski, musiał mieć na uwadze także osoby trzecie i ich dobra - gdy nowelizacja wejdzie w życie, będzie brał pod uwagę jedynie zainteresowanego, składającego wniosek.
Choć nie jest to związane ze zmianami - ciekawym problemem pozostaje kwestia formy, w jakiej ADO/ABI udostępnia lub odmawia udostępnienia danych osobowych. Z pewnością nie mogła by to być żadna decyzja - w KPA ani jakiejkolwiek ustawie brak podstawy ku temu. Tym bardziej - nie może być to wyrok ani postanowienie. Odnośnie terminu - udostępnienie winno nastąpić niezwłocznie (455 KC) - jak to pojęcie rozumieć? Prelegent wskazał na orzecznictwo SN - precyzujące pojęcie na poziomie 7-14 dni.
Osobnym zagadnieniem jest kwestia formy udostępnienia danych osobowych. Prelegent stwierdził, iż nie można wskazać na obowiązek formy umowy pisemnej - jak ma to miejsce przy powierzeniu przetwarzania danych (31 UoODO).
Zwrócił on także uwagę na fakt, iż pod rządami ustawy w dotychczasowym brzmieniu - gdy wnioski musiały być umotywowane, uzasadnione, uwiarygodnione - najwięcej spraw na podstawie UoODO kierowano z uwagi na 51 UoODO (udostępnienie danych osobom nieuprawnionym), co świadczyło o tym, iż nawet przy dość precyzyjnym wskazaniu warunków formalnych, jakie musiał spełniać wniosek o udostępnienie danych, dochodziło na tle rozpoznawania tego wniosku do sporów pomiędzy ADO/ABI a wnioskodawcami. Nietrudno więc dojść do wniosku, że w sytuacji zniesienia spełnienia warunków formalnych przez wniosek - liczba takich postępowań będzie rosła, skoro zabraknie kryteriów oceny zasadności wniosku. Skutkować to będzie zwiększeniem stanu niepewności prawnej co do zagrożenia popełnienia przestępstwa z tegoż 51 UoODO przez ADO/ABI.
Kończąc swoje wystąpienie, prelegent postawił pytanie, czy UoODO upoważnia GIODO do wydania decyzji nakazującej udostępnienie danych osobowych w przypadku odmowy tego udostępnienia ze strony ADO/ABI po złożeniu wniosku na podstawie 23 ust. 1 pkt 2 lub UoODO, zatem w sytuacji wystąpienia z wnioskiem o udostępnienie tzw. fakultatywne? (Moim zdaniem - nie upoważnia, ponieważ na skutek usunięcia 29 UoODO zniknął z UoODO przepis jednoznacznie nakazujący ADO/ABI udostępnienie, na skutek czego nadal istnieje podstawa prawna - 23 UoODO - do żądania udostępnienia fakutlatywnego, jednakże nie ma przepisu, który na ADO/ABI nakładał by obowiązek tego udostępnienia).
0 komentarze:
Prześlij komentarz