W kolejnych artykułach pod wspólną nazwą RODOwskaz znajdziecie Państwo najważniejsze informacje wyjaśniające zapisy ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Kolejne artykuły ukazujące się w tym cyklu będą omawiały zagadnienia poruszone w Rozdziale II art. 6 RODO i dotyczące zgodności przetwarzania z prawem. Oparcie przetwarzania danych na jednej z przesłanek określonych w artykule art. 6 RODO stanowi przejaw realizacji zasady zgodności z prawem (legalności) przetwarzania danych, wyrażonej w art. 5 ust. 1 lit. a RODO.
Artykuł 6 Zgodność przetwarzania z prawem
- Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy
Drugą z przesłanek dopuszczalności przetwarzania danych, określoną w art. 6 ust. 1 lit. b, jest realizacja umowy lub przygotowanie do jej zawarcia.
Zgodnie z brzmieniem omawianego przepisu przetwarzanie jest zgodne z prawem w przypadku, gdy – i w zakresie, w jakim jest „niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy”.
Do zawarcia i należytego wykonania wielu umów konieczne jest przetwarzanie danych osobowych. Zakres danych, jakie są wymagane, zależy od charakteru umowy, rodzaju świadczenia lub innych okoliczności istotnych z punktu widzenia celu przetwarzania danych. Niekiedy wystarczające są podstawowe informacje identyfikujące osobę, której dane dotyczą, i wskazujące adres jej zamieszkania (konieczne np. do wystawienia faktury), w innych przypadkach zakres danych potrzebnych do wykonania umowy może być szerszy i obejmować różnorodne dane osobowe. Istotne jest jednak, aby zakres danych był adekwatny do celu przetwarzania oraz nie były gromadzone dane zbędne z punktu widzenia realizacji tego celu, zgodnie z zasadą adekwatności i minimalizacji danych, o której mowa w art. 5 ust. 1 lit. c RODO.
Omawiana przesłanka wyznacza cel przetwarzania danych, który determinuje zakres przetwarzania. Cel przetwarzania, jakim jest wykonanie umowy, obejmuje działania zmierzające do zawarcia umowy, realizację wzajemnych zobowiązań stron umowy oraz dochodzenie roszczeń z tytułu niewykonania bądź nienależytego wykonania umowy.
Od tego celu należy odróżnić inne cele, które nie mieszczą się w zakresie wskazanym w omawianej tu podstawie. W szczególności takim odrębnym celem jest marketing bezpośredni dóbr lub usług podmiotu, który realizuje umowę. Marketing stanowi cel odrębny i choć w praktyce często powiązany jest z realizacją umowy, to nie mieści się w omawianej tu podstawie. Oznacza to, że administrator danych, który zamierza wykorzystywać dane swoich klientów do celów marketingowych, nie może powoływać się na omawianą tu przesłankę realizacji umowy, powinien legitymować się inną przesłanką dopuszczalności przetwarzania danych (np. uzyskać zgodę albo oprzeć przetwarzanie na przesłance prawnie uzasadnionych interesów).
W praktyce zdarza się, że administratorzy domagają się od osób pragnących zawrzeć umowę zgody na przetwarzanie danych w celu realizacji umowy i w celach marketingowych, łącząc dwa wskazane powyżej cele przetwarzania i uniemożliwiając podmiotowi danych swobodne decydowanie w przedmiocie wyrażenia zgody. Takie działanie należy uznać za nieprawidłowe, gdyż niezbędność przetwarzania danych dla realizacji umowy i zgoda to dwie odrębne przesłanki, które nie powinny być ze sobą utożsamiane ani łączone w taki sposób, że nie można ich faktycznie rozdzielić. Taka praktyka jest sprzeczna z przepisami RODO również dlatego, że może prowadzić do wymuszania zgody.
Do wykonania umowy może być niezbędne także przekazanie danych innemu administratorowi (np. biuro turystyczne może przekazywać dane na rzecz hotelu czy przewoźnika, w celu realizacji umowy o świadczenie usług turystycznych). W tego rodzaju przypadkach można przyjąć, że nie jest potrzebna odrębna podstawa przetwarzania (udostępniania) danych (np. zgoda), gdyż przetwarzanie jest niezbędne do wykonania umowy.
Zgodnie z dalszą częścią komentowanego przepisu przetwarzanie danych jest zgodne z prawem w przypadku podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Oznacza, to że prawodawca unijny dopuszcza przetwarzanie danych osobowych, mające na celu przygotowanie do zawarcia umowy, jednak warunkiem dopuszczalności tego rodzaju działań jest inicjatywa ze strony osoby, której dane dotyczą.
Jeżeli podmiot danych wyrazi wobec administratora chęć zawarcia umowy, to przetwarzane danych może opierać się na omawianej tu podstawie, natomiast przesłanka ta nie ma zastosowania w sytuacji, gdy inicjatorem działań zmierzających do zawarcia umowy jest administrator danych (przed rozpoczęciem przetwarzania danych powinien on uzyskać zgodę osoby, której dane dotyczą, na tego rodzaju działania bądź oprzeć je na innej podstawie – tzw. klauzuli prawnie uzasadnionych interesów, uregulowanej w art. 6 ust. 1 lit. f RODO.
Przetwarzanie danych osobowych może być również niezbędne na wczesnym etapie zawierania umowy – w ramach różnego rodzaju procedur zmierzających do zawarcia umowy (np. procedury przetargowej), w fazie zawierania umowy przedwstępnej lub umowy ramowej. W tych przypadkach wykorzystywanie omawianej podstawy dopuszczalności przetwarzania należy uznać za zasadne.
Zakres danych koniecznych do zawarcia i wykonania umowy może być różny, w zależności od tego, co jest przedmiotem umowy i innych okoliczności jej zawarcia i wykonania.
Zakres danych osobowych przetwarzanych w związku z koniecznością wywiązania się z umowy powinien być zróżnicowany w zależności od charakteru i znaczenia umowy; w wypadku umów o istotnym znaczeniu gospodarczym lub społecznym bezpieczeństwo obrotu prawnego wymaga dokładnej identyfikacji stron zawierających umowę i może uzasadniać gromadzenie przez nie danych osobowych w zakresie gwarantującym należyte wywiązanie się ze zobowiązania. W obecnym stanie prawnym zasadne jest m.in. pozyskiwanie przy zawieraniu umowy numeru PESEL kontrahenta ze względu na możliwość ewentualnego dochodzenia roszczeń w postępowaniu uproszczonym – elektronicznym postępowaniu upominawczym, z wykorzystaniem tzw. elektronicznego sądu (przez Internet), gdyż przepisy Kodeksu postępowania cywilnego uniemożliwiają wniesienie powództwa w tym postępowaniu bez wskazania przez wierzyciela numeru PESEL dłużnika.
