Roszczenie zaniechania przetwarzania danych osobowych

Inspektor Ochrony Danych

Roszczenie zaniechania przetwarzania danych osobowych Zgodnie z postanowieniami art. 7 Ustawy o ochronie danych osobowych, pod pojęciem „przetwarzania danych osobowych” należy rozumieć szereg działań wykonywanych na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie a także usuwanie. Zatem administrator danych, chcąc zaniechać przetwarzania danych osobowych, musi je trwale zniszczyć (usunąć) bądź też przekazać innemu podmiotowi bez pozostawienia u siebie ich kopii.

Gwarancją praw osoby, której dane dotyczą są przede wszystkim postanowienia art. 32 ust. 1 ustawy, zgodnie z którym:” Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: (…)

6) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane,

7) wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację,

8) wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych (…)”

Ww. roszczenie przysługuje osobie, której dane dotyczą, względem administratora danych osobowych, który jej dane przetwarza. Zakres żądania jest zależny od podstawy prawnej jaką legitymuje się administrator danych. Skoncentrujmy się jednak tylko na kilku z nich.

W przypadku gdy dopuszczalność przetwarzania wynika z uzyskanej zgody osoby, omawiane roszczenie przybiera postać oświadczenia woli jej wycofania. Uprawnienie to wywodzi się z niezbywalności dóbr osobistych jakimi są dane osobowe, które są „szczególną postacią ochrony sfery prywatności” 1.

Ustawodawca ograniczył jednak dowolność w wyborze podstawy wycofania zgody w art. 31 ust. 1 pkt 6, na mocy którego jest to możliwe tylko „ gdy dane są (…)nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane” W ten sposób ustawodawca zabezpiecza interes podmiotu przetwarzającego dane. Zapobiega zaistnieniu sytuacji, w której wycofanie zgody następuje z błahych powodów a ze strony administratora danych zostały już poczynione pewne nakłady.

Tym niemniej jednak nie można zapomnieć, że w omawianym przypadku zastosowanie mają przepisy art. 82-88 kodeksu cywilnego dotyczące błędów oświadczenia woli tzn. przypadków gdy osoba:

  • udzieliła zgody, pomimo, iż „stan osoby wyłącza świadome albo swobodne wyrażenie woli„;
  • oświadczenie o zgodzie „złożono drugiej stronie za jej zgodą dla pozoru”; 
  • oświadczenie złożono w wyniku „błędu co do treści czynności prawnych”; 
  • nastąpiło „zniekształcenie oświadczenia woli przez osobę użytą do jego przesłania”; 
  • oświadczenie złożono „pod wpływem bezprawnej groźby drugiej strony lub osoby trzeciej”.

Powołanie na wyżej przytoczone artykuły kodeksu cywilnego występuje w praktyce niezmiernie rzadko. Ponadto należy podkreślić, że błędy oświadczenia woli, nie tylko w przypadku zastosowania do przepisów ustawy o ochronie danych osobowych, są trudne do udowodnienia, co powoduje, że administrator danych może uchylić się od ich zaspokojenia.

W doktrynie można też spotkać pogląd, że prawo do cofnięcia zgody jest immanentnym prawem podmiotu danych i zawsze nam przysługuje, jeśli wcześniej taką zgodę wyraziliśmy. Chociaż są wątpliwości i nie wydaje się to takie jednoznaczne, to większość komentatorów (także ustawodawca w najnowszym projekcie nowelizacji ustawy) opowiada się za przyznaniem prawa do cofnięcia zgody (niezależnie od uprawnienia opisanego wyżej).2 Kolejnym punktem naszych rozważań jest sytuacja, w której administrator danych legitymuje się uprawnieniem do przetwarzania wynikającym z „niezbędności dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa”. W tym przypadku nie można skorzystać z przedmiotowego roszczenia. Dla przykładu można podać sytuację, gdy przetwarzanie danych osobowych jest prowadzone w oparciu o art. 105 Prawa bankowego z dnia 29 sierpnia 1997 roku przez Związek Banków Polskich, w systemie Międzybankowej Informacji Gospodarczej- Bankowy Rejestr. Zgodnie z przytoczonym przepisem bank jest uprawniony do przetwarzania wszelkich informacji o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne przy udzielaniu kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń.3

Idąc dalej, uprawnienie administratora danych może wynikać z „konieczności do podjęcia działań przed zawarciem lub realizacją umowy”. W tym przypadku osoba, będąca stroną umowy musi mieć świadomość, że zasadnicze znaczenie ma prawo rządzące umowami (prawo cywilne, prawo administracyjne). Biorąc pod uwagę powyższe, nawet gdy dojdzie np. do rozwiązania umowy lub uznania jej nieważności, terminy przedawnienia roszczeń z umowy lub inne przepisy określają konieczny czas przechowywania danych strony. Dopiero po jego upływie można domagać się skutecznego usunięcia danych.

Omni Modo

03.02.2009 r.


1 Z. Radwański, Prawo cywilne – część ogólna, Warszawa 2003, s. 164
2 W art. 7 pkt 5 otrzymuje brzmienie: „5) zgodzie osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie,”;
http://www.e-ochronadanych.pl/omnimg/File/pliki%20do%20pobrania/UODO_Projekt_druk%20sejmowy.pdf
3 J. Barta, P. Fajgielski, R. Markiewicz, „Ochrona danych osobowych – Komentarz” , Kraków 2004

About Redakcja 320 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.