Czy wysyłanie klientom kartek imieninowych i urodzinowych nie narusza przepisów ustawy o ochronie danych osobowych?
OPINIA PRAWNA
w sprawie dopuszczalności wysyłania kontrahentom oraz ich pracownikom kartek okolicznościowych z życzeniami przez X Sp. z o.o.
I. Podstawa zlecenia:
Opinia na zlecenie X Sp. z o.o. przesłane do kancelarii za pośrednictwem maila w dnia 22 września 2004 roku przez Pana M.
II. Cel opinii:
Celem opinii jest odpowiedź na pytanie, czy dopuszczalne jest wysyłanie do kontrahentów X Sp. z o.o. oraz ich pracowników kartek z życzeniami imieninowymi i urodzinowymi przez tę spółkę.
III. Podstawa prawna opinii:
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz. 1271 oraz z 2004 r. Nr 25, poz. 219, Nr 33, poz. 285.
IV. Analiza merytoryczna:
Stan faktyczny
X zamierza wysyłać do swoich klientów i ich pracowników kartki z życzeniami urodzinowymi i imieninowymi. Dane dotyczące daty urodzin X Sp. z o.o. zamierza uzyskiwać z numerów PESEL, które klienci udostępniają spółce. Natomiast dane dotyczące dat imienin są powszechnie dostępne.
Rozważania merytoryczne
Zasady postępowania przy przetwarzaniu danych osobowych określa ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 roku. Stosuje się ją między innymi do osób fizycznych i prawnych oraz jednostek organizacyjnych niemających osobowości prawnej, które przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Ustawa ta znajdzie zatem zastosowanie do X Sp. z o.o., jako do osoby prawnej przetwarzającej dane w związku z działalnością zawodową.
W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej1. Osobą możliwą do zidentyfikowania jest natomiast osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilku specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne2. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań3.
Danymi osobowymi będą zatem udostępniane X Sp. z o.o. informacje, takie jak imię, nazwisko, numer identyfikacji podatkowej, numer PESEL, adres zamieszkania czy adres prowadzenia działalności gospodarczej kontrahenta będącego osobą fizyczną. Danymi osobowymi nie są natomiast dane dotyczące firm będących osobami prawnymi (np. spółka akcyjna), czy też jednostkami organizacyjnymi, nie posiadającymi osobowości prawnej (np. spółka jawna).
Zbieranie takich danych osobowych, utrwalanie ich i przechowywanie będzie, w rozumieniu ustawy, przetwarzaniem danych osobowych. Przetwarzaniem danych są bowiem jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych4.
Wysłanie kartek okolicznościowych przez X Sp. z o.o. będzie wymagało od spółki przetwarzania danych osobowych adresatów tej korespondencji. Wskazać przy tym należy, iż przetwarzaniem danych osobowych zajmuje się administrator danych, którego ustawa definiuje jako organ, instytucję, jednostkę organizacyjną, podmiot lub osobę fizyczną lub prawną decydującą o celach i środkach przetwarzania danych osobowych5. Zatem w zakresie dotyczącym przetwarzania danych klientów i ich pracowników X będzie administratorem tych danych.
Ustawa określa przypadki, w których przetwarzanie danych osobowych przez administratora danych jest dopuszczalne.
Ustawa zezwala mianowicie administratorowi danych na ich przetwarzanie wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę6. Ponadto administrator danych może przetwarzać dane, gdy jest to niezbędne do wypełnienia jego prawnie usprawiedliwionych celów (działalności zarobkowej, zawodowej, realizacji celów statutowych) lub osób trzecich, którym są przekazywane te dane7. Ustawa zastrzega jednak, iż przetwarzanie danych do celów niezbędnych do prowadzenia działalności zarobkowej jest prawnie dozwolone, o ile jednak nie narusza praw i wolności osób, których dane dotyczą.
Jako przykład prawnie usprawiedliwionego celu ustawa podaje: marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej8. Wykorzystanie danych osobowych dla własnych potrzeb marketingowych nie jest więc uzależnione od uzyskania zgody osoby, której dane dotyczą.
Uzyskanie zgody na wysyłanie kartek do poszczególnych osób może okazać się utrudnione. Rozważyć należy czy takie działanie będzie dopuszczalne z uwagi na prawnie usprawiedliwiony cel działalności X Sp. z o.o.
W ocenie opiniującego wysyłania kartek zawierających jedynie przekaz okolicznościowych życzeń nie będzie można zakwalifikować jako realizowanie prawnie usprawiedliwionego celu działalności X Sp. z o.o. W przypadku tym niezbędne będzie uzyskanie na to zgody adresata kartki.
Odmienna sytuacja będzie miała miejsce wówczas gdy przesłanej kartce z życzeniami towarzyszyć będzie określona forma reklamy czy marketingu działalności X Sp. z o.o. Można stanąć na stanowisku, że klauzula usprawiedliwionego celu zostanie zrealizowana wówczas gdy wraz z życzeniami dla klienta lub jego pracownika kartka zwierać będzie informacje o szerokim asortymencie X Sp. z o.o. („X – sprzedawca ponad stu rodzajów kotłów grzewczych”, „X – wyłączny sprzedawca kotłów firmy ...”), korzystnych cenach stosowanych przez spółkę („X – najniższe ceny na rury miedziane”), wysokiej jakości zapewnianej przez nią obsługi itp. Takie przetwarzanie danych nie wymagałoby zgody adresata kartki.
Wskazać przy tym należy, iż w orzecznictwie przyjmuje się, iż nie można przyjąć, iżby posłużenie się danymi osobowymi osoby fizycznej (klienta, pracownika) w ofercie handlowej do niej skierowanej było bezprawnym działaniem oferenta. Podstawowe dane osobowe człowieka są jego dobrem osobistym, ale jednocześnie są dobrem powszechnym w tym znaczeniu, iż istnieje publiczna zgoda na posługiwanie się nimi w życiu społecznym. Dopóki więc dane osobowe człowieka są używane zgodnie z regułami społecznymi, nie można mówić o bezprawności działań innych osób ani o zagrożeniu dóbr osobistych tymi działaniami.
Nie można jednak wykluczyć, iż Generalny Inspektor Danych Osobowych zakwestionuje powyższe jako usprawiedliwiony cel przetwarzania danych osobowych wskazując, iż nie realizuje on w sposób dostateczny marketingu własnych produktów lub usług albo zbliżonego.
Jednocześnie trzeba wszakże pamiętać, iż każdej osobie przysługuje prawo wniesienia sprzeciwu, gdy administrator zamierza przetwarzać dotyczące jej dane w celach marketingowych. Po otrzymaniu przez administratora danych takiego sprzeciwu dalsze przetwarzanie kwestionowanych danych jest co prawda niedopuszczalne, ale administrator może pozostawić w swoim zbiorze podstawowe dane identyfikacyjne (imię, nazwisko, adres zamieszkania, PESEL) po to, aby w przyszłości, w przypadku powtórnego uzyskania danych o tej samej osobie, respektować jej żądanie.
V. Wnioski opinii:
1. Wysyłanie kartek okolicznościowych do klientów X Sp. z o.o. oraz ich pracowników wymagać będzie od spółki przetwarzania danych osobowych adresatów tej korespondencji. X Sp. z o.o. przetwarzając dane, będzie administratorem danych.
2. Ustawa o ochronie danych osobowych określa przypadki, w których przetwarzane danych jest prawnie dopuszczalne.
3. Przetwarzanie danych jest m.in. dopuszczalne, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Jako usprawiedliwiony cel ustawa wskazuje marketing bezpośredni własnych produktów lub usług administratora danych.
4. Można stanąć na stanowisku, iż przesłanie kartki zawierającej oprócz przekazu okolicznościowych życzeń także przekaz o charakterze promocyjno-reklamowym Spółki mieścić się będzie w kategoriach przetwarzania danych osobowych w prawnie usprawiedliwionym celu, a więc bez potrzeby uzyskania zgody na przetwarzanie danych.
Opinię tę wydałem z całą sumiennością i starannością, kierując się swoją najlepszą wiedzą.
/adwokat Tomasz Grzybkowski, adwokat Tomasz Guzek/
Przypisy:
1 Art. 6. ust. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2 Art. 6 ust. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3 Art. 6. ust. 3 Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
4 Art. 7. Ilekroć w ustawie jest mowa o:
2) przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,
5 Art. 7. Ilekroć w ustawie jest mowa o:
4) administratorze danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych,
6 Art. 23 ust. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
7 Art. 23 ust. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
8 Art. 23 ust. 4. Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności:
1) marketing bezpośredni własnych produktów lub usług administratora danych,
2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
9 Orzeczenie Sądu Apelacyjnego w Gdańsku z 15 marca 1996 roku, OSN 1996, z. 7-8, poz. 31
10 Art. 32 ust. 1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:
8) wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.
Materiał archiwalny oparty o przepisy prawa obowiązujące w dniu jego sporządzenia. Adwokacka Spółka Partnerska Grzybkowski Guzek Jackowski nie ponosi odpowiedzialności za wykorzystywane treści.