Przetwarzanie danych na cel inny niż pierwotny

Aby ustalić, czy w konkretnym przypadku będzie możliwe przetwarzanie danych osobowych na cele inne niż cel pierwotny, należy łącznie czytać przepisy art. 5 ust. 1 lit. b RODO oraz art. 6 ust. 4 RODO. Z przepisów tych wynika, że zmiana celu będzie dopuszczalna, jeśli:

  1. wtórne przetwarzanie odbywa się na podstawie zgody podmiotu danych (np. internauta zapisał się na news­letter portalu publikującego treści na temat projektowania wnętrz, a jednocześnie wyraził zgodę na otrzymywanie informacji handlowych od firm produkujących meble i inne wyposażenie mieszkań – reklamodawców tegoż portalu);
     
  2. wtórne przetwarzanie odbywa się na podstawie konkretnego przepisu prawa krajowego lub prawa Unii Europejskiej (np. bank przetwarza dane osobowe klienta do celów prowadzenia dla niego rachunku bankowego, a jednocześnie przetwarza te dane, np. analizuje tytuły i kwoty przelewów do celów wykrywania przestępstwa prania pieniędzy, ponieważ taki obowiązek nakładają na bank odpowiednie przepisy);
     
  3. wtórne przetwarzanie odbywa się na podstawie prawnie usprawiedliwionego celu administratora (innego, lecz zgodnego z celem pierwotnym), a nad tym celem nie są nadrzędne interesy podmiotu danych lub jego prawa i wolności (np. prawo do prywatności).

W tym ostatnim przypadku każdą sytuację należy oceniać indywidualnie, biorąc pod uwagę:

  • jakie są związki pomiędzy celem pierwotnym a celem wtórnym,
  • kontekst, w którym zebrano dane osobowe, w szczególności relacje pomiędzy podmiotem danych a admi­nistratorem,
  • charakter danych osobowych (jeśli są to dane wrażliwe, to wyjście poza cel pierwotny będzie trudniejsze),
  • ewentualne konsekwencje dla podmiotu danych,
  • istnienie odpowiednich zabezpieczeń.
     

Przykład

Właściciel sklepu internetowego zbiera dane osób, które kupują produkty w jego sklepie. Na potrzeby niniejszego przykładu zakłada się, że chodzi tylko o dane adresowe w postaci imienia i nazwiska oraz adresu pocztowego (właściciel sklepu nie zbiera adresów e-mail i nie ma zamiaru wysyłać na adresy e-mail korespondencji reklamowej/hand­lowej). Pierwotnym celem zbierania danych jest więc cel realizacji zamówień.

Jednak prawnie usprawiedliwionym interesem, dla którego właściciel może wykorzystać posiadane przez siebie dane klientów, jest również marketing bezpośredni produktów własnych (motyw 47 preambuły RODO). Wobec tego właściciel e-commerce będzie mógł wysłać wszystkim swoim klientom papierowy katalog produktów na adresy pocztowe, które zgromadził w swojej bazie. Jest to oczywiście przetwarzanie danych na cel inny (cel marketingowy) niż pierwotnie (cel wykonania umów z klientami). Jest on jednak zgodny z celem pierwotnym.

 

Przykład

Właściciel serwisu świadczącego usługi online zbiera dane osób, które kupują jego produkty. Adres e-mail klienta jest potrzebny do tego, by przesłać klientowi dane do logowania oraz by wysyłać w trakcie trwania usługi niezbędne powiadomienia i instrukcje do korzystania z serwisu. Właściciel serwisu nie odebrał od użytkowników zgód na przesyłanie im informacji handlowych (nie odebrał zgód wymaganych przez art. 10 ustawy o świadczeniu usług drogą elektroniczną). Nie wysyła zatem do swoich klientów newslettera. Właściciel portalu chciałby jednak poznać opinie użytkowników na temat jego usługi, aby lepiej dostosować swój produkt do potrzeb klienta. W tej sytuacji będzie dopuszczalne wysłanie do użytkowników wiadomości e-mail zachęcającej do wypełnienia ankiety online. Zbieranie opinii w celu lepszego dopasowania usługi do oczekiwań klientów jest bowiem prawnie usprawiedliwionym celem przedsiębiorcy. Ankiety nie są z kolei informacją handlową, ponieważ nie mają na celu promocji usług czy wizerunku przedsiębiorcy. Są jedynie narzędziem do uzyskiwania informacji zwrotnych od klientów. Wysyłanie e-maili zachęcających do wypełnienia ankiet jest oczywiście przetwarzaniem danych na cel inny (cel statystyczny) niż pierwotnie (cel wykonania umów z klientami). Jest on jednak zgodny z celem pierwotnym.


Motyw 47 preambuły do RODO wyjaśnia, że podstawą prawną przetwarzania danych może być prawnie usprawiedliwiony interes administratora lub strony trzeciej. Taki prawnie usprawiedliwiony interes może istnieć w szczególności, gdy zachodzi istotny i odpowiedni rodzaj powiązania pomiędzy osobą, której dane dotyczą, a administratorem. Przykładem takiego powiązania jest relacja przedsiębiorca – klient. Wobec tego cele marketingu bezpośredniego własnych produktów RODO wskazuje jako prawnie usprawiedliwiony interes.

Od powyższej zasady istnieją jednak dwa wyjątki:

  • Jeśli podmiot danych (np. konsument w relacji z przedsiębiorcą) posiada nadrzędne interesy (wartości bardziej chronione niż interes, na który chce powołać się przedsiębiorca) lub nadrzędne są jego prawa i wolności, wówczas administrator nie może przetwarzać danych takiej osoby z powołaniem się na własny usprawiedliwiony interes.

Przykładem takiej sytuacji będzie cel marketingowy podmiotów trzecich. Załóżmy, że przedsiębiorca prowadzący sklep internetowy z książkami posiada bazę marketingową swoich klientów wraz ze zgodami na otrzymywanie handlowych wiadomości elektronicznych. Nie może on jednak wysłać do swoich klientów poprzez e-mail (ani drogą pocztową) ulotek czy katalogów reklamujących produkty podmiotu trzeciego, np. ofert sklepu sprzedającego produkty komplementarne, tj. e-booki. Prawo do prywatności oraz ochrona przed niechcianymi przesyłkami są bowiem interesem nadrzędnym konsumentów wobec celów marketingowych podmiotu trzeciego. Pomiędzy sklepem sprzedającym e-booki a klientem księgarni internetowej nie istnieje żadna relacja, która mogłaby tworzyć uzasadnione oczekiwanie konsumenta, że będzie otrzymywał także przesyłki reklamowe od podmiotu sprzedającego e-booki. Wręcz przeciwnie, ponieważ konsument w ogóle nie zna tego podmiotu trzeciego, to nie spodziewa się, że będzie od niego otrzymywał jakiekolwiek wiadomości.

  • Prawnie usprawiedliwiony interes nie może być podstawą przetwarzania danych osobowych przez podmioty publiczne. Organy takie mogą przetwarzać dane osobowe tylko wówczas, gdy taką możliwość lub obowiązek przewidują przepisy prawa.

Kolejne możliwości, gdy przetwarzanie danych osobowych jest dozwolone w innym celu niż pierwotnie założony, podaje art. 89 RODO w związku z art. 5 ust. 1 lit. b RODO. Arty­kuł ten wyjaśnia, że zawsze (niezależnie od tego, jaki jest cel pierwotny) zgodne z pierwotnym celem będzie przetwarzanie:

  1. do celów archiwalnych w interesie publicznym (w tym zakresie mieszczą się zarówno wszelkiego rodzaju archiwa publiczne, jak i przechowywanie danych w celach archiwalnych, które nakazuje prawo, np. przechowywanie danych księgowych przez odpowiedni okres, przechowywanie dokumentacji pracowniczej do celów emerytalnych);
     
  2. do celów badań naukowych;
     
  3. do celów statystycznych.

Należy jednak zadbać o odpowiednie zabezpieczenie praw i wolności podmiotów danych, a także zawsze wdrożyć środki bezpieczeństwa dążące do realizacji zasady minimalizacji danych. Innymi słowy, do celów archiwalnych, naukowych, statystycznych należy przetwarzać jak najmniej danych. Jeśli to możliwe, należy również dane zanonimizować.

Art. 6 ust. 4 lit. e RODO, jak i art. 89 ust. 1 RODO kładą duży nacisk na pseudonimizację lub całkowitą anonimizację danych, jeśli dochodzi do przetwarzania w celu innym niż pierwotny. Należy z tego wyciągnąć wniosek, że jeśli administrator rozważa możliwość wtórnego przetwarzania danych, powinien sprawdzić, czy tych samych (wtórnych) celów nie mógłby realizować na zanonimizowanych danych. Jeżeli osiągnięcie tego samego efektu jest możliwe na danych anonimowych, to należy z tego skorzystać.

Podsumowanie – jak przeprowadzić audyt celu przetwarzania

Z powyższego wynika, że sprawdzając działalność firmy czy innej organizacji pod kątem zgodności z RODO w zakresie celu przetwarzania, należy zweryfikować:

  • Czy rozpoczęcie każdego procesu przetwarzania danych osobowych, który następuje w firmie, miało miejs­ce w prawnie uzasadnionym celu (czy dane zostały zebrane na taki cel)?
  • Czy był to cel konkretny i wyraźny? Czy podmiotom danych udzielono informacji, że ich dane będą przetwarzane w takim właśnie (konkretnym i wyraźnym) celu?
  • Czy dalsze przetwarzanie (używanie zebranych danych w różnych procesach) dokonywane jest w pierwotnym celu?
  • Jeżeli przetwarzanie wykracza poza pierwotny cel, to czy jest to cel zgodny z pierwotnym? Innymi słowy, czy osoba, której dane dotyczą, powinna rozsądnie spodziewać się, że jej dane mogą być wykorzystywane na ten wtórny cel?
  • Jeżeli cel przetwarzania jest niezgodny z pierwotnym, to czy istnieje podstawa prawna do takiego przetwa­rzania (np. zgoda podmiotu danych, szczegółowy przepis prawa dający taką możliwość lub nakładający obowiązek, prawnie usprawiedliwiony interes administratora)?
  • Jeżeli wtórne przetwarzanie odbywa się z powołaniem się na prawnie usprawiedliwiony interes administratora, to czy nadrzędnego charakteru wobec tego interesu nie mają interesy albo podstawowe prawa i wolności (np. prawo do prywatności) osoby, której dane dotyczą?
  • Czy możliwe jest osiągnięcie wtórnego celu za pomocą danych zanonimizowanych?