Wtórne przetwarzanie danych na ten sam cel co pierwotnie

Jeśli ma się pewność, że dane zostały zebrane na cel legalny, wyraźny i konkretny, należy zadbać o to, by przetwarzanie danych (następujące po ich zebraniu) było zgodne z przedmiotowym celem. Jeżeli jest to dokładnie ten sam cel, który wskazano przy zbieraniu danych, wszystko przebiega prawidłowo i audyt danego procesu biznesowego można zakończyć.

Czasami dane zebrane przez jednego administratora na dany cel będą przetwarzane na dokładnie ten sam cel, ale przez innego administratora. Dochodzi wówczas do wtórnego przetwarzania dokonywanego przez inny podmiot, ale na ten sam cel. Inaczej mówiąc, można wyobrazić sobie sytuację, w których podmiot danych XY udostępni swoje dane jednemu administratorowi (firmie A) do przetwarzania w określonym, konkretnym celu, a następnie dane te „dostaną się w ręce” innego administratora (firmy B) i ten ostatni również będzie uprawniony do przetwarzania danych osoby XY na ten sam cel.

Taka sytuacja będzie dopuszczalna przez prawo, ale w praktyce zdarza się rzadko. Musi bowiem istnieć możliwość prawna przejścia danych z firmy A do firmy B. Zdarza się albo na podstawie szczególnego przepisu prawa, albo na podstawie zgody osoby, której dane dotyczą, albo w razie jakiegoś rodzaju „przejścia praw” pomiędzy podmiotami (np. przekształcenie spółki, podział spółki, nabycie zorganizowanej części przedsiębiorstwa).

Można wyobrazić sobie dwa przykłady takich przypadków:

Firma świadcząca usługi telekomunikacyjne – dostawca usług sieci komórkowej (firma A) – posiada listę swoich abonentów. Niektórzy z nich wyrazili zgodę, by firma A udostępniła ich imię i nazwisko wraz z numerem telefonu w spisie abonentów publicznie dostępnym online na stronie www firmy A. Inny przedsiębiorca (firma B) prowadzi działalność polegającą na tworzeniu książek telefonicznych zarówno drukowanych, jak i dostępnych online. Firma B jest uprawniona[1] do skopiowania danych dostępnych na stronie www firmy A i udostępnienia ich w swojej książce telefonicznej, również dostępnej online. W takim przypadku nie jest potrzebne udzielenie przez abonenta dodatkowej zgody na przetwarzanie jego danych przez firmę B. Przetwarzanie wykonywane przez firmę B następuje bowiem w tym samym celu co przetwarzanie przez firmę A.

Do powyższego muszą jednak być spełnione dwa warunki:

  1. firma A przy odbieraniu zgody od abonenta poinformowała go, że jego dane mogą zostać przekazane również innym firmom prowadzącym publicznie dostępne spisy abonentów oraz
  2. firma B nie wykorzystuje danych abonenta na żadne inne cele, a jedynie na potrzeby stworzenia książki telefonicznej[2].
  • Osoba XY pracuje jako sprzedawca w firmie A, która posiada sieć sklepów stacjonarnych. Dane osobowe pracownika XY są zatem przetwarzane na cele zatrudnienia. W pewnym momencie sieć sklepów zostaje wykupiona przez firmę B. Na podstawie art. 23 Kodeksu pracy XY staje się automatycznie pracownikiem firmy B.

Pracownik nie musi wyrażać żadnych zgód, aby jego dane były przetwarzane przez firmę B. Firma B jest nowym administratorem danych, ale na podstawie przepisów prawa jest uprawniona do przetwarzania danych osobowych osoby XY na ten sam cel, co uprzednio firma A.

Zasada wyraźnego i konkretnego celu powoduje, że zazwyczaj zgody na przetwarzanie danych osobowych wyrażane są na rzecz konkretnego podmiotu. Może jednak zdarzyć się sytuacja, że zgoda zostanie udzielona od razu większej grupie podmiotów, jeśli będzie to sformułowane w dostatecznie wyraźny sposób.
 

PRZYKŁAD

Do grupy przedsiębiorców – podmiotów, które świadczą usługi dla turystów w określonej miejscowości, np. w Krakowie, należą zarówno właś­ciciele hoteli, restauracji, firm organizujących wycieczki po Krakowie, jak i firm oferujących atrakcje dla turystów (np. muzeum, park rozrywki, lokalny browar, ogród zoologiczny). Założono stronę internetową, którą obsługuje jedna z firm należących do zrzeszenia (firma A) i na której turysta może zapisać się na specjalną listę, aby otrzymywać SMS-owe informacje o ciekawych wydarzeniach, atrakcjach i specjalnych ofertach lokalnych firm (zniżki w restauracjach, hotelach, na bilety wstępu itd.). Wymieniona lista działa w ten sposób, że każdy właściciel zrzeszonej firmy otrzymuje aktualizowaną listę numerów telefonu i samodzielnie może wysyłać wiadomości SMS o pożądanej przez siebie treści (nie ma jednego administratora listy subskrypcyjnej, który wysyłałby wiadomości na zlecenie innych firm). Turysta przy dokonywaniu subskrypcji informowany jest o tym, że jego dane będą wykorzystywane przez większą liczbę firm – wyłącznie lokalnych przedsiębiorców, którzy oferują usługi turystyczne na terenie Krakowa. Pełna lista podmiotów jest dostępna dla użytkownika w momencie zapisu. W tej sytuacji, pomimo że dane zostały zebrane przez firmę A, to mogą być przetwarzane przez dowolną firmę B, która jest członkiem zrzeszenia, ponieważ turysta świadomie wyraził zgodę od razu na rzecz kilku administratorów danych. Przetwarzanie jego danych następuje więc przez wielu administratorów, ale na ten sam cel.


Nie należy mylić sytuacji przetwarzania danych przez innego administratora na ten sam cel z sytuacją, gdy dochodzi do powierzenia przetwarzania danych przez admi­nistratora na rzecz tzw. procesora.
 

PRZYKŁAD

Gdyby administratorem danych był hotel (firma A), który samodzielnie zbiera wśród swoich gości subskrypcje na otrzymywanie SMS-ów z propozycjami ciekawych wycieczek po Krakowie i okolicach (dla uproszczenia przyjęto, że w SMS-ach nie znajdowałyby się żadne informacje promujące innych przedsiębiorców, a jedynie informacje o ciekawych zabytkach czy atrakcjach naturalnych), a obsługa tej listy subskrypcyjnej byłaby dokonywana przez specjalistyczną firmę (firmę B – dostawcę usługi marketingu SMS-owego), to firma A byłaby w tym przypadku administratorem danych, a firma B procesorem. Firma B nie decydowałaby bowiem o żadnym aspekcie przetwarzania danych osobowych subskrybentów, a jedynie wykonywałaby czynności na zlecenie firmy A.

 

  1. Zgodnie z wymogami prawa europejskiego polskie prawo tele­komunikacyjne stanowi, że firmy świadczące usługi telefonii są zobowiązane udostępniać numery swoich abonentów innym firmom, które chcą prowadzić usługi udostępniania książki tele­fonicznej (drukowanej lub online). Dotyczy to tylko tych abonentów, którzy wyrazili zgodę na udostępnienie ich danych w książce tele­fonicznej. Analogiczne przepisy obowiązują we wszystkich państwach członkowskich UE.
  2. Cały przykład dotyczący publicznie dostępnych spisów abonentów oparty jest na wyroku Trybunału Sprawiedliwości Unii Europejskiej z dnia 15 marca 2017 r., sygn. C 536/15, dostępnym m.in. tutaj: //curia.europa.eu/juris/celex.jsf?celex=62015C­J0536&lang1=pl&type=TXT&ancre=