Dane klientów. Jednak muszę zgłaszać?
Dodano: 07-08-2014 w kategorii: Rejestracja zbiorów, Obowiązki ADO i ABI, Kontrola GIODO. Dodane przez: Katarzyna Witkowska.
W dzisiejszym poście odpowiadamy na pytanie jednej z naszych Czytelniczek, dotyczące obowiązku rejestracji zbiorów. Problem dotyczy możliwości skorzystania ze zwolnienia z obowiązku rejestracji zbiorów w przypadku przetwarzania danych klientów (w tym osób fizycznych prowadzących działalność gospodarczą). Dane przetwarzane są tylko i wyłącznie w celu realizacji umowy i nie są wykorzystywane w celach reklamowych lub innych niż świadczenie usług.
Zarys problemu
O samym obowiązku rejestracyjnym oraz o zwolnieniach z tego obowiązku, przewidzianych przez ustawodawcę była już mowa w poprzednich postach: "Rejestruję". czyli o zgłaszaniu zbiorów do rejestru GIODO i Nie zawsze musisz zgłaszać zbiory! Kilka uwag o zwolnieniu z obowiązku rejestracji. W tym miejscu przypomnieć można tylko, że art. 40 ustawy o ochronie danych osobowych stanowi, że „administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Danych Osobowych, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1”. Art. 43 ust. 1 u.o.d.o. zawiera natomiast katalog przypadków, w których zbiory danych zwolnione są z rejestracji. Administratorzy danych mają więc ogólny obowiązek zgłaszania zbiorów danych do rejestracji, a przypadki, w których przewidziane są zwolnienia stanowią jedynie wyjątek od reguły.
Czy zbiór kwalifikuje się do zwolnienia?
Ocena, czy w danym przypadku administrator danych korzysta ze zwolnienia z obowiązku rejestracji zbiorów, dokonywana być musi kazuistycznie dla każdej sytuacji. Pamiętać bowiem należy, że katalog przesłanek z art. 43 ust. 1 pkt 1-11 ustawy o ochronie danych osobowych to katalog wyjątków od ogólnej zasady, a wyjątki należy interpretować zawężająco.
Pytanie naszej Czytelniczki dotyczy zbioru danych klientów, których dane, jak już wspomniano, przetwarzane mają być wyłącznie w celu realizacji usługi. Poszukując odpowiedzi na zadane pytanie, sprawdzić należy, czy wśród przesłanek wymienionych w art. 43 ust. 1 pkt 1-11 u.o.d.o. znaleźć można taką, która w omawianej sytuacji znajdzie zastosowanie.
Analiza w/w przepisu prowadzi do wniosku, że jedynym punktem art. 43 ust. 1 u.o.d.o., który wchodzić może w grę jest pkt 8. Zgodnie z tym przepisem, z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej.
Pamiętać jednak należy, że zwolnienie, o którym mowa powyżej musi być rozumiane wąsko. Oznacza to, że z obowiązku rejestracji zbioru zwolniony jest tylko ten administrator, który zbiór prowadzi wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej i danych w tym zbiorze nie przetwarza w żadnym innym celu. Przetwarzanie danych klientów w innych celach np. w celu windykacyjnym, dostarczenia towaru do klienta, obsługi i utrzymywania konta klienta (użytkownika) na określonym portalu w ramach umowy o świadczenie usług drogą elektroniczną, rozpatrywania reklamacji klienta czy choćby we wspomnianym już celu marketingowym powoduje, że administrator takiego zbioru przestaje korzystać ze zwolnienia. Pogląd ten znajduje odzwierciedlenie zarówno w decyzjach GIODO, jak i orzecznictwie (np. wyrok NSA w Warszawie z dnia 21 kwietnia 2006 roku w sprawie o sygn. akt I OSK 726/05 oraz wyrok WSA w Warszawie z dnia 9 lutego 2005 roku w sprawie o sygn. akt II SA/Wa 1340/04).
Na marginesie, zaznaczyć można, że okoliczność przetwarzania danych w celu realizacji umowy nie jest przesłanką zwolnienia z obowiązku rejestracji, a jest jedynie przesłanką przetwarzania danych. W związku z tym, że ustawodawca taką przesłankę przetwarzania przewiduje w art. 23 ust.1 pkt 3 u.o.d.o., administrator nie musi uzyskiwać zgody na przetwarzanie danych klienta w celu realizacji umowy. Przetwarzanie danych w tym celu, nie znalazło się jednak w katalogu zwolnień z obowiązku rejestracji, o którym mowa w art. 43 ust. 1 pkt 1-11 u.o.d.o.
Podsumowanie
Kluczową dla rozstrzygnięcia, czy w danym wypadku można ze zwolnienia skorzystać jest więc kazuistyczna ocena modelu obsługi klienta, przyjętego u danego administratora i samej specyfiki usługi. Pamiętać należy, że wszelkie dodatkowe, niezwiązane z stricte z rozliczeniami finansowymi, operacje na danych powodują, że administrator stosować musi ogólną zasadę zgłaszania zbiorów danych. Uwzględniając wyżej powołane stanowisko GIODO i sądów administracyjnych stwierdzić można, że stosunkowo rzadko dochodzić będzie do przypadków, w których zbiór klientów zwolniony będzie z rejestracji. Stosunkowo rzadko dane klientów będą bowiem przetwarzane tylko i wyłącznie w celu wystawienia rachunku, faktury lub prowadzenia sprawozdawczości finansowej. Znacznie częściej w grę wchodzić będzie taki sposób realizacji danej usługi na rzecz klienta, który wyłączy możliwość skorzystania ze zwolnienia.
Katarzyna Witkowska
e-mail:
Alerty prawno-podatkowe