Jak donoszą media kradzieże w marketach urastają do rozmiarów plagi, spółki w Europie tracą miliardy w związku z tym procederem, który niejednokrotnie przyjmuje postać zorganizowaną. Czy w świetle prawa ochrony danych osobowych spółki mogą wziąć sprawy w swoje ręce i przekazywać sobie wizerunki osób, co do których zarejestrowały dokonanie czynu zabronionego?
- Bezprawność
- Test równowagi
- Przykłady zastosowania lit. f
- Interes faktyczny lub ekonomiczny, nie tylko prawny
- Szczególna kategoria danych
- Wizerunek, prawo autorskie
- Niezbędność przetwarzania
- Podsumowanie
Bezprawność
Wizerunek osoby fizycznej stanowi jej dobro osobiste na gruncie prawa cywilnego, a także dane osobowe na gruncie prawa ochrony danych osobowych. Jednak zarówno ochrona dóbr osobistych jak i ochrona danych osobowych nie mają charakteru absolutnego. Ochrona nie przysługuje bowiem przeciwko działaniom zgodnym z prawem, czyli przysługuje tylko przeciwko takim, którym można zarzucić bezprawność. O tym jakie działania są bezprawne decydują przepisy rozproszone po całym systemie prawa, przy czym chodzi tu głównie o bezprawność bezwzględną, wynikającą z naruszenia norm powszechnie obowiązujących. W przypadku przekazania wizerunku osoby, która dopuściła się kradzieży, o istnieniu bezprawności albo braku bezprawności (legalności) decyduje, zarówno w aspekcie ochrony dóbr osobistych jak i w aspekcie ochrony danych osobowych, przepis art. 6 ust. 1 lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L Nr 119 z 2016 r., s.1, dalej: rodo), który mówi, że przetwarzanie jest zgodne z prawem jeśli jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Test równowagi
W tym miejscu należy przeprowadzić tzw. test równowagi, krótko mówiąc ocenić, czy interes osoby, której dane dotyczą nie jest nadrzędny wobec interesu administratora lub odbiorcy danych, a także czy przetwarzanie jest niezbędne do osiągnięcia usprawiedliwionych celów. Rodo nie daje wyraźnych dyspozycji jak ustalać istnienie stanu nadrzędności jednego interesu nad drugim. W motywie 47 raczej daje ogólną wskazówkę, że subiektywne przekonanie osoby, której dane dotyczą, o możliwości przetwarzania jej danych przez administratora, świadczy o braku nadrzędności jej interesu (lub podstawowych praw i wolności). Czyli to, że osoba spodziewa się przetwarzania jej danych, świadczy o tym, że jej interes nie jest nadrzędny, albo należało by powiedzieć w niektórych przypadkach, że nie dochodzi w ogóle do konfliktu interesów. Oczywiście nauka wykształciła dalsze bardziej szczegółowe kryteria dla oceny tego problemu, korzystając ze wskazówek rodo nt. testu zgodności celów dla dalszego przetwarzania:
- relacje (powiązania) między ado a osobą,
- zakres danych, ich kategoria,
- możliwe konsekwencje (dolegliwości) dla podmiotu danych,
- istniejące zabezpieczenia.
Przykłady zastosowania lit. f
Sfera zastosowania przesłanki legalizacyjnej prawnie uzasadnionego interesu jest ogromna, jak w przypadku każdej klauzuli generalnej, ale już samo rodo wymienia kilka przykładów:
- istnienie powiązania między osobą a administratorem (klient-dostawca),
- niezbędność do zapobiegania oszustwom,
- marketing bezpośredni,
- przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych,
- na starym stanie prawnym (przed 25.5.2018) polska ustawa o ochronie danych osobowych, wymieniała jeszcze dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Interes faktyczny lub ekonomiczny, nie tylko prawny
Przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu, może się więc odbywać, przede wszystkim gdy istnieje wyraźna podstawa prawna dająca uprawnienie administratorowi, dla realizacji którego niezbędne jest przetwarzanie, ale ustawodawca europejski rozumie tę przesłankę znacznie szerzej. Tzn. nawet w przypadku braku wyraźnej podstawy kreującej uprawnienie, przetwarzanie może się odbywać, jeśli służy zaspokojeniu interesu faktycznego, jak również ekonomicznego, byleby nie był sprzeczny z prawem (art. 8 Prawa przedsiębiorców). Wynika z tego, że dla ustalenia w jakich przypadkach można korzystać z tej przesłanki, przydatne będzie stosowanie analogii i innych reguł wnioskowania z norm o normach, polegającej na ustaleniu, że prawnie uzasadniony interes, o którym mowa w w/w przepisie, istnieje w sytuacji wyraźnie nie uregulowanej, ale podobnej do tej opisanej w normie prawnej kreującej uprawnienie.
Skoro więc administrator posiada uprawnienie do skorzystania z drogi sądowej, do obrony swoich interesów majątkowych i niemajątkowych, a także uprawnienie do żądania od organów ścigania obrony jego mienia, zdrowia i życia, ponadto posiada uprawnienie do dozwolonej samopomocy na gruncie prawa cywilnego (nie mówiąc już o obronie koniecznej, ale to nie polega na przetwarzaniu danych osobowych) – i w celu realizacji tych uprawnień może legalnie przetwarzać dane osobowe w niezbędnym zakresie – to wydawać by się mogło, że przekazanie wizerunku sprawcy do odbiorcy (spółki z grupy), w celach usprawiedliwionych interesem wspólnym i każdego z osobna, będzie legalne na podstawie omawianej przesłanki.
Szczególna kategoria danych
Dane osobowe dotyczące czynu zabronionego, stanowią szczególną kategorię danych, uregulowaną oddzielnie od danych wrażliwych, w art. 10 rodo. Przepis ten wskazuje jednak, że dane tej kategorii, można przetwarzać na podstawie art. 6 ust. 1 rodo, jeśli przetwarzanie to jest dozwolone prawem Unii lub prawem państwa członkowskiego. Przepisy pozwalające na przetwarzanie takich danych odnajdziemy w prawie formalnym (procedury cywilna, administracyjna, karna), a także jak się wydaje również w prawie materialnym, którego część stanowi rodo i jego art. 6 ust. 1.
Wizerunek, prawo autorskie
Wizerunek osoby fizycznej podlega również ochronie na podstawie art. 81 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (tekst jedn. Dz.U. z 2016 r. poz. 666 ze zm.; dalej: u.p.a.). Przepis ten stanowi, że „Rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej.”. Z powyższego wynika, że rozpowszechnienie wizerunku bez wymaganego zezwolenia, spowoduje powstanie roszczenia po stronie osoby, której wizerunek został rozpowszechniony. Można zasadnie twierdzić, że w konkretnych okolicznościach przed roszczeniem tym administrator obroni się na podstawie art. 5 k.c., twierdząc, że roszczenie takie, ze względu na uprzednie bezprawne działanie poszkodowanego (zasada czystych rąk), nie jest uważane za wykonywanie prawa i nie korzysta z ochrony, ponieważ byłoby to sprzeczne ze społeczno-gospodarczym przeznaczeniem tego prawa lub z zasadami współżycia społecznego. Dodatkowo jeśli wizerunek będzie udostępniony ograniczonemu kręgowi osób (kierownictwo, ochrona), przepis nie będzie miał zastosowania, ponieważ o rozpowszechnieniu można mówić w przypadku udostępnienia publicznie nieograniczonemu kręgowi osób.
Niezbędność przetwarzania
Najpoważniejszą przeszkodę do takiej „samopomocy” po stronie administratorów, stanowi przesłanka niezbędności przetwarzania. Właściwie taka niezbędność nie powinna zaistnieć, przy prawidłowo funkcjonujących organach ścigania. Dopiero niewydolność organów powołanych do ścigania przestępstw, może usprawiedliwiać podejmowanie przez poszkodowanych administratorów środków zaradczych własnym staraniem. Z drugiej strony, warto zastanowić się, czy przesłankę niezbędności, traktować tak restrykcyjnie, mówiąc bardziej precyzyjnie, o niezbędność do osiągnięcia jakiego celu tutaj chodzi. Celem administratora (odbiorcy danych) jest przeciwdziałanie kradzieżom dokonywanym na jego szkodę, cel ten może być osiągnięty, przez samo udaremnienie kradzieży. Celem administratora nie musi być uruchomienie postępowania karnego przeciwko sprawcy, przy tym administrator nie ma obowiązku wyznaczać sobie takiego celu, ponieważ nie ma powszechnego obowiązku zgłaszania każdego przestępstwa (tylko enumeratywnie wyliczone, najgroźniejsze, art. 240 k.k.). Twierdzenie, że administrator nie może samodzielnie (bez udziału organów ścigania) bronić się przeciwko zagrożeniom, i przetwarzać w tym celu danych osobowych, oznaczało by, że aby się bronić, musi zawiadomić o przestępstwie mimo, że nie ma takiego obowiązku prawnego. Oznaczałoby to również, że nie może zebrać dowodów na potrzeby postępowania cywilnego, a przecież może uznać, z różnych względów, że woli szkodę i krzywdę wynikającą ze zdarzenia kryminalnego, kompensować na drodze postępowania cywilnego. Wprawdzie nawet w postępowaniu z oskarżenia prywatnego jest przewidziana rola Policji w art. 488 k.p.k., ale znowu nie oznacza to, że pokrzywdzony nie może samodzielnie zdobyć i zabezpieczyć dowodów, byleby przy tym nie złamał prawa.
Podsumowanie
Wątpliwości co do przesłanki niezbędności sprawiają, że przetwarzanie danych we wskazany sposób jest nieco ryzykowne dla administratora. Organ powołany do ochrony danych osobowych, po rozważeniu argumentów za i przeciw, gdyby nawet ostatecznie zakwestionował legalności przetwarzania, nie mógłby jednak twierdzić, że przetwarzanie to jest całkowicie pozbawione usprawiedliwionych podstaw.