Strona główna Odpowiedzi na pytania dotyczące ustawy o ochronie danych osobowych
dotyczące ustawy o ochronie danych osobowych

Czy firma przekazując dane klienta, który zgłasza reklamację, kontrahentom którzy są stroną postępowania reklamacyjnego, narusza przepisy ustawy o ochronie danych osobowych?

Ikona drukuj
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak2009-06-04
Wprowadził informację: Rafał Kreusch2009-06-04 12:02:06
Ostatnio modyfikował: Rafał Kreusch 2013-11-28 12:56:59

Nie, o ile zakres danych osobowych jest adekwatny do celu ich zbierania, czyli do realizacji postępowania reklamacyjnego.

Uzasadnienie

Udostępnianie danych osobowych tzw. zwykłych określone są w art. 23 ust. 1 pkt 1 – 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Jednym z nich jest zgoda osoby, której dane dotyczą, ale przetwarzanie danych jest także możliwe wtedy, gdy: 1) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2 ustawy), 2) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (art. 23 ust. 1 pkt 3 ustawy), 3) jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (art. 23 ust. 1 pkt 4 ustawy), 4) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 ustawy). Zaś zgodnie z art. 23 ust. 4 pkt 1 i 2 ustawy, za prawnie usprawiedliwiony cel uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Spełnienie którejkolwiek z przesłanek określonych w art. 23 ust. 1 ustawy czyni proces przetwarzania danych legalnym.

W sytuacji przekazywania danych osobowych klientów kontrahentom, jako przesłankę legalizującą można wskazać art.. 23 ust. 1 pkt 3 czyli gdy przetwarzanie danych jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną, jednak istotne jest aby udostępnianie danych klienta było uregulowane w umowie w nim zawartej.

Firma, która zamierza przekazywać dane osobowe klientów, może również zawrzeć umowę powierzenia przetwarzania danych osobowych (art. 31 ust. 1 ustawy o ochronie danych osobowych). Na podstawie ust. 2 ww. artykułu podmiot, któremu powierzono dane może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie. Podkreślić należy, iż podmiot taki obowiązany jest przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych (ust. 3). Należy przy tym zwrócić uwagę, iż zgodnie z art. 31 ust. 4 ustawy, w przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

Podkreślenia wymaga fakt, iż szczegółowe obowiązki zarówno administratora danych, jak i podmiotu, któremu powierzono przetwarzanie danych należy określić w zawartej między nimi umowie.