- Sam fakt, że ktoś może administrować danymi w związku z prawnie uzasadnionym celem, nie oznacza wcale, że może to robić zawsze i wszędzie - mówi Witold Chomiczewski w rozmowie z DGP.
Witold Chomiczewski radca prawny i wspólnik w kancelarii Lubasz i Wspólnicy / Dziennik Gazeta Prawna
W opublikowanym niedawno na naszych łamach tekście o portalach służących ocenianiu lekarzy („Lekarze bez granic [prywatności]”, DGP nr 91/2018) wskazaliśmy na spór dotyczący podstawy prawnej do przetwarzania danych osobowych medyków. Wielu ekspertów twierdzi, że może odbywać się ono jedynie na podstawie zawartej umowy. Ale są też tacy, którzy twierdzą, że wystarczy tzw. prawnie usprawiedliwiony cel, co oznacza, że portal z lekarzem umowy zawierać nie musi. Kto ma rację?
Przetwarzanie danych osobowych przez portale prezentujące opinie użytkowników o osobach wykonujących określony zawód, np. o lekarzach, może, potencjalnie, odbywać się na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Reguluje on możliwość przetwarzania danych w oparciu o prawnie usprawiedliwiony cel realizowany przez administratora danych. Tak więc moim zdaniem umowy być nie musi. Ale trzeba pamiętać, że samo występowanie prawnie usprawiedliwionego celu nie jest wystarczające dla możliwości zastosowania wskazanego przepisu. Konieczne jest dodatkowo, by przetwarzanie danych było niezbędne dla wypełnienia tego celu i nie może dojść do naruszenia praw i wolności osoby, której dane dotyczą.
Wielu lekarzy wskazuje, że w portalach zamieszczane są nieprawdziwe anonimowe opinie. I że tak naprawdę walczą z hejtem.
I tu właśnie należy ocenić – indywidualnie – czy mamy do czynienia z przekroczeniem granic czy jedynie wyrażeniem opinii. Sam fakt, że ktoś może administrować danymi w związku z prawnie uzasadnionym celem, nie oznacza wcale, że może to robić zawsze i wszędzie.
Dlatego ze względu na to, że w portalach zamieszczane są opinie np. o lekarzach, które mogą być nieprawdziwe lub niepełne, trzeba uwzględniać wyrażone w Konstytucji RP prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. W ramach oceny na gruncie art. 23 ust. 1 pkt 5 u.o.d.o. należy wyważyć prawnie usprawiedliwiony cel administratora danych z powyższym prawem. Trzeba wziąć pod uwagę m.in. rodzaj interesu administratora danych, czy jest on jedynie komercyjny, czy też przynosi korzyść szerszej grupie osób, rodzaj przetwarzanych danych, zagrożenia dla podmiotu danych wynikające z przetwarzania, a także inne okoliczności sprawy. Istotne jest przykładowo, czy portal pozwala opisanej na nim osobie na odniesienie się do poszczególnych komentarzy na jej temat, czy też uzależnia to od zawarcia umowy z portalem. W tym drugim przypadku będzie to okoliczność przemawiająca przeciwko możliwości oparcia się na omawianej tu podstawie prawnej. Zwłaszcza jeżeli prawnie usprawiedliwiony cel administratora danych sprowadzi się jedynie do celu zarobkowego. W takim przypadku ryzyka dla podmiotu danych wynikające z potencjalnego prezentowania niepełnych lub niezgodnych z prawdą informacji mogą przeważać nad znaczeniem interesu administratora.
Czyli jeśli portal wymusza zawarcie umowy, gdy lekarz chce odnieść się do komentarzy na swój temat, to nie może opierać się na przesłance prawnie uzasadnionego celu? Pytamy, bo tak działa większość lekarskich porównywarek. I co na to RODO?
Aż tak daleko bym nie szedł, to znaczy nie uznałbym tej okoliczności za każdorazowo przesądzającą o legalności przetwarzania. Natomiast w procesie wyważania dóbr (interesu administratora oraz praw i wolności podmiotu danych) uznawałbym to za element stanu faktycznego zdecydowanie przemawiający za ochroną praw podmiotu danych. Mogą się bowiem zdarzać komentarze wulgarne, opisujące nieprawdziwe sytuacje lub nieobiektywne. Te elementy w procesie stosowania art. 23 ust. 1 pkt 5 u.o.d.o., a po 25 maja art. 6 ust. 1 lit. f RODO muszą być brane pod uwagę jako czynnik po stronie praw i wolności osób, których dane dotyczą.