GIODO wyjaśnia, kiedy można legalnie przekazywać dane osobowe klientów w ramach postępowania reklamacyjnego.

Jak wynika z informacji zamieszczonych na stronie GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH:

firma przekazując dane klienta, który zgłasza reklamację, kontrahentom którzy są stroną postępowania reklamacyjnego, nie narusza przepisów ustawy o ochronie danych osobowych o ile zakres danych osobowych jest adekwatny do celu ich zbierania, czyli do realizacji postępowania reklamacyjnego.

Warunki udostępnianiania danych osobowych tzw. zwykłych określone są w art. 23 ust. 1 pkt 1 – 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Jednym z nich jest zgoda osoby, której dane dotyczą.

 Przetwarzanie danych jest także możliwe wtedy, gdy:

1) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2 ustawy),

2) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (art. 23 ust. 1 pkt 3 ustawy),

3) jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (art. 23 ust. 1 pkt 4 ustawy),

4) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 ustawy).

Zaś zgodnie z art. 23 ust. 4 pkt 1 i 2 ustawy, za prawnie usprawiedliwiony cel uważa się w szczególności:

  • marketing bezpośredni własnych produktów lub usług administratora danych oraz
  • dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Spełnienie którejkolwiek z przesłanek określonych w art. 23 ust. 1 ustawy czyni proces przetwarzania danych legalnym.

W sytuacji przekazywania danych osobowych klientów kontrahentom, jako przesłankę legalizującą można wskazać art.. 23 ust. 1 pkt 3 czyli gdy przetwarzanie danych jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną, jednak istotne jest aby udostępnianie danych klienta było uregulowane w umowie w nim zawartej.

Firma, która zamierza przekazywać dane osobowe klientów, może również zawrzeć umowę powierzenia przetwarzania danych osobowych (art. 31 ust. 1 ustawy o ochronie danych osobowych). Na podstawie ust. 2 ww. artykułu podmiot, któremu powierzono dane może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie.

Podkreślić należy, iż podmiot taki obowiązany jest przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych (ust. 3).

Należy przy tym zwrócić uwagę, iż zgodnie z art. 31 ust. 4 ustawy, w przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

Podkreślenia wymaga fakt, iż szczegółowe obowiązki zarówno administratora danych, jak i podmiotu, któremu powierzono przetwarzanie danych należy określić w zawartej między nimi umowie.


przejdź do strony głównej

radca prawny Arkadiusz Foryś

radca prawny Arkadiusz Foryś, 18 lat praktyki w Krakowie,
Close Menu