Katalog tych przesłanek legalizujących przetwarzanie danych osobowych jest zamknięty. Każda z nich ma charakter autonomiczny i niezależny. Oznacza to, iż przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z przesłanek stanowi o zgodnym z prawem przetwarzaniu danych osobowych. Tym samym wyrażona zgoda nie jest jedyną przesłanką do usprawiedliwionego realizowania procesu przetwarzania danych osobowych, zatem, cofnięcie zgody w sytuacji zaistnienia innej przesłanki określonej w art. 23 ust. 1 ustawy nie oznacza, iż dalsze przetwarzanie danych automatycznie staje się niedopuszczalne.
W przypadku realizacji usługi świadczonej drogą elektroniczną zastosowanie znajdują również przepisy ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2002 r., Nr 144, poz. 1204 z poźn. zm.), które mają rangę norm szczególnych wobec ogólnych zasad unormowanych w przepisach ustawy o ochronie danych osobowych. Stosownie do brzmienia art. 18 ust. 1 wskazanej wyżej ustawy, usługodawca może przetwarzać następujące dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między nimi: nazwisko i imiona usługobiorcy (pkt 1), numer ewidencyjny PESEL lub – gdy ten numer nie został nadany – numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość (pkt 2), adres zameldowania na pobyt stały (pkt 3), adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3 (pkt 4), dane służące do weryfikacji podpisu elektronicznego usługobiorcy (pkt 5), adresy elektroniczne usługobiorcy (pkt 6). Nadto w celu realizacji umów lub dokonania innej czynności prawnej z usługobiorcą, usługodawca może przetwarzać inne dane niezbędne ze względu na właściwość świadczonej usługi lub sposób jej rozliczenia (ust. 2) oraz może przetwarzać, za zgodą usługobiorcy i dla celów określonych w art. 19 ust. 2 pkt 2, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną (ust. 4). Mając na uwadze powyższe, zakres obecnie przetwarzanych przez Przedsiębiorcę danych osobowych Skarżącej zawarty jest w dyspozycji ww. przepisu.
Odrębną natomiast, pozostającą poza kompetencją Generalnego Inspektora Ochrony Danych Osobowych, jest kwestia prawidłowości zawartej pomiędzy Skarżącą a Przedsiębiorcą umowy. Podkreśla to Naczelny Sąd Administracyjny, który w wyroku z dnia 6 czerwca 2005 r. (sygn. akt: I OPS 2/05) wskazał, że do dokonywania oceny umów cywilnoprawnych pod kątem ich legalności właściwy wyłącznie jest sąd powszechny. Co więcej, w wyroku z dnia 6 lipca 2006 r. Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że „dopóki ważność umowy nie zostanie podważona we właściwym trybie i formie, umowa stanowi dokument wywołujący określone skutki prawne podlegające także ocenie w świetle ustawy o ochronie danych osobowych”.
DOLiS/DEC- 470/13/25576/25566
