Prawnicy a ochrona danych osobowych

Dzisiaj w Rzeczpospolitej ukazał się artykuł pt. “Prawnicy słabo chronią dane osobowe“, w którym GIODO po raz kolejny przywołuje tę grupę zawodową, jako nie nazbyt biegłą w temacie ochrony danych osobowych.

Jednocześnie GIODO rozwiewa krążący wśród prawników mit jakoby regulacje prawne dotyczące ochrony danych osobowych ich nie dotyczyły. Tajemnica zawodowa radcowska i adwokacka ma zapewniać danym dalej idącą ochronę i polega na tym, że bez zgody osoby, której dane dotyczą radca czy adwokat nikomu nie ma prawa udostępniać danych osobowych. W wyjątkowych przypadkach tylko sąd może prawnika zwolnić z tej tajemnicy.

W pozostałym zakresie należy stosować regulacje prawne dotyczące ochrony danych osobowych. Kancelaria radców prawnych powinna więc mieć podstawowe dokumenty, jeślii przetwarza dane w systemach informatycznych takie jak politykę bezpieczenstwa oraz instrukcję zarządzania systemem informatycznym.

Z pracy biura GIODO wynika też, że zdarzają się nie tak znowu rzadko, skargi na Kancelarie w związku z naruszeniem ustawy o ochronie danych osobowych. GIODO w reakcji na skargę zmuszony więc jest do wszczęcia postępowania administracyjnego, które może co prawda wykazać bezzsadność skargi z jednej strony, ale z drugiej ujawnić inne braki, na które GIODO zareagować będzie musiał.

Nie taki diabeł straszny jak go malują. Temat ochrony danych osobowych jest rzeczywiście trochę po macoszemu traktowany przez prawników tak samo,podobnie  jak przez innych przedsiębiorców tylko w odróżnieniu od tych ostatnich prawnicy na pewno, gdy z tematem się juz zmierzą poradzą sobie z jego załatwieniem.

Cenzura w internecie

 

Nie tak dawno pisałam, iż  w wyroku TSUE z 13 maja 2014 r. Trybunał uznał, iż operator wyszukiwarki internetowej (np. Google) jest administratorem danych osobowych, które pojawiają się w wynikach wyszukiwania w postaci linków do stron osób trzecich, na których publikowane są informacje o nas.

Nawet jeśli informacje o nas zostały opublikowane na stronach osób trzecich, rozsianych po internecie, to Google prezentując te informacje jako listę wyników tworzy swego rodzaju profil informacji o osobie. W związku z tym został uznany przez TS jako niezależny administrator danych osobowych, do którego należy stosować regulacje unijne w zakresie ochrony danych osobowych.

Na skutek wspomnianego wyroku mozna domagać się usunięcia z wyników wyszukiwania informacji o nas. Chętnych nie brakuje, do operatorów wyszukiwarek lawinowo napływają wnioski od osób domagających sie usunięcia linków do wielu stron i artykułów.

Operatorzy mają obowiązek wniosek przyjąć i rozpatrzeć. Mogą oczywiście odmówić jego uwzględnienia, jednakże w takim przypadku zainteresowanemu przysługuje skarga do GIODO, który bedzie musiał sprawę rozpatrzyć i wydać decyzję.

Dylematów w sprawie nie brakuje. Prawo odmowy przez operatora uwzględnienia wniosku, gdyby miało być naruszone dobro osobiste nie rozwiewa a można rzec z całą pewnością dylematy te potęguje.

Z jednej strony zwyciężło prawo do prywatności jednostki. Wartość, która w sposób zrozumiały zasługuje na ochronę. Z drugiej strony powstaje ryzyko wybielania i wypaczania przeszłości jednostek.

Sprawa z pewnością będzie przedmiotem debat i analiz tak doktryny prawniczej jak i organów ochrony danych osobowych i miejmy nadzieję uda się wypracować rozsądny model postępowania.

Zapis na newsletter – zapis do zbioru

Jednym z istotnych zagadnień z zakresu ochrony danych osobowych, ze zrozumieniem którego borykają się przedsiębiorcy jest zbiór danych osobowych.

Zbiór danych osobowych to w świetle tegoż prawa uporządkowany zestaw danych o charakterze osobowym, posiadający własną strukturę, w którym dane są dostępne według określonych kryteriów.

Praktyka pokazuje, iż identyfikacja zbiorów danych osobowych przysparza wciąż niemało problemów. Przedsiębiorcy najchętniej wszystkie dane osobowe, które w związku ze swoją działalnością przetwarzają, wrzuciliby do jednego worka.

Identyfikując zbiory należy jednak pamiętać, że dla realizacji różnych celów konieczne będzie przetwarzanie danych osobowych w różnych zakresach, a to oznacza, że zgłoszenie zbioru do rejestracji dotyczy nie jednego, lecz kilku zbiorów prowadzonych w różnych celach.

Na przykład baza klientów sklepu internetowego przetwarzanych w różnych celach, jak np. realizacji zamówień, marketingu, prowadzenia bazy umów cywilnoprawnych,nie może zostać zgłoszona do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych jako jeden zbiór danych osobowych.

W stosunku do każdego zbioru musimy też rozważyć legalność przetwarzania danych czyli rozpoznać podstawę prawną przetwarzania danych w zbiorze. Kolejnym obowiązkiem administratora danych będzie poinformowanie osoby, której dane są przetwarzane w zbiorze o tym, kto jest administratorem danych, w jakich celu dane są przetwarzane, czy dane są udostępniane oraz, że podanie danych jest dobrowolne i osoba ma prawo dostępu do danych.

No i oczywiście każdy zbiór powinien być zgodnie z przepisami prawa zabezpieczony a administrator w swojej organizacji musi posiadać podstawowe dokumenty związane z przetwarzaniem danych osobowych takie jak politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym.

Na koniec warto wspomnieć o zbiorze danych osobowych znanym większości przedsiębiorców jest baza Newsletter. Jednak obserwując strony internetowe łatwo można dojść do przekonania, iż pozyskiwanie danych do tego zbioru rzadko odbywa się z uwzględnieniem obowiązków prawa.

Za pośrednictwem formularza zapisu na newsletter rozpoczyna się proces zbierania danych osobowych. Osoba, której dane są pozyskiwane w ten sposób powinna w tym momencie uzyskać wszystkie niezbędne informacje kto i w jakim celu będzie przetwarzał jej dane osobowe, czy dane będą udostępniane oraz, że podanie danych jest dobrowolne a ona ma prawo dostępu do swoich danych.

Ponadto  jeśli za pośrednictwem newslettera przesyłane są oferty, reklamy czy jakiekolwiek informacje handlowe mające na celu zachęcenie odbiorcy do skorzystania z usług, konieczna jest wówczas wyraźna zgoda osoby na przesyłanie tego rodzaju komunikacji. W przeciwnym razie wysyłane komunikaty mogą narazić się na zarzut wysyłania sankcjonowanej przez prawo zakazanej informacji handlowej.

Podpowierzenie danych osobowych do przetwarzania

Nie jednego sam tytuł niniejszego wpisu zapewne odstrasza. Jednakże sytuacja opisana w tytule nie należy do rzadkości. Problem tylko w tym, że mało kto kojarzy ją ze swoim przypadkiem.

Na przykład firma Jana Nowaka prowadząca niewielką działalność gospodarczą potrzebuje promocji w internecie. Szuka firmy informatycznej i zamawia stworzenie firmowej strony internetowej. Strona musi mieć adres czyli domenę, ale co najważniejsze potrzebuje serwera, który będzie podłączony do sieci i będzie służył do utrzymywania strony.

W typowej sytuacji Jan Nowak skupia się na biznesie. Zależy mu więc na profesjonalnej stronie, która przysparzałaby mu nowych klientów. Pamięta też o kosztach więc wybierając firmę świadczącą usługi hostingu nie zawsze zbada jakość świadczonych w tym zakresie usług. Często nie zweryfikuje, gdzie zlokalizowane są serwery przechowywujące jego dane.

Usługi hostingu polegają na udostępnieniu usługobiorcy czyli naszemu Janowi Nowakowi powierzchni serwera w celu przechowywania na nim danych, utrzymywania stron internetowych, systemów informatycznych. W sytuacjach nieco bardziej skomplikowanych Jan Nowak kupi gotową aplikację na przykad do obsługiwania księgowości jego firmy i kontrahentów. Dostęp do aplikacji uzyska przez wyszukiwarkę internetową wraz z hostingiem, który często świadczony jest przez inny podmiot niż ten, który sprzedaje aplikację.

Sytuacja, w której dane powierzone do przetwarzania są powierzane dalej innym podmiotom zwana jest podpowierzaniem i ma miejsce w obrocie internetowym dość często. Mało kto jednak rozpoznaje ją i jest jej świadomy. Świadomość bowiem w zakresie nowych technologii jest tak samo kulejąca jak w kwestii ochrony danych osobowych.

W sytuacji, gdy Jan Nowak umieścił dane swoich kontrahentów w dostępnej przez wyszukiwarkę aplikacji internetowej jako administrator danych osobowych powierzył ich przetwarzanie usługodawcy udostępniającym mu te aplikację. Dane osobowe wyszły poza firmę Jana Nowaka, zostaly wyprowadzone na zewnątrz, powierzone firmie, która udostepnia usługę i infrastrukturę informatyczną. Jednakże korzysta ona również z podwykonawców na przyklad w zakresie zapewnienia odpowiedniej  infrastruktury.

Z perspektywy Jana Nowaka dane jego firmy zostały powierzone do przetwarzania i podpowierzone, gdyż usługodawca korzysta z serwerów podmiotu zewnętrzengo.

W doktrynie prawniczej dopuszcza się możliwość podpowierzenia danych osobowych, jednak pod pewnymi ściśle określonymi warunkami. Warunkiem takim będzie wymóg zgody administratora danych czyli Jana Nowaka na posłużenie się przez przetwarzającego podwykonawcą.

Umocowanie dla podpowierzenia danych osobowych powinno wynikać w sposób wyraźny z umowy pomiędzy administratorem a przetwarzającym. Firma, której podzlecono przetwarzanie danych może przetwarzać dane wyłącznie w takim zakresie i celu, jaki wynika z umowy powierzenia.

Na koniec należy podkreślić, że powierzającego obciąża odpowiedzialność za działania i zaniechania podwykonawcy, ktorym posługuje sie dla wykonania obowiązków wynikających z zawartej pomiędzy nim a administratorem umowy.

W związku z powyższym wszyscy zainteresowani powinni być zainteresowani we wlaściwym zabezpieczeniu wzajemnych relacji, gdyż każdego uczestnika tego procesu obciąża odpowiedzialność administracyjna, cywilna bądż karna.

 

Powierzenie i podpowierzenie danych osobowych

Administrator danych osobowych może samodzielnie przetwarzać dane osobowe, może też powierzyć wykonywanie czynności na danych innemu podmiotowi.

W praktyce zdarza się coraz częściej, że administratorzy danych korzystają z usług wielu podmiotów przetwarzająych dane w ich imieniu. Powszechna też staje się sytuacja, w której administratorzy danych powierzają dane przetwarzającym (procesorom) a ci korzystają z podwykonawców. Tworzy się tym samym swoisty łańcuch powiązań w ramach operacji na danych osobowych.

Prawo dopuszcza powierzenie innemu podmiotowi przetwarzanie danych. Bardzo często dotyczy to sytuacji, w których administrator przedsiębiorca zleca wykonanie określonych usług na zewnątrz. Dotyczy to bardzo często usług w zakresie księgowości, IT czy marketingu. Przedmiotem takich usług są określone operacje na danych osobowych. Oczywistym więc jest, że przedsiębiorca musi w celu prawidłowego wykonania usługi udostępnić rownież dane osobowe. Prawo dopuszcza taką możliwość, jednakże stawia pewne warunki, które muszą być spełnione w takich sytuacjach.

Dla zgodnego z prawem przekazania w ramach zleconych usług danych osobowych adminsitrator danych musi zawrzeć z usługodawcą stosowną umowę na piśmie. Umowa taka powinna określać w jakim zakresie i w jakim celu dane zostaną powierzone. Nie ma przeszkód, aby regulacje te były zawarte w samej umowie o świadczenie usługi.

Konstrukcja opisana powyżej jest konstrukcją najprostszą. Dwa podmioty administrator i przetwarzający, jedna umowa regulująca ich wzajemne prawa i obowiązki w zakresie przetwarzania danych.

Tak, jak napisałam na wstępie ten model jest już coraz rzadszy. W obrocie pojawiają się łańcuchy podmiotów uczestniczących w procesie świadczenia usług. Ma to miejsca wowczas, gdy na przykład zawieramy umowę z jednym podmiotem, a on nie wykonuje części usług osobiście tylko używa do tych celów podwykonawców.

Powstaje sytuacja, w której adminsitrator danych traci kontrolę na danymi, które powierzył lub ta odpowiedzialność rozmywa się w łańuchu podmiotów świadczących usługę.

Sytuacja, w której podmiot, któremu powierzono przetwarzanie danych dalej powierza ich przetwarzanie innemu podmiotowi lub podmiotom jest nazwana podpowierzeniem, któremu szczegółowo zostanie poświęcony kolejny wpis na blogu.

Przetwarzanie danych osobowych

Zgodnie z ustawą o ochronie danych osobowych przetwarzanie danych osobowych to jakiekolwiek operacje na danych takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Jak widać ustawa zakreśla bardzo szeroki zakres czynności faktycznych, które można w jej świetle zakwalifikować, jako przetwarzanie danych osobowych. Oznacza to, że podmiot przetwarzający dane, czyli dokonujący na danych takich czynności, jak wymienione powyżej podlega zasadom oraz rygorom ustalonym dla przetwarzania danych w odpowiednich przepisach prawnych w szczególności ustawie o ochronie danych osobowych.

Każda, więc operacja na danych osobowych począwszy od pozyskiwania danych osobowych przy pomocy wszelkiego rodzaju formularzy kontaktowych, wyskakujących okienek typu pop-up, newsletterów czy pozyskiwanych danych w kontakcie bezpośrednim jest przetwarzaniem danych osobowych.

I jest to pierwszy i bardzo ważny moment, aby przetwarzanie danych poddać zasadom określonym w ustawie. Jest to o tyle ważne, że baza danych osobowych pozyskiwana w sposób prawidłowy od początku nie będzie wymagała jakiegoś szczególnego postępowania naprawczego, które czasami może być dla właściciela bazy bolesne w skutkach.

Zwłaszcza przetwarzanie danych w systemach informatycznych wymaga od administratora podjęcia szeregu czynnościwa tym posiadania polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym. Są to podstawowe dokumenty, które każdy administrator danych osobowych przetwarzający dane w systemach informatycznych posiadać powinien.

Tak, więc pamiętajmy, że jeśli wykorzystujemy w swojej działalności gospodarczej dane osobowe inaczej mówiąc przetwarzamy te dane stajemy się administratorem tych danych odpowiedzialnym za przetwarzanie ich zgodnie z prawem.

 Pamiętajmy, aby zasady te wcielać od pierwszej czynności przetwarzania zaoszczędzi to, bowiem przykrych niespodzianek w przyszłości, gdy baza liczyła będzie już setki lub tysiące klientów. Zwłaszcza należy pamiętać o tym w przededniu wprowadzenia nowego prawa unijnego, które w całej Unii Europejskiej wprowadzi jednolity reżim ochrony danych osobowych.