Historia z życia wzięta

Oczyma wyobraźni zobaczmy małe miasto, gdzie ludzie albo znają się osobiście albo znają się tylko z widzenia. Zidentyfikowanie konkretnej osoby fizycznej w takim miasteczku to żadna trudność. W takim mieście ludzie jak wszędzie się rodzą, umierają, pracują, uczą, zakładają rodziny, popełniają przestępstwa czy osiągają sukcesy. Charakterystyczne jednak dla takiego miasta jest to, że wszyscy się znają.

Bohaterami naszej historii jest pracownica sądu, dłużniczka mająca procesy w owym sądzie i salon fryzjerski, w którym rzecz się rozegra. Historia rozpoczyna się w momencie, gdy pracownica sądu poznaje dłużniczkę w związku z ofertą wynajmu lokalu złożoną przez tę pierwszą. Dłużniczka była jedną z osób zainteresowanych wynajmem od urzędniczki lokum.

Pracownica sądu wiele lat spędziła w sądzie i potrafi wykorzystać cenne informacje służbowe. W celu weryfikacji wiarygodności potencjalnej najemczyni sprawdza ją w sądowych bazach danych i okazuje się, że nasza dłużniczka posiada procesy sądowe i niekorzystne dla siebie wyroki. Możesz sobie wyobrazić, że do zawarcia umowy najmu pomiędzy paniami nie dochodzi, ale w tym momencie nasza historia dopiero nabiera tempa.

Pracownica sądu niedługo po incydencie z dłużniczką udaje się do znanego w mieście salonu fryzjerskiego “Angela”. Z panią Kasią zaprzyjaźnioną fryzjerką znają się od lat, ich rozmowy są przyjacielskie a czasem wręcz poufałe. Tego dnia urzędniczka z blond farbą na włosach i wypiekami na twarzy opowiada Pani Kasi jak uniknęła tarapatów związanych z wynajęciem mieszkania osobie z kilkoma wyrokami i komornikiem na karku. Padają dane personalne oraz szczegóły dotyczące wyroków sądowych dłużniczki.

Pech chciał, że cała historia rozniosła się po mieście i dotarła do samej dłużniczki, która nie wiele czekając postanowiła rozprawić się z niedyskretną pracownicą sądu. Pomiędzy Paniami zawisł spór sądowy o naruszenie dóbr osobistych dłużniczki przez ujawnienie przez pracownicę sądu poufnych informacji służbowych.

W świetle prawa ochrony danych osobowych pracownica pozyskała dane o dłużniczce wykorzystując swoje stanowisko służbowe. Jako pracownik sądu posiadała upoważnienie administratora danych i prawo dostępu do danych. Wykorzystała możliwości służbowe, aby zweryfikować wiarygodność dłużniczki jako potencjalnej najemczyni lokalu. Jednakże nie poprzestała jedynie na tym. Informacje bowiem puściła w eter.

W świetle prawa  osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Urzędniczka nie dochowała tajemnicy a wiadomo, kto nie dochowuje tajemnicy musi liczyć się z konsekwencjami.

W tym przypadku dłużniczka skorzystała ze środków prawa cywilnego i wytoczyła urzędniczce powództwo o naruszenie dóbr osobistych. Bezprawność działania urzędniczki była oczywista, co przesądziło jej odpowiedzialność cywilną.

Jednakże to nie koniec bowiem w takim przypadku w grę wchodzi również odpowiedzialność karna. Udostępnienie lub umożliwienie dostępu do danych osobowych przez osobę obowiązaną do ich ochrony osobom nieupoważnionym jest zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2.

Historia opowiedziana dzisiaj wydarzyła się naprawdę. Nie jest to historia niezwykła czy nieprawdopodobna, większość z nas mogłaby przytoczyć podobną. Tym razem poufne dane osobowe ujawniła pracownica sądu, ale informacje takie są ujawniane przez przedstawicieli różnych zawodów i różnych branż również tych, które są zobowiązane prawem do szczególnej poufności jak na przykład lekarze czy prawnicy.

Podstawy przetwarzania danych osobowych – refleksja

Do napisania tego artykułu skłoniły mnie poaudytowe refleksje dotyczące stanu wiedzy osób upoważnionych do przetwarzania danych osobowych, teoretycznie więc zapoznanych z zasadami dotyczącymi przetwarzania danych osobowych.

Okazuje się, że zwykle osoby upoważnione do przetwarzania danych z reguły dysponują jakimś minimum wiedzy w zakresie obowiązku zabezpieczenia danych czy nieudostępniania ich osobom nieupoważnionym. Jednak rzadko potrafią poprawnie odpowiedzieć np. na pytanie na jakiej podstawie przetwarzane są dane osobowe w ich organizacji. Pojawiają się stwierdzenia, że na podstawie ustawy o ochronie danych osobowych lub na podstawie zgody podmiotu danych w sytuacji, gdy takiej zgody brak.

Zdaję sobie sprawę, że są to rozważania teoretyczne i wymagają podstaw wiedzy w zakresie przepisów o ochronie danych osobowych, bo przesłanki przetwarzania danych wskazane są właśnie w ustawie o ochronie danych osobowych, nie oznacza to jednak, że sama ustawa jest taką podstawą.

Piszę o tym, bo z mojej perspektywy prawnika, który specjalizuje się w prawie ochrony danych osobowych pytanie o podstawy przetwarzania danych osobowych jest kwestią zasadniczą. Wie o tym każdy ABI, który zaczyna proces sprawdzenia. Na  początku poza stwierdzeniem, że organizacja przetwarza dane osobowe należy ustalić w oparciu o jakie podstawy prawne to przetwarzanie się opiera. Następnie sprawdzamy kolejne zagadnienia.

W praktyce osoby upoważnione do przetwarzania danych osobowych mają wiedzę np. o zasadzie “czystego biurka” czy obowiązku wylogowania się z systemu, jednak nie mają pojęcia na jakiej to podstawie mają prawo do przetwarzania danych osobowych w swoich codziennych czynnościach.

W imieniu swojego pracodawcy zawierają np. setki umów, które implikują wiele czynności związanych z przetwarzaniem danych osobowych w związku z wykonaniem tejże umowy, jednak rzadko wpadają na trop, że to ta umowa jest podstawą przetwarzania danych osobowych. Obnaża to brak podstawowej wiedzy z zakresu ochrony danych osobowych. Nie dziwi mnie to  aż tak bardzo biorąc pod uwagę ogólną niską świadomość w tym obszarze.

Pragnę tylko wskazać administratorom bezpieczeństwa informacji, którzy są odpowiedzialni za zapewnianie zapoznania osób upoważnionych do przetwarzania danych z przepisami o pewnych fundamentalnych zasadach, które należy wpajać od początku, z tego powodu, że jest to wiedza elementarna, którą osoby przetwarzające dane osobowe powinny posiadać.

Czy informacje o wykształceniu to dane osobowe

Taka fraza została wpisana przez osobę przeglądającą mojego bloga w poszukiwaniu interesujących informacji. Więc odpowiadam tak informacje o wykształceniu, jeśli dotyczą możliwej do zidentyfikowania osoby fizycznej są danymi osobowymi.

Temat dotyczący danych osobowych a dokładnie co tak naprawdę tymi danymi jest poruszałam w ostatnim wpisie o danych w salonach urody.

Dane osobowe to wszelkie informacje dotyczące możliwej do zidentyfikowania osoby fizycznej a więc mogą to być dane identyfikacyjne takie jak imię, nazwisko, numer pesel, numer NIP, adres zamieszkania, numer telefonu. adres e-mail ale też dane dotyczące zatrudnienia, wykształcenia, stanu zdrowia oraz wszelkie informacje, które konkretnej osoby dotyczą.

Czy informacje, że pan Jan Kowalski ma kochankę to dane osobowe to zależy od kontekstu i od możliwości odniesienia tej informacji do konkretnej osoby fizycznej.

To, czy informacje pozwalają na identyfikację osoby, wynika z kontekstu, w jakim informacja ta występuje. Czasami bowiem podanie imienia i nazwiska osoby, nie pozwala na określenie tożsamości tej osoby.

Jednak jeśli pracujemy w małej firmie, w której pracuje tylko jeden Jan Kowalski to oczywiście informacja o tym, że ma kochankę będzie dotyczyła tego konkretnego Jana Kowalskiego i będzie oczywiście stanowiła jego dane osobowe.

Jednak nie zapominajmy, iż ustawa o ochronie danych osobowych określając zasady przetwarzania danych osobowych osób fizycznych odnosi się do przetwarzania tych danych przez administratorów danych osobowych, którzy przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

Nie każda więc sytuacja przetwarzania informacji, że Jan Kowalski ma kochankę będzie podlegała ocenie w świetle prawa ochrony danych osobowych. Czasami osoba, której informacje na jej temat są przetwarzane niezgodnie z prawem będzie musiała dochodzić swoich  na zasadach ogólnych w szczególności korzystając z reżimu ochrony dóbr osobistych.

Obrót danymi osobowymi – ochrona danych osobowych

Obrót danymi osobowymi czyli tak naprawdę udostępnianie danych osobowych w oparciu o umowy cywilnoprawne w świetle prawa jest dozwolona. Pamiętać jednak należy, iż udostępnianie danych osobowych w ramach zawieranych umów musi być zgodne z ustawą o ochronie danych osobowych.

W mojej opinii obrót danymi osobowymi musi legitymować się odpowiednią podstawą prawną wymienioną w uodo.

W obrocie róznie  bywa z przestrzeganiem warunków legalnego przetwarzania danych. Pokłosiem takiego postępowania jest udostęnianie danych osobowych osobom nieuprawnionym. Ochrona danych osobowych gwarantowana przez przepisy prawne staje się wówczas iluzoryczna.

Nie jednemu z nas zdarzyło się otrzymać telefon czy e-mail od firmy, której nie udostęniał swoich danych osobowych. Niestety takie sytuacje nie należą do rzadkości. Firmy pamiętać jednak powinny, iż taki nielegalny obrót danymi osobowymi wypełnia znamiona czynów zabronionych, za które ustawa przewiduje sankcje karne.

Bywa też, że winne są same osoby udostępniające swoje dane osobowe, które często nie czytają dokadnie zgód, które podpisują a które zawierają w swojej treści niejednokrotnie zgodę na udostępnianie danych osobom trzecim.

Czasami też podmioty, którym administrator danych powierzył do przetwarzania dane powołują się na umowę powierzenia do przetwarzania, jako podstwę prawną przetwarzania danych. Jednakże należy pamiętać, iż w przypadku, gdy przetwarzający wykorzystuje dane do własnych a nie administratora danych celów umowa o powierzenie do przetwarzania nie może stanowić podstawy prawnej takiego przetwarzania.

Dane osobowe z przeszłości…

Dane osobowe w potocznym odczuciu kojarzą się z nazwiskiem i imieniem osoby fizycznej. Ustawa o ochronie danych osobowych mówi jednak, iż dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Zakres wobec tego informacji chronionych jest bardzo szeroki i wykracza poza dane stricte osobowe. Są to bowiem wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Ciekawa sprawa dotycząca tego zagadnienia znalazła swój finał przed sądem. Zaczęło się od niewinnego zamieszczenia na naszej klasie przez jednego z użytkowników grupowego zdjęcia klasy uczniów konkretnej  szkoły podstawowej. Wszyscy uczniowe również zostali oznaczeni personalnie z imienia i nazwiska.

Jednemu z uczniów ten fakt się nie spodobał. Uznał, ze jego prywatność została naruszona, nie wyrażał zgody na udostępnianie swoich danych w internecie.

Co ciekawe GIODO uznał, iż zdjęcie sprzed 30 czy 40 lat nawet oznaczone imieniem i nazwiskiem nie pozwala na identyfikację konkretnej osoby fizycznej, tego dzisiejszego 40 latka. Dziwne prawda.

Sprawa znalazła swój finał przed Sądem. Pomijając inne ważne wątki wynikłe na jej tle sentencja orzeczenia nie pozostawiała wątpliwości. Zamieszczone na naszej klasie grupowe zdjęcie klasy konkretnej szkoły podstawowej, oznaczone imieniem i nazwiskiem, pozwala na identyfikację konkretnej osoby fizycznej. Sąd uznał, iż nie ma znaczenia fakt, iż wizerunek tejże osoby znacząco odbiega od tego sprzed 30 lat, widniejącego na szkolnej fotografii.

Orzeczenie wydaje się być logiczne i zaspokaja poczucie społecznej sprawiedliwości. Jednakże jak widać kwestia nie była taka oczywista nawet dla samego GIODO.

Budowanie relacji z klientem

marketing-strat

Jakiś czas temu rozmawiałam z Igorem Bielobradek https://przetwarzaniedanych.pl/ochrona-danych-osobowych-w-marketingu-b2b/, prowadzącym bloga B2B o treści marketingowej. Rozmówca zadał mi pytanie czy marketingowcy respektują regulacje prawne dotyczące  ochrony danych osobowych.  Zastanowiłam się chwilę. Odpowiedziałam wówczas, że rzeczywiście jest z tym pewien problem, jednak nie jest to grupa zawodowa, która jakoś specjalnie przoduje, jeśli chodzi o bagatelizowanie tej tematyki.

Ostatnio zapisałam sie do newslettera  jednej ze stron promujących tematykę marketingową. Już przy wypełnianiu formularza zauważyć można podstawowe błędy. Klauzula zgody na przetwarzanie danych osobowych w celach marketingowych połączona ze zgodą na przesyłanie informacji handlowych drogą elektroniczną, brak realizacji obowiązków informacyjnych ze strony podmiotu, który zbiera dane.

GIODO stoi na stanowisku, że niedopuszczalne jest łączenie zgód na przetwarzanie danych osobowych  w różnych celach na przykład dla celów marketingowych oraz dla celów marketingu osób trzecich  ze zgodą na przesyłanie informacji handlowych drogą elektroniczną. Z uwagi na fakt, iż są to inne cele i inne zgody klauzule powinny być sformułowane jako odrębne oświadczenia woli.

Realizacja obowiązku informacyjnego w procesie zbierania danych osobowych ma bardzo istotne znaczenie dla osoby, której dane dotyczą. Dowiaduje się ona kto personalnie, w jakim celu będzie przetwarzał jej dane osobowe.  Osoba, od której zbierane są dane powinna dowiedzieć się również o prawie dostępu i poprawiania dotyczących ją danych osobowych.

Przeglądając formularze zbierające dane osobowe, za pośrednictwem stron internetowych widzimy prawdziwą różnorodność w podejściu do tematyki. Jedne są zupełnie pozbawione jakichkolwiek informacji i klauzul, inne coś tam zawierają, jeszcze inne odsyłają do regulaminów czy polityk prywatności.

Nie bez znaczenia dla omawianej problematyki są ograniczenia systemowe i koszty związane z umieszczaniem dodatkowych okienek do odznaczania, co podnoszą niektórzy przedsiębiorcy. W każdym przypadku trzeba zbadać ryzyko prawne związane z przetwarzaniem danych osobowych i zastosować odpowiednie dla niego rozwiązania.

I tak sobie myślę, że osoby, które zajmują się marketingiem, ustalają narzędzia i strategie  pozyskiwania klientów, kontaktów powinny być szczególnie wrażliwe na kwestię ochrony danych osobowych . We współczesnym świecie, tym wirtualnym ale i realnym, gdy cała strategia marketingowa sprowadza się do pozyskania klienta, do zbudowania z nim wartościowej relacji. Nie może to się jednak udać bez respektowania praw tego klienta w tym przypadku regulacji dotyczących ochrony jego danych osobowych.