Udostępnianie danych osobowych jak to ugryźć

Udostępnianie danych osobowych to w praktyce jedno z trudniejszych zagadnień dotyczących ochrony danych osobowych.  Spróbuję je dzisiaj nieco przybliżyć.

Ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.

Z drugiej strony ustawy nie stosuje się do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, dlatego nie każde naruszenie w sferze danych osobowych osoby fizycznej będzie oznaczało naruszenie ustawy o ochronie danych osobowych.

Przepisy o ochronie danych osobowych stosuje się więc do podmiotów, które w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych przetwarzają dane osobowe a nie stosuje się do osób prywatnych, które przetwarzają dane w celach osobistych. Naruszenia danych osobowych przez takie osoby będą oceniane w świetle innych niż ustawa o ochronie danych osobowych przepisów.

Coż znaczy, że dane są przetwarzane? Co w świetle prawa oznacza określenie przetwarzanie danych osobowych?

Przetwarzanie to zgodnie z przepisami  jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Udostępnianie danych jest więc operacją przetwarzania danych wykonywaną przez administratora danych w związku z prowadzoną działalnością zarobkową, zawodową lub dla realizacji celów zawodowych. Samo udostępnianie danych oznacza przekazywanie danych pomiędzy różnymi administratorami danych.

W praktyce udostępnianie zdarza się dość często. Na moim blogu często wpisywaną frazą w wyszukiwarkę jest udostępnianie (przekazywanie) danych osobowych Policji, bowiem dość często zdarza się, że Policja wnioskuje do różnych podmiotów (np. pracodawców) o udostępnienie danych osobowych.

W sferze publicznej udostępnianie danych osobowych pomiędzy różnymi organami państwowymi danych osobowych zdarza się bardzo często, jednak pamiętajmy, że podstawą dla takiego udostępnienia danych zawsze powinien być przepis prawa. Organy administracji państwowej działają na podstawie i w granicach prawa i dotyczy to również udostępniania danych osobowych.

Bywa z tym jednak różnie i dane są udostępniane, chociaż nie powinny lub blokuje się dostęp do danych, gdy są ku temu podstawy prawne. Związane jest to bardzo często z brakiem odpowiedniej wiedzy przez urzędników.

W sektorze prywatnym do udostępniania (przekazywania) danych osobowych również dochodzi często, bowiem przetwarzanie danych osobowych i potrzeby administratorów danych osobowych stale ewoluują. Wobec rozwoju nowych technologii oraz pojawiania się ciągle nowych sposobów przetwarzania danych osobowych pojawia się potrzeba udostępniania danych osobowych innym podmiotom.

W szczególności widoczne jest to w internecie, gdzie rozwój nowych form przetwarzania danych osobowych jest bardzo dynamiczny. Podmioty prowadzące swoją działalność gospodarczą, zarobkową czy zawodową za pośrednictwem internetu w celu rozwoju swojego biznesu często z tych nowych form korzystają.

Potrzeba udostępniania danych przez przedsiębiorców internetowych związana jest często z nawiązywaniem współpracy z innymi podmiotami na przykład w celu poprawy funkcjonalności systemów sprzedaży, zwiększenia wiarygodności czy badania rynku i preferencji klientów.

Pamiętam zdziwienie mojego klienta, gdy po przeanalizowaniu swojego internetowego biznesu w zakresie udostępniania danych swoich klientów innym podmiotom był bardzo zdziwiony jak dużą ilość danych  osobowych przekazuje innym podmiotom.

Pamiętajmy jednak, że udostępnianie danych jest dopuszczalne, ale pod warunkiem, że jest legalne to znaczy, że administrator danych udostępniający dane posiada odpowiednią podstawę prawną tak samo administrator zbierający dane również musi taką podstawą się legitymować.

Zgodnie z przepisami to administrator danych powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy.

Za niedopełnienie powyższego obowiązku administrator danych, który udostępnia dane osobom nieupoważnionym podlega grzywnie, karze ograniczenia wolności albo pobawienia wolności do lat 2, ponosi więc odpowiedzialność karną.

Z drugiej strony administrator danych, któremu dane zostały bezpodstawnie udostępnione a on je dalej  również bez podstawy prawnej przetwarza poniesie odpowiedzialność karną, administracyjną, cywilną a wkrótce również zapłacić wysoką karę finansową (po wejściu w życie rozporządzenia unijnego).

Z uwagi na powyższe pamiętajmy, aby zabezpieczyć przetwarzanie danych tak, aby uniknąć narażenia się na zarzut wykorzystywania danych nielegalnie. W tym celu należy każdą sytuację zbierania danych przeanalizować pod kątem potrzeb biznesowych a w szczególności zadbać, aby dane były od samego początku zbierane legalnie. Czasami związane to będzie z pozyskaniem odpowiednio sformułowanych zgód.

Przeglądając strony internetowe różnych przedsiębiorców internetowych widzę jak duże są niedociągnięcia w powyższym zakresie. W dalszym ciągu funkcjonują klauzule zgody z błędami, które w orzecznictwie i doktrynie już lata temu zostały wytknięte.

Tworzenie baz danych w oparciu o nieprawidłowe zgody jest z  zasady skazane na porażkę. Pozyskanie właściwych zgód po fakcie zwłaszcza gdy baza zawiera tysiące (setki tysięcy) danych jest niewykonalne, gdyż ludzie niechętnie potwierdzają zgody a GIODO w każdej chwili może zarzucić nielegalność przetwarzania danych i zakazać wykorzystywania bazy, co dla biznesu  może być niepowetowaną stratą.

{ 0 komentarze… dodaj teraz swój }

Dodaj komentarz

Poprzedni wpis:

Następny wpis: