Udostępnianie danych osobowych – jak to ugryźć

Udostępnianie danych osobowych to w praktyce jedno z trudniejszych zagadnień dotyczących ochrony danych osobowych.  Spróbuję je dzisiaj nieco przybliżyć.

Ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.

Z drugiej strony ustawy nie stosuje się do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, dlatego nie każde naruszenie w sferze danych osobowych osoby fizycznej będzie oznaczało naruszenie ustawy o ochronie danych osobowych.

Przepisy o ochronie danych osobowych stosuje się więc do podmiotów, które w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych przetwarzają dane osobowe a nie stosuje się do osób prywatnych, które przetwarzają dane w celach osobistych. Naruszenia danych osobowych przez takie osoby będą oceniane w świetle innych niż ustawa o ochronie danych osobowych przepisów.

Coż znaczy, że dane są przetwarzane? Co w świetle prawa oznacza określenie przetwarzanie danych osobowych?

Przetwarzanie to zgodnie z przepisami  jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Udostępnianie danych jest więc operacją przetwarzania danych wykonywaną przez administratora danych w związku z prowadzoną działalnością zarobkową, zawodową lub dla realizacji celów zawodowych. Samo udostępnianie danych oznacza przekazywanie danych pomiędzy różnymi administratorami danych.

W praktyce udostępnianie zdarza się dość często. Na moim blogu często wpisywaną frazą w wyszukiwarkę jest udostępnianie (przekazywanie) danych osobowych Policji, bowiem dość często zdarza się, że Policja wnioskuje do różnych podmiotów (np. pracodawców) o udostępnienie danych osobowych.

W sferze publicznej udostępnianie danych osobowych pomiędzy różnymi organami państwowymi danych osobowych zdarza się bardzo często, jednak pamiętajmy, że podstawą dla takiego udostępnienia danych zawsze powinien być przepis prawa. Organy administracji państwowej działają na podstawie i w granicach prawa i dotyczy to również udostępniania danych osobowych.

Bywa z tym jednak różnie i dane są udostępniane, chociaż nie powinny lub blokuje się dostęp do danych, gdy są ku temu podstawy prawne. Związane jest to bardzo często z brakiem odpowiedniej wiedzy przez urzędników.

W sektorze prywatnym do udostępniania (przekazywania) danych osobowych również dochodzi często, bowiem przetwarzanie danych osobowych i potrzeby administratorów danych osobowych stale ewoluują. Wobec rozwoju nowych technologii oraz pojawiania się ciągle nowych sposobów przetwarzania danych osobowych pojawia się potrzeba udostępniania danych osobowych innym podmiotom.

W szczególności widoczne jest to w internecie, gdzie rozwój nowych form przetwarzania danych osobowych jest bardzo dynamiczny. Podmioty prowadzące swoją działalność gospodarczą, zarobkową czy zawodową za pośrednictwem internetu w celu rozwoju swojego biznesu często z tych nowych form korzystają.

Potrzeba udostępniania danych przez przedsiębiorców internetowych związana jest często z nawiązywaniem współpracy z innymi podmiotami na przykład w celu poprawy funkcjonalności systemów sprzedaży, zwiększenia wiarygodności czy badania rynku i preferencji klientów.

Pamiętam zdziwienie mojego klienta, gdy po przeanalizowaniu swojego internetowego biznesu w zakresie udostępniania danych swoich klientów innym podmiotom był bardzo zdziwiony jak dużą ilość danych  osobowych przekazuje innym podmiotom.

Pamiętajmy jednak, że udostępnianie danych jest dopuszczalne, ale pod warunkiem, że jest legalne to znaczy, że administrator danych udostępniający dane posiada odpowiednią podstawę prawną tak samo administrator zbierający dane również musi taką podstawą się legitymować.

Zgodnie z przepisami to administrator danych powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy.

Za niedopełnienie powyższego obowiązku administrator danych, który udostępnia dane osobom nieupoważnionym podlega grzywnie, karze ograniczenia wolności albo pobawienia wolności do lat 2, ponosi więc odpowiedzialność karną.

Z drugiej strony administrator danych, któremu dane zostały bezpodstawnie udostępnione a on je dalej  również bez podstawy prawnej przetwarza poniesie odpowiedzialność karną, administracyjną, cywilną a wkrótce również zapłacić wysoką karę finansową (po wejściu w życie rozporządzenia unijnego).

Z uwagi na powyższe pamiętajmy, aby zabezpieczyć przetwarzanie danych tak, aby uniknąć narażenia się na zarzut wykorzystywania danych nielegalnie. W tym celu należy każdą sytuację zbierania danych przeanalizować pod kątem potrzeb biznesowych a w szczególności zadbać, aby dane były od samego początku zbierane legalnie. Czasami związane to będzie z pozyskaniem odpowiednio sformułowanych zgód.

Przeglądając strony internetowe różnych przedsiębiorców internetowych widzę jak duże są niedociągnięcia w powyższym zakresie. W dalszym ciągu funkcjonują klauzule zgody z błędami, które w orzecznictwie i doktrynie już lata temu zostały wytknięte.

Tworzenie baz danych w oparciu o nieprawidłowe zgody jest z  zasady skazane na porażkę. Pozyskanie właściwych zgód po fakcie zwłaszcza gdy baza zawiera tysiące (setki tysięcy) danych jest niewykonalne, gdyż ludzie niechętnie potwierdzają zgody a GIODO w każdej chwili może zarzucić nielegalność przetwarzania danych i zakazać wykorzystywania bazy, co dla biznesu  może być niepowetowaną stratą.

O udostępnianiu danych osobowych przeczytasz również Tutaj.

Kazus Policji cd.

Celem ostatniego artykułu na blogu,  na temat udostępniania danych osobowych było wskazanie na pewne sytuacje, gdy różne podmioty są zobowiązane do udostępnienia danych osobowych, jeśli jest ku temu odpowiednia podstawa prawna.

Podstawą dla udostępniania danych osobowych Policji są przepisy ustawy o Policji i przepisy wykonawcze. Oznacza to, że Policja uprawniona jest do pozyskiwania i przetwarzania danych w związku z prowadzonymi czynnościami a podmioty, do których zwraca się o udostępnienie takich danych powinny dane udostępnić.

Na tle jednak tego artykułu wywiązała się na blogu dyskusja o przetwarzaniu  danych osobowych przez Policję przy wykonywaniu przez nią czynności operacyjno-rozpoznawczych, dochodzeniowo- -śledczych i administracyjno-porządkowych. W celu realizacji tych zadań Policja może przetwarzać dane osobowe w rozumieniu ustawy o ochronie danych osobowych również bez wiedzy i zgody osoby, której dane dotyczą.

Czy to oznacza, że przepisy o ochronie danych osobowych Policji nie dotyczą.

Przepisy ustawy o Policji dają jej umocowanie do przetwarzania danych osobowych ale także nakładają na funkcjonariuszy Policji obowiązek respektowania godności ludzkiej i ochrony praw człowieka. Przepis ten stanowi rozwinięcie ogólnej normy konstytucyjnej, zgodnie z którą godność człowieka stanowiąca źródło jego wolności i praw jest nienaruszalna, a jej poszanowanie i ochrona jest obowiązkiem władz publicznych.

Okazuje się jednak, że przetwarzanie danych podczas wykonywania czynności przez policję nie zawsze zgodne jest z zasadami konstytucji czy nakazami prawa. Dotyczy to na przykład sytuacji, gdy osoby składające zawiadomienia o popełnieniu przestępstwa w tym samym czasie, w tym samym miejscu znajdują się w warunkach, które nie zapewniają poszanowania wymienionych wyżej praw.

Przykładem są sytuacje, w których ramię w ramię jedna osoba wyjaśnia okoliczności kradzieży samochodu a inna szczegóły przemocy w rodzinie nie mogą mieć miejsca. Innym przykładem jest sytuacja, gdy funkcjonariusze Policji podczas wykonywania czynności służbowych w celu ustalenia tożsamości osoby legitymowanej głośno wymieniaj dane osobowe osoby legitymowanej, co powoduje, i  osoby postronne przebywające w pobliżu mają możliwość zapoznania si z tymi danymi.

 Prawo do przetwarzania danych osobowych przyznane podmiotom przez ustawy nie oznacza, że w zakresie respektowania prawa osób, których dane dotyczą istnieją dla tych podmiotów wyłączenia.

Wszystkie podmioty uprawnione do przetwarzania danych osobowych mają obowiązek przetwarzania tych danych z poszanowaniem praw człowieka tj. godności ludzkiej oraz prawa do prywatności oraz chronić dane o osobie przed nieuprawnionym dostępem osób nieupoważnionych.

Na koniec warto wspomnieć, że GIODO oficjalnie występował do Komendanta Głównego Policji sygnalizując mu  naruszenia w wykonywaniu czynności przez funkcjonariuszy Policji w zakresie wyżej opisanym.

Udostępnianie danych w świetle nowelizacji ustawy o ochronie danych osobowych z dnia 29.10.2010 r.

Nowelizacja ustawy o ochronie danych osobowych, która weszła w życie w dniu 7 marca 2011 r. wprowadziła kilka istotnych zmian w ustawie. Kwestii, która uległa zmianie a której chciałabym poświęcić ten wpis jest udostępnianie danych osobowych osobom innym niż osoba, której dane dotyczą. Z OchrDanOsobU zostały usunięte dwa artykuły, które dotychczas tę problematykę regulowały. Uzasadnieniem dla tej zmiany była potrzeba synchronizacji z przepisami unijnymi, w ramach której wykreślono art 29 i 30 OchrDanOsobU. Na skutek powyższej zmiany pojawiły się nawet stanowiska, iż obecnie udostępnianie danych możliwie jest jedynie na podstawie przepisów szczególnych, które takie udostępnianie dopuszczają. Jest to jednak pogląd nieuprawniony i nie znajdujący uzasadnienia w obecnie obowiązującej OchrDanOsobU.

Okazuje się bowiem, iż na gruncie art. 23 OchrDanOsobU znajdujemy więcej przesłanek uzasadniających takie udostępnienie niż na gruncie poprzedniego stanu prawnego, gdzie usunięte przepisy pozwalały na udostępnianie właściwie w dwóch przypadkach a mianowicie, gdy wynikało to z przepisów prawa oraz, gdy potrzeba posiadania danych była wiarygodnie uzasadniona. Nowelizacja zmodyfikowała przede wszystkim przesłanki fakultatywnego udostępniania danych. Podstawę żądania udostępnienia danych w tym trybie stanowi klauzula usprawiedliwionego celu to znaczy, że udostępnienie danych jest dopuszczalne, o ile jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych albo odbiorców danych a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą”.

Przesłanka wymogu wiarygodnego uzasadnienia potrzeby posiadania danych przez osobę zainteresowaną została zastąpiona w aktualnym stanie prawnym, warunkiem niezbędności udostępnienia dla realizacji usprawiedliwionych celów administratora danych albo odbiorcy. Dotychczas analizowano sytuację odbiorcy danych, obecnie dla dopuszczalności udostępnienia będzie stwierdzenie przesłanki usprawiedliwionego celu po stronie administratora udostępniającego dane.

Różnice pomiędzy aktualnym i dawnym stanem prawnym rysują się tez na gruncie zakresu pojęć i tak wcześniejsza „potrzeba posiadania danych” rozumiana była jako wszelkie interesy wnioskodawcy, które można uznać za prawnie uzasadnione. Natomiast przy wykładni klauzuli usprawiedliwionego celu przyjmuje się, że cel przetwarzania danych musi być usprawiedliwiony prowadzoną działalnością administratora danych lub odbiorcy. Takie rozumienie tej przesłanki „prowadzenia działalności” może utrudnić ubieganie się o udostępnienie danych tym odbiorcom, którzy działalności nie prowadzą.

W ramach nowelizacji OchrDanOsobU zniknęła procedura związana z procesem udostępniania danych i w tym zakresie wymóg złożenia wniosku na piśmie ze wskazaniem zakresu i przeznaczenia żądanych danych jak również wymóg uzasadnienia takiego żądania. Aktualnie brak jest adekwatnych uregulowań, co wydaje się być negatywne. Jednakże, w praktyce wydaje się oczywiste, iż dla celów dowodowych, szczególnie po stronie administratorów udostępniających dane zobowiązanych do czuwania nad tym, aby przetwarzanie danych odbywało się zgodnie z prawem, zasada pisemności w dalszym ciągu pozostanie nieodzowna.

Postępowanie o udostępnienie danych, również po nowelizacji jest dwuetapowe to znaczy w pierwszej kolejności wniosek należy złożyć do administratora danych, który w oparciu o przepisu OchrDanOsobU rozpatruje wniosek a następnie w drugim etapie osoba niezadowolona z rozstrzygnięć administratora danych może dochodzić swoich praw przed GIODO w trybie postępowania administracyjnego.

To tylko niektóre zmiany wprowadzone ostatnią nowelizacją, czas pokaże jak w praktyce nowe rozwiązania będą się sprawdzały i czy wynikną na tle ich stosowania jakieś głębsze zagadnienia prawne.