Udostępnianie danych osobowych w celach marketingowych

Dzisiaj chciałabym się podzielić, kolejny już raz, refleksją  na temat udostępniania danych osobowych w celach marketingowych i poruszyć dla praktyków ochrony danych rzeczy oczywiste, a dla innych pewnie abstrakcyjne.

Udostępnianie  danych  w celach marketingowych przez jednego administarotra innym administratorom skutkuje tym, że określone dane osobowe od jednego administratora są przekazywane do innego, który wykorzystuje dane do własnych celów marketingowych. W literaturze podkreśla się, że udostępnianie obejmuje swoim zakresem nie tylko fizyczne przekazanie danych innemu podmiotowi, lecz również zapewnienie mu dostępu do treści danych, bez elementu fizycznego ich przekazywania.

W praktyce obrotu gospodarczego udostępnianie danych osobowych najczęściej odbywa się właśnie w celach marketingowych i nierozerwalnie z tą działalnością jest związane. Ilość działań marketingowych i specyfika tych działań zwłaszcza w internecie jak wiemy jest bardzo różnorodna i o różnym też stopniu skomplikowania. Ma to oczywiście wpływ na ocenę dopuszczalności udostępniania danych.

W niniejszym artykule chciałbym podzielić się kilkoma ogólnymi refleksjami na temat podejścia administratorów do udostępniania danych w celach marketingowych bez wnikania w złożone stany faktyczne tego udostępniania w poszczególnych działalniach marketingowych.

Z moich obserwacji  wynika, iż dane osobowe, jeśli chodzi o  udostępnianie, często traktowane są jak przysłowiowa marchewka. Marchewkę kupujemy prawie bez zastanowienia, nie analizujemy jakoś specjalnie czy wybrać tego czy innego dostawcę, nie badamy wnikliwie źródeł pochodzenia marchewki czy ewentualnego nabycia marchewki wadliwej. Dość często podobne podejście można zaobserwować do udostępniania (pozyskiwania) danych osobowych w celach marketingowych.

Tymczasem udostępnianie danych osobowych a z drugiej odpowiadające mu pozyskiwanie, powinno być traktowane adekwatnie do ryzyk, którymi takie operacje na danych są obciążone. Jak wiemy ryzyka wynikające choćby z sankcji przewidzainych w RODO nie są małe.

Podejście do udostępniania danych osobowych jak do przysłowiowej marchewki jest w mojej ocenie bardzo ryzykowne, a nie jest to niestety, jak obserwuję, jakiś marginalny problem.

Spójrzmy na przykład na podejście do nabywania innego bardzo popularnego dobra tj. pojazdu mechanicznego. Każdy, kto kupuje taki pojazd z reguły zanim go kupi sporo się zastanawia i analizuje, a gdy już znajdzie jakiś konkretny  to się zaczyna prawdziwe badanie, sprawdzanie, dociekanie. Ustalamy więc źródła pochodzenia pojazdu, stan techniczny, stan prawny, specyficzne kwestie podatkowe, dokumenty, numery VIN i inne.

Bo wiadomo, jeśli kupimy auto obciążone wadą prawną (z kradzieży) albo wadą fizyczną (z wypadku) czeka nas wiele kłopotów oraz wymiernych szkód finansowych.

Pamiętajmy, że z udostępnianiem danych osobowych może być tak samo.

Jeśli w celu prowadzenia marketingu telefonicznego pozyskamy dane podmiotów, które na taki marketing zgody nie wyraziły (pochodzą jakby z kradzieży), to niedopuszczanlne w świetle prawa będzie wykorzystywanie  danych w tych celach. To jednak nie koniec, bo niezadowolony podmiot danych może wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych, może też na drodze cywilnej dochodzić odszkodowania z powodu naruszenia swoich praw. Nabywcę, ale i zbywcę może czekać wiele kłopotów.

W przypadku kupna samochodu każdy chce mieć umowę kupna-sprzedaży samochodu, w której będzie określone, kto sprzedaje, kto kupuje, co jest przedmiotem sprzedaży, jakie są prawa i obowiązki stron, oświadczenia stron o stanie prawnym i techcznicznym pojazdu, odpowiedzialność za wady prawne oraz fizyczne.

A jak jest w przypadku nabywania danych osobowych. Niestety w tych przypadkach nie dostrzegam aż takiej czujności, zapobiegliwości czy świadomości jak przy nabywaniu pojazdów mechanicznych. Pamiętajmy przy tym, że do udostępniania danych osobowych w celach marketingowych  dochodzi pomiędzy profesjonalistami tj. podmiotami prowadzącymi działalność gospodarczą lub zawodową, którzy są zainteresowani pozyskiwaniem  baz danych osobowych (tzw. leady) w celach marketingowych.

Dlaczego jest to aż tak ważne, dlaczego tak sprawdzać i analizować okoliczności udostępniania danych, dlaczego zawierać odpowiednie umowy. Udostępnianie danych, jak i inne operacje na danych osobowych jest przecież dopuszczalne, ale o ile jest zgodne z wymaganiami RODO. Udostępnianie danych jest o tyle trudne, że nie zostało określone w przepisach RODO jak na przykład powierzenie danych, z którym często jest mylone.

Przepisy RODO nie zawierają odrębnych zasad dla udostępniania danych. Zainteresowane podmioty powinny więc dokonać analizy jego dopuszczalności z uwzględnieniem ogólnych zasad przetwarzania danych, określonych w art. 6 i 9 RODO a szczegóły określić we wzajemnej umowie, na podstawie której do takiego udostępnienia dochodzi.

Zachowując czujność i stosując się do powyższych wskazówek można zapobiec ryzykom naruszenia zasad przetwarzania danych i innych wymagań RODO związanych z udostępnianiem danych, a przede wszystkim ustrzec się przed karami finansowymi, które w przypadku niezgodnego z prawem udostępniania mogą być bardzo dotkliwe.

Tymczasem wiele operacji udostępniania danych pozostawia do życzenia. Inna sprawa, że RODO nie daje  wskazówek, mało jest oficjalnych wytycznych czy  fachowej literatury w temacie udostępniania, które coby nie mówić jest jednym z trudniejszych zagadnień w prawie ochrony danych osobowych.

 

 

“Prawnicy w chmurze”

Dzisiaj o chmurze dla prawników, jakkolwiek dziwnie to brzmi. Mam oczywiście na myśli korzystanie przez profesjonalne kancelarie prawnicze z aplikacji udostępnianych w tzw. chmurze obliczeniowej. Usługi SaaS polegają na udostępnianiu oprogramowania przez przeglądarkę internetową. Rozwój tego rodzaju usług  aktualnie jest bardzo dynamiczny. Takie oprogramowanie jest wygodne, gdyż umożliwia dostęp przez internet do wszelkich przechowywanych w nich danych bez ograniczeń, jest tańsze w porównaniu z tradycyjnym oprogramowaniem instalowanym na dysku komputera. Z tego powodu aplikacje biznesowe udostępniane w tzw. chmurze powstają jak grzyby po deszczu.

W świetle prawa ochrony danych osobowych korzystanie z usług claud computing będzie oznaczało powierzenie danych do zewnętrznego usługodawcy, z czym związana jest zmniejszona kontrola nad danymi a czasami wręcz jej utrata. Dane wprowadzane są do zewnętrznego systemu informatycznego i przechowywane są na zewnętrznych serwerach, które najczęściej, ale też nie zawsze należą do dostarczyciela oprogramowania.

Co widzę, gdy pobieżnie przeglądam serwisy oferujące oprogramowanie do obsługi kancelarii prawniczej dostępne przez internet. Widzę ciemność. Regulamin co prawda jakiś z reguły jest, ale w zakresie ochrony i przetwarzania danych osobowych w wielu przypadkach niesatysfakcjonujący. Dodatkowo ani z regulaminu ani  z informacji podanych na stronie nie dowiadujemy się, gdzie są przechowywane dane, brak jakiekolwiek informacji o lokalizacji serwerów, brak informacji dotyczących stosowanych w centrum danych zabezpieczeń technicznych.

W świetle prawa korzystanie z zewnętrznej aplikacji, do której wprowadzane są dane osobowe związane jest z powierzeniem danych do przetwarzania. Niezbędną podstawą prawną powierzenia jest umowa pomiędzy kancelarią a dostarczycielem oprogramowania, w której kwestia powierzenia jest wyraźnie uregulowana w tym cel powierzenia danych, zakres powierzonych danych oraz obowiązki w zakresie zabezpieczenia danych.

Dostarczyciel oprogramowania w modelu claud computing jest procesorem, który odpowiada za zgodne z prawem przetwarzanie danych osobowych, za stosowanie odpowiednich środków technicznych oraz organizacyjnych w celu zabezpieczenia danych, za prowadzenie odpowiedniej dokumentacji opisującej przetwarzanie danych.

Brak umowy powierzenia oraz nieuregulowanie powyższych kwestii w sposób wymagany prawem naraża zarówno kancelarię, która powierza dane do przetwarzania, ale też procesora na odpowiedzialność administracyjną przed GIODO, karną oraz cywilną.

Jeśli chodzi o prawników dochodzi nam tu jeszcze jedna istotna kwestia a mianowicie tajemnica zawodowa. Pracownicy są zobowiązani  zachować w tajemnicy wszystkie informacje dotyczące klienta i jego spraw. Dochowanie tajemnicy zawodowej obejmuje zakaz ujawniania informacji i dokumentów poufnych.

Prawnicy mają obowiązek zabezpieczyć poufne informacje przed niepowołanym ujawnieniem. Dokuemnty i nośniki  przechowywane w formie elektronicznej powinny być objęte odpowiednią kontrolą dostępu i zabezpieczeniem systemu.

Umowa powierzenia danych do przetwarzania zawarta między kancelarią prawniczą a dostarczycielem aplikacji jest niezbędna dla należytego dochowania również tajemnicy zawodowej zasad w niej określonych.

Pamiętajmy, że w tym roku zostało ostatecznie przyjęte ogólne rozporządzenie unijne o ochronie danych osobowych, które wejdzie w życie 25 maja 2018 r. i od tego dnia w naszym porządku prawnym pojawią się drakońskie kary finansowe za naruszenia zasad przetwarzania danych zawartych w tym rozporządzeniu.

W nowym prawie unijnym kwestia powierzenia również została szczegółowo unormowana. Powierzenie danych innemu podmiotowi wymaga zawarcia umowy i uregulowania w niej wielu istotnych kwestii takich jak przedmiot przetwarzania, zakres przetwarzania i zakres powierzonych danych, cel przetwarzania a także upoważnienie do zatrudnienia podwykonawców.

Ciekawostką i novum jest solidarna odpowiedzialność administratora danych tutaj kancelarii oraz procesora dostarczyciela aplikacji za szkodę spowodowaną niezgodnym z prawem przetwarzaniem. Osoba, której dane dotyczą, w przypadku stwierdzenia naruszenia będzie mogła żądać zapłaty odszkodowania również tytułem zadośćuczynienia od administratora lub procesora zależnie od swojego wyboru.

Wbrew pozorom czasu nie zostało aż tak wiele bowiem 25.05.2018 to będzie ta data, w której stan zgodności z prawem powinien być bez zarzutu tak, aby na wypadek ewentualnej kontroli nie obawiać się drastycznych sankcji finansowych.

Aplikacje internetowe jak grzyby po deszczu…

Grzybiarze narzekają na brak grzybów w tym sezonie. I nic to, że deszcz pada w październiku bez przerwy, bo wcześniejsza susza przesądziła o nieurodzaju.

W przeciwieństwie do grzybów urodzaj na aplikacje internetowe występuje nieustanny a wykorzystywanie aplikacji do pracy, rozrywki, nauki staje się powszechne.

Z aplikacji udostępnianych przez internet korzystają już prawie wszyscy i większość z nich oczywiście przetwarza dane osobowe, co wkracza w obszar mojego zainteresowania. Z uwagi na fakt, że temat jest niezmiernie szeroki powiem dzisiaj o wykorzystywaniu  aplikacji internetowych do celów związanych z prowadzeniem działalności gospodarczej.

Faktem jest, że większość przedsiębiorców w chwili obecnej korzysta z różnego rodzaju aplikacji udostępnianych przez internet. Oprogramowanie udostępniane przez internet wykorzystywane jest w działalności  firm, szczególnie tych małych i średnich. Aplikacje  służą w szczególności do prowadzenia księgowości w małej firmie, spraw kadrowych, zarządzania biznesem, prowadzenia działań marketingowych.

Pojawiają się aplikacje dedykowane określonym działalnościom takim jak salony kosmetyczne, szkoły tańca, placówki medyczne, firmy handlowe czy wreszcie kancelarie prawnicze a to tylko niektóre branże.

Aplikacje udostępniane przez internet są łatwe w obsłudze, dostępne z każdego miejsca przy pomocy urządzenia telekomunikacyjnego podłączonego do sieci internet, dostosowane do specyficznych potrzeb odbiorcy, umożliwiają szybki i łatwy dostęp do danych w nich przechowywanych. No i są tanie.

Aplikacja udostępniana przez internet czyli  SaaS (Software as a Service)  jest jednym z modeli tzw. chmury obliczeniowej.

A co to ma wszystko wspólnego z danymi osobowymi?

Wykorzystywanie aplikacji w chmurze najczęściej związane jest z wprowadzaniem do niej danych osobowych np. klientów, kontrahentów, pacjentów, pracowników, petentów,  i innych.  Z tego właśnie powodu  jest przedmiotem zainteresowania prawa ochrony danych osobowych.

Należy pamiętać, że z wykorzystywaniem aplikacji związane jest “wyprowadzanie” danych często poufnych, stanowiących tajemnicę przedsiębiorstwa, poza obszar, nad którym firma ma kontrolę. Wprowadzając  dane do aplikacji internetowej  bezpieczeństwo danych od tego momentu zależeć będzie od  podmiotu, który tę aplikację udostępnia.

Z punktu widzenia prawa ochrony danych osobowych administrator danych ma prawo korzystać z zewnętrznych usług, nawet jeśli związane jest z tym powierzanie danych. Prawo mu tego nie zabrania. W takim przypadku przedsiębiorca, który powierza dane osobowe innemu podmiotowi powinien to zrobić w formie umowy zawartej na piśmie. Taką umowę nazywa się krótko umową powierzenia.

Podmiot (firma udostępniająca aplikację), któremu na podstawie umowy powierzenia zostały powierzone dane może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych oraz spełnić inne wymagania określone w przepisach prawa.  W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.

Wiele firm korzysta z aplikacji internetowych przetwarzających dane osobowe, jednakże nieliczni pamiętają o zgodnym z prawem powierzeniu danych. Dzieje się tak dlatego, że firmy nie mają świadomości swoich obowiązków w tym zakresie jak również zagrożeń związanych z powierzeniem danych niesprawdzonym dostawcom.

Zlecając na zewnątrz jakąkolwiek usługę zwykle zachowujemy rozsądek i racjonalnie dokonujemy wyboru kontrahenta, który spełnia określone kryteria na przykład posiada wymagane uprawnienia, certyfikaty, zezwolenia czy koncesje, posiada bogato udokumentowane doświadczenie a także referencje zadowolonych klientów.

Większość firm ma świadomość, że kontrahenta należy w miarę możliwości sprawdzić czy zapewni wykonanie usługi zgodnie z umową. Jednakże, jeśli chodzi o korzystanie z aplikacji internetowych praktyka sprawdzenia dostawcy pod katem zapewniania bezpieczeństwa danych osobowych jest bardzo rzadka.

Pamiętać należy, że przekazując dane do aplikacji internetowej, która nie jest należycie zabezpieczona może narazić  klientów na przykład na wyciek danych lub inną szkodę. Osoba pokrzywdzona będzie mogła wówczas dochodzić odszkodowania na drodze postępowania cywilnego na przykład z tytułu naruszenie dóbr osobistych. Takie procesy już się zdarzają.

Powierzenie danych osobowych niesprawdzonemu usługodawcy, bez umowy powierzenia może przesądzić o odpowiedzialności administratora danych nawet, jeśli faktycznie wyciek nastąpił z winy usługodawcy. Dodatkowo administrator danych osobowych, który powierza dane osobowe niezgodnie  z prawem naraża się na odpowiedzialność administracyjną oraz karną.

Decydując się wiec na wykupienie abonamentu  dostępu do kolejnej aplikacji  lub rozpoczęcie współpracy, z którą związane jest powierzenie danych do przetwarzania innemu podmiotowi należy pamiętać, aby zawrzeć umowę powierzenia i uregulować w niej wymagane prawem obszary. W szczególności, jeśli powierzenie związane jest z przekazaniem danych do  aplikacji udostępnianych w tzw. chmurze.

Gdy towar kupiony przez internet nie spełnia oczekiwań

Sklep internetowy to specyficzna formuła sprzedaży różniąca się od tradycyjnych sposobów dystrybucji. Kupowanie przez internet to kupowanie pośrednie, kupujący nie ma możliwości obejrzenia towaru, zbadania go, wypróbowania tak, jak to się dzieje w sprzedaży stacjonarnej.

W efekcie klient, który otrzymuje zamówiony, wymarzony towar nie rzadko  inaczej sobie wyobrażał towar, bo  opisy nie zawierały jakichś kluczowych informacji a załączone zdjęcia nie odzwierciedlały towaru lub po prostu to klient inaczej go sobie wyobrażał.

Na szczęście dla kupujących a niekoniecznie dla sprzedających mamy prawo odstąpienia od umowy sprzedaży zawieranej na odległość.  Konsument, który zawarł umowę na odległość lub poza lokalem przedsiębiorstwa, może w terminie 14 dni odstąpić od niej bez podawania przyczyny i bez ponoszenia kosztów.

W przypadku odstąpienia od umowy zawartej na odległość lub umowy zawartej poza lokalem przedsiębiorstwa umowę uważa się za niezawartą.

Przedsiębiorca ma obowiązek niezwłocznie, nie później niż w terminie 14 dni od dnia otrzymania oświadczenia konsumenta o odstąpieniu od umowy, zwrócić konsumentowi wszystkie dokonane przez niego płatności, w tym koszty dostarczenia rzeczy.

Sklepy internetowe czasami kwestionują, że trzeba klientom należy zwracać koszty dostarczenia rzeczy (w stronę ze sklepu do klienta) a no trzeba, chociaż w praktyce zdarzają się sytuacje, że sklepy nie zawsze respektują ten obowiązek.

Koszt dostarczenia rzeczy dla konsumenta stanowi całkowity koszt nabycia towaru. Czasami towar w sklepie internetowym ma bardzo atrakcyjną cenę, ale niestety koszt dostarczenia znacznie tę atrakcyjność zmniejsza. Obciążanie klienta tym kosztem w przypadku odstąpienia od umowy byłoby nieuzasadnione. W odstąpieniu od umowy bowiem chodzi o skutek taki, jakby umowa nigdy nie została zawarta a strony są obowiązane do zawrotu wszystkiego, co sobie wzajemnie świadczyły.

Poza tym nie zapominajmy, że klient  ponosi  bezpośrednie koszty zwrotu rzeczy czyli musi zapłacić za przesyłkę zwracanego towaru do sprzedającego i to jest jego koszt. Tego kosztu sklep nie musi zwracać konsumentowi, chyba że  zgodził się je ponieść lub nie poinformował konsumenta o konieczności poniesienia tych kosztów.

Jak widać sklep nie jest obciążony całością kosztów związanych z dostarczaniem towarów, w stosunku do którego klienci korzystają z prawa odstąpienia.

W praktyce zdarzają się jednak sklepy, w których przesyłka towaru do klienta i zwrot jest gratis, ale są to duże, renomowane sklepy, które swoją atrakcyjną ofertą bardzo konkurują na rynku.

Słyszę oczywiście często też i argumenty o tych niedobrych klientach, którzy kupują różne rzeczy na różne okazje a potem jakby nigdy nic odstępują od umowy, bo mają takie prawo. Z pewnością są to praktyki godne potępienia, jednak sprzedający nie pozostaje w takich sytuacjach bezradny, bowiem każdą sytuację należy indywidualnie ocenić i podjąć odpowiednią decyzję dotyczącą zwrotu nie zawsze pozytywną dla konsumenta.

W momencie, gdy rzecz zwracana nosi ślady użytkowania konsument ponosi odpowiedzialność za zmniejszenie wartości rzeczy będące wynikiem korzystania z niej w sposób wykraczający poza konieczny do stwierdzenia charakteru, cech i funkcjonowania rzeczy. Wydaje się, że koszt zużycia powinien wyznaczyć sprzedawca. Niestety przepisy nie precyzują kryteriów, którymi winien się kierować w tym zakresie sprzedawca, co budzi zasadnicze wątpliwości i rodzi podłoże dla spornych sytuacji.

Nie powinno stwarzać kontrowersji stwierdzenie, że można zdjąć opakowanie. Opakowanie jak wiadomo nie jest produktem, co wielokrotnie w orzecznictwie zostało podkreślone. Co jednak w przypadku wyrzucenia opakowania? Czy można uruchomić zakupiony sprzęt elektroniczny lub użytkować go przez jakiś czas? Wydaje się oczywiste, że sposób jego funkcjonowania zasadniczo wpływa na ewentualny zwrot towaru. Jak potraktować zmniejszenie wartości takich produktów, których użyteczność co do zasady, w przeciwieństwie np. do sprzętu elektronicznego, jest „jednorazowa”.

Niestety  jednoznacznych odpowiedzi na te pytania nie ma, a praktyka zapewne różnić się będzie w poszczególnych sklepach. Przepisy nowej ustawy o prawach konsumenta dają bowiem taką możliwość.

Jednak należy zdecydowanie podkreślić, że mimo braku jednoznacznych rekomendacji w uzasadnionym przypadku można podjąć decyzję o obciążeniu klienta kosztem zużycia towaru, co będzie z reguły oznaczało wejście w spór z konsumentem. Jednakże jak wszyscy doskonale wiemy tak w życiu jak i w pracy czy działalności gospodarczej sporów uniknąć się nie da. Należy pamiętać jednak, ale działać uczciwie oraz z poszanowaniem prawa a wówczas i spór łatwiej prowadzić i rozstrzygnąć.

Ochrona danych osobowych w czym rzecz

Temat ochrony danych osobowych to specyficzny temat, albo traktowany z należytą powagą, na równi z innymi tematami, które podmiot musi w swojej organizacji uporządkować, albo temat zapomniany, zakurzony, wyparty.

Dlaczego tak się dzieje. W dużej mierze jak to w życiu bywa przyczyną tego drugiego podejścia jest brak świadomości i zrozumienia tematu czym ta ochrona danych osobowych jest, czy faktycznie nas dotyczy a jeśli już to dlaczego chronić ją w taki dziwny sposób tworzyć polityki i dokumentacje.

Prawdę mówiąc jako prawnik praktykujący w tej dziedzinie prawa nie dziwię się tym różnym podejściom, bo już wszystko przerabiałam więc wiem jak to wygląda, jednak jest to na tyle ciekawy temat, że chciałbym nieco bardziej szczegółowo go omówić.

Pierwsze podejście oparte na nieznajomości tematu. Podejście to dotyczy większości podmiotów. Wyjątkiem będą duże organizacje, przetwarzające tysiące danych osobowych, mające dostęp do wyspecjalizowanych prawników, którzy zgodnie z prawem zabezpieczają ten obszar. Reszta znajduje się w uśpieniu lub w letargu. Nikt za bardzo nie wie o co tak naprawdę z tymi danymi chodzi poza tym, że trzeba je chronić. Jednak poświęcanie na to czasu, pieniędzy, tworzenie dokumentacji, wprowadzanie polityk czy wyznaczanie odpowiednich osób uważane jest za grubą przesadę i wypierane jest z katalogu obowiązków do wykonania.

Dlaczego się temu nie dziwię. Obserwuję też nastawienie moich znajomych prawników, którzy również niechętnie podchodzą do tematu i źródło niechęci jest to samo. Ba z informacji płynących z GIODO wynika, że grupa zawodowa jaką są prawnicy bardzo słabo wypada, jeśli chodzi o zabezpieczenie obszaru danych osobowych. Często słyszę od swoich kolegów, że to taki dziwny temat, jakaś abstrakcja, w którą nikomu za bardzo nie chce się wnikać. Ba to samo nastawienie widoczne jest bardzo często u większości klientów. Niekiedy nawet na blogu słyszę komentarze, że to są  takie ogólniki.

Były GIODO w odpowiedzi na podobne argumenty powiedział kiedyś, że prawo ochrony danych osobowych jest prawem kontekstowym i w każdym przypadku ważny jest kontekst stosowania przepisów o ochronie danych osobowych. Sama ustawa o ochronie danych osobowych jest ustawą ogólną to znaczy regulującą zasady przetwarzania, prawa i obowiązki dotyczące tego przetwarzania dotyczące wszystkich możliwych sposobów przetwarzania. Oznacza to, że ta ustawa o ochronie danych osobowych obowiązuje w firmie handlowej, usługowej, branży internetowej, bankowości, spółdzielniach, ochronie zdrowia, oświacie itd.

Jednak należy pamiętać, że pomimo stosowania tych samych przepisów wyniki w każdej branży będą inne, gdyż każda branża na swój właściwy dla siebie sposób przetwarza dane, w oparciu o różne podstawy, w różnych celach. Inaczej przetwarzanie wygląda w szpitalu a inaczej w banku, inny jest cel przetwarzania danych przez urzędy a inny przez portale internetowe. Oznacza to, że w każdym indywidualnym przypadku należy dokonać subsumpcji – przyporządkowania danego stanu faktycznego pod ogólną normę prawa ochrony danych osobowych, co nie zawsze jest takie łatwe.

W świetle powyższych rozważań, gdy widzę wzory dokumentacji przetwarzania danych osobowych dla firm, szkół, instytucji razem to wiem, że zakup takiego wzoru nic pomoże. Będzie to ogólny wzór, bez zakwalifikowania go do konkretnych stanów faktycznych a dokonanie takiej kwalifikacji jest rzeczą najtrudniejszą. Aby wzór spełnił swoją rolę a pieniądze wydane nie były stracone może to być wyłącznie wzór dedykowany danej branży.

Opisałam powyżej tylko jeden aspekt niezrozumienia tematu ochrony danych osobowych, co oczywiście ma wpływ na niechętne podejście do zagadnień. Jest to temat dotyczący braku świadomości prawnego aspektu ochrony danych osobowych. O niechęci do porządkowania spraw ochrony danych osobowych, która ma swoje głębsze korzenie, bo tkwiące w niezrozumieniu samego sensu takiej ochrony oraz w sposób przewidziany prawem napiszę następnym razem.

Kazus Policji cd.

Celem ostatniego artykułu na blogu,  na temat udostępniania danych osobowych było wskazanie na pewne sytuacje, gdy różne podmioty są zobowiązane do udostępnienia danych osobowych, jeśli jest ku temu odpowiednia podstawa prawna.

Podstawą dla udostępniania danych osobowych Policji są przepisy ustawy o Policji i przepisy wykonawcze. Oznacza to, że Policja uprawniona jest do pozyskiwania i przetwarzania danych w związku z prowadzonymi czynnościami a podmioty, do których zwraca się o udostępnienie takich danych powinny dane udostępnić.

Na tle jednak tego artykułu wywiązała się na blogu dyskusja o przetwarzaniu  danych osobowych przez Policję przy wykonywaniu przez nią czynności operacyjno-rozpoznawczych, dochodzeniowo- -śledczych i administracyjno-porządkowych. W celu realizacji tych zadań Policja może przetwarzać dane osobowe w rozumieniu ustawy o ochronie danych osobowych również bez wiedzy i zgody osoby, której dane dotyczą.

Czy to oznacza, że przepisy o ochronie danych osobowych Policji nie dotyczą.

Przepisy ustawy o Policji dają jej umocowanie do przetwarzania danych osobowych ale także nakładają na funkcjonariuszy Policji obowiązek respektowania godności ludzkiej i ochrony praw człowieka. Przepis ten stanowi rozwinięcie ogólnej normy konstytucyjnej, zgodnie z którą godność człowieka stanowiąca źródło jego wolności i praw jest nienaruszalna, a jej poszanowanie i ochrona jest obowiązkiem władz publicznych.

Okazuje się jednak, że przetwarzanie danych podczas wykonywania czynności przez policję nie zawsze zgodne jest z zasadami konstytucji czy nakazami prawa. Dotyczy to na przykład sytuacji, gdy osoby składające zawiadomienia o popełnieniu przestępstwa w tym samym czasie, w tym samym miejscu znajdują się w warunkach, które nie zapewniają poszanowania wymienionych wyżej praw.

Przykładem są sytuacje, w których ramię w ramię jedna osoba wyjaśnia okoliczności kradzieży samochodu a inna szczegóły przemocy w rodzinie nie mogą mieć miejsca. Innym przykładem jest sytuacja, gdy funkcjonariusze Policji podczas wykonywania czynności służbowych w celu ustalenia tożsamości osoby legitymowanej głośno wymieniaj dane osobowe osoby legitymowanej, co powoduje, i  osoby postronne przebywające w pobliżu mają możliwość zapoznania si z tymi danymi.

 Prawo do przetwarzania danych osobowych przyznane podmiotom przez ustawy nie oznacza, że w zakresie respektowania prawa osób, których dane dotyczą istnieją dla tych podmiotów wyłączenia.

Wszystkie podmioty uprawnione do przetwarzania danych osobowych mają obowiązek przetwarzania tych danych z poszanowaniem praw człowieka tj. godności ludzkiej oraz prawa do prywatności oraz chronić dane o osobie przed nieuprawnionym dostępem osób nieupoważnionych.

Na koniec warto wspomnieć, że GIODO oficjalnie występował do Komendanta Głównego Policji sygnalizując mu  naruszenia w wykonywaniu czynności przez funkcjonariuszy Policji w zakresie wyżej opisanym.