Przetwarzanie ogólnodostępnych danych osobowych, czyli jak nie dać się zwieść?

Sieć pełna jest danych osobowych, wiadomo to nie od dziś. Wystarczy kilka minut z Google lub jakąkolwiek inną wyszukiwarką, aby dowiedzieć się wszystkiego o kandydacie do pracy, naszym kontrahencie lub ślicznej koleżance/przystojnym koledze z innego działu. Kopalnią danych osobowych są dostępne w Internecie urzędowe rejestry, w szczególności Krajowy Rejestr Sądowy i Centralna Ewidencja Działalności Gospodarczej. Konkretne i sprawdzone dane dotyczące milionów potencjalnych klientów – dlaczego by ich nie wykorzystać?

Dane z KRS lub CEIDG mogą być wartościowe, w szczególności z punktu widzenia przedsiębiorcy tworzącego bazę potencjalnych odbiorców oferowanych przez niego produktów lub usług. Łatwość uzyskania tych danych, w połączeniu z ich aktualnością i szczegółowością powoduje, że wielu podmiotów sięga po nie, nie do końca jednak zdając sobie sprawę z tego w jaki sposób się z nimi obchodzić.

Jak już wspominałem w swojej pierwszej notce, danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (zgodnie z definicją zawartą w art. 6 ust. 1 ustawy o ochronie danych osobowych). Co przy tym istotne, danymi osobowymi są wszelkie spełniające powyższe kryterium dane dotyczące osób fizycznych, a więc również dane przedsiębiorców wpisanych do CEIDG oraz dane członków organów spółek prawa handlowego, wpisanych do KRS. Skoro jednak dane te „wiszą” w Internecie i każdy może uzyskać do nich swobodny dostęp, to może prawo nie chroni ich w takim samym stopniu jak inne dane osobowe?

Ostrożnie z tymi danymi…

Stety, czy niestety, również dane osobowe ogólnodostępne, zarówno w Internecie, jak i w analogowych, choć jawnych zbiorach (np. książkach telefonicznych) chronione są na równi z danymi „niejawnymi” (a przynajmniej nieogólnodostępnymi, choć w erze Facebook’a, trudno o takie dane…). Pamiętajmy więc – jawność nie odbiera danym osobowym statusu danych chronionych! Co to oznacza? Tworząc bazę zawierającą tego typu dane, przedsiębiorca jako ich administrator, zmuszony jest spełnić wszelkie wymogi związane z przetwarzaniem danych osobowych. Z uwagi jednak na źródło pozyskania danych (w końcu nie pochodzą one bezpośrednio od osób, których dotyczą), a także bądź, co bądź ich szczególny charakter, wynikający z ich ogólnodostępności, sposób postępowania z tymi danymi będzie nieco odmienny, niż w przypadku typowych danych uzyskiwanych bezpośrednio od osoby, której dane te dotyczą.

Po pierwsze – dlaczego?

No właśnie… Dlaczego w ogóle chcę przetwarzać te dane? Jak mniemam żaden administrator danych nie przetwarza danych osobowych hobbystycznie, lecz ma w tym jakiś cel – najczęściej biznesowy. Pytanie o cel przetwarzania danych jest istotny, gdyż od niego zależy, czy uda nam się uzasadnić legalność tych operacji, a więc znaleźć podstawę przetwarzania.

Zgoda osób, których dotyczą pozyskiwane przez przedsiębiorcę dane osobowe oczywiście załatwiłaby sprawę. Jasne, tyle tylko, że wówczas cała operacja byłaby dość skomplikowana, jeśli nie niemożliwa do wykonania… Na szczęście, zgodnie z przepisem art. 23 ust. 1 ustawy o ochronie danych osobowych, przetwarzanie odbywać może się również w oparciu o inne przesłanki, nie tylko w związku ze zgodą zainteresowanego. Dlatego też tak istotnym jest określenie celu przetwarzania danych, co pozwoli na zorientowanie się, czy któraś z wymienionych w tym przepisie przesłanek znajdzie zastosowanie w naszym przypadku. A przepis stanowi, że:

Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Może więc zachodzi przypadek, że dane posłużą do wykonania określonych prawem zadań realizowanych dla dobra publicznego, a może po prostu wykorzystane zostaną w związku z wypełnieniem prawnie usprawiedliwionego celu administratora (tak będzie w przypadku wykorzystania danych w celach marketingu produktów lub usług własnych). Pamiętać trzeba jednak, aby nie lekceważyć tej kwestii, gdyż pozyskanie i dalsze przetwarzanie danych bez podstawy prawnej, a więc w przypadku gdy nie spełniono przesłanki z art. 23 ustawy, zgodnie z art. 49 ustawy może być kwalifikowane jako przestępstwo zagrożone karą do 3 lat pozbawienia wolności!

„Wiedz, że coś się dzieje!”

Osoba, której dane dotyczą musi zostać przez administratora poinformowana o fakcie przetwarzania, a także:

a) celu i zakresie przetwarzania danych,

b) nazwie/imieniu i nazwisku i adresie administratora danych,

c) prawie sprzeciwu i żądania zaprzestania przetwarzania danych,

d) prawie dostępu do treści danych oraz ich poprawiania,

e) źródle danych.

Wymóg powyższy wynika wyraźnie z przepisu art. 25 ustawy i choć często jest trudny do spełnienia, z wyjątkiem sytuacji, gdy dane są przetwarzane w celach naukowych, odrębne przepisy pozwalają na przetwarzanie danych bez wiedzy zainteresowanego lub zainteresowany posiada informacje, o których mowa powyżej, nie ma możliwości uchylenia się od tego obowiązku. Co więcej, obowiązek ten powinien być zrealizowany bezpośrednio po utrwaleniu zebranych danych, a więc w praktyce tego samego lub następnego dnia… Jak sobie z tym poradzić?

Tu właśnie leży sekret wyceny gotowych baz danych osobowych. Najdroższe są bowiem te zawierające adresy e-mail lub przynajmniej telefon. Dlaczego? Bo w szybki i tani sposób można dzięki tym danym poinformować zainteresowanego, że jego dane są przez nas przetwarzane.

Po co to wszystko?

A no po to, by dane osobowe, choć dostępne w jawnym rejestrze X (nie będzie to CEIDG), gdzie są przecież w pewien sposób chronione np. przed nieuprawnioną modyfikacją, nie krążyły swobodnie po cyberprzestrzeni, a w konsekwencji, by nie zostały wykorzystane w innym celu, niż cel dla którego zostały zebrane. Ustawodawca słusznie uznał bowiem, że jeżeli dane te mają trafić do innych administratorów, muszą oni mieć wystarczające powody by je przetwarzać, a przede wszystkim winni je chronić.

Chyba nie jest to zły pomysł..?

Data 10/07/2015 11:26

Kategorie Ochrona danych osobowych

Tagi CEIDG, KRS, dane ogólnodostępne, dane osobowe, ochrona danych osobowych, odpowiedzialność karna, przetwarzanie danych osobowych

Nowe wersje artykułu można śledzić w kanale RSS "Wpisy"
Najnowsze komentarze są dostępne w kanale RSS "Komentarze"

Autor artykułu - Jarek Góra

Pokaż wszystkie posty napisane przez Jarek Góra

Autor artykułu - Jarek Góra

Dodaj komentarz Anuluj pisanie odpowiedzi

Szukaj na stronie

Tematy główne

Najpopularniejsze artykuły

Najnowsze komentarze

Historia bloga

Tagi

Newsletter

Warto zobaczyć