Temat: Ochrona Danych Osobowych
Zaciekawił mnie prowadzony tutaj wątek. Pozwolę sobie przedstawić ten temat w sposób, w jaki ja to widzę. Być może jeszcze komuś się to przyda lub zachęci do dyskusji.
A więc zaczynając od początku:
1) organizacja samego szkolenia i w związku z tym zbieranie danych osobowych uczestników na cele związane ze szkoleniem (np. w celu dajmy na to sprawdzenia "listy obecności" uczestników)
- tu zastosowanie znajduje art. 2 ust. 3 ustawy o ochronie danych osobowych, który wyłącza spod reżimu ustawy zbiory danych osobowych sporządzane doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych. W takim wypadku zastosowanie znajduje tylko rozdział 5 ustawy, a dotyczący wymogów związanych z zabezpieczeniem tak przetwarzanych danych. Tak więc rejestracja zbioru danych w tym wypadku nie jest wymagana.
W takim wypadku trzeba szczególną uwagę zwrócić na: cel użycia zebranych danych (szkolenie) oraz ustawowe określenie sporządzania "doraźnie" tego typu zbiorów. Jest to dosyć problematyczne sformułowanie, które przysparza problemy interpretacyjne najlepszych nawet znawców tematu - włącznie z profesorami Bartą i Markiewiczem (proszę przeanalizować komentarz ich autorstwa str. 315-316).
Ważne jest by tak użyte dane po ich wykorzystaniu (a więc w zasadzie po zakończeniu szkolenia) poddać anonimizacji lub usunąć. W przeciwnym wypadku, nie znajdzie zastosowania ten przepis.
2) co w przypadku gdy chcemy wykorzystać te dane po szkoleniu?
Na początku chciałem zwrócić uwagę na określenie danych „służbowych”. Ustawa nie rozróżnia danych "prywatnych" i "służbowych". Jej zadaniem jest ochrona danych osobowych osób fizycznych - a bez wątpienia imię i nazwisko, numer telefonu pod którym jest taka osoba dostępna, czy też adres są danymi osobowymi tej osoby. Proszę zwrócić uwagę, że za dane osobowe ustawodawca uznaje również takie, które nawet w sposób pośredni pozwalają zidentyfikować konkretną osobę, chyba że taka identyfikacja pociągałaby za sobą nadmierne nakłady finansowe, czasowe lub powiedzmy organizacyjne (ustawa mówi dokładnie o nadmiernych działaniach). W moim przekonaniu również poprzez dane służbowe jest możliwa identyfikacja konkretnych osób, np. poprzez mail jan.kowalski@firma.pl można z łatwością dowiedzieć się jak ów delikwent się nazywa. Tak więc wydaje mi się, że nie chodzi tutaj o to, że pewnego rodzaju dane są związane z wykonywaną pracą. Natomiast zgadzam się, iż tego typu dane można wykorzystywać, a to z jednego ważnego powodu - ponieważ tego typu dane są bardzo często publikowane i powszechnie dostępne. I tu się zgadzam, jednakże z pewnymi zastrzeżeniami. Ale o tym później.
A teraz przejdźmy do meritum.
Po pierwsze, znajdźmy najpierw podstawę prawną do tego typu działań. Wypadki kiedy można przetwarzać dane osobowe wskazuje w sposób wyczerpujący art. 23. I w tym zakresie tylko ten przepis nas interesuje.
Wiadomo już, że wyraźnej zgody na przetwarzanie danych osobowych uczestnicy szkolenia nie wyrazili. Co w takim wypadku można zrobić? Czy bez wyraźnie udzielonej zgody można te dane przetwarzać?
Otóż w omawianym wypadku zastosowanie może znaleźć jedynie art. 23 ust. 1 pkt 5 w związku z ust. 4. I tu należy zwrócić uwagę na to KOMU wolno przetwarzać dane i w JAKIM celu.
Ktoś z Państwa wcześniej zwrócił uwagę, że jeżeli dzwonić do uczestników będzie Administrator (ADO), to może to robić w celach marketingu bezpośredniego. Tu nie do końca się z tym zgadzam. Musimy bowiem brać pod uwagę nie tylko przepisy ustawy o ochronie danych osobowych. W tym konkretnym przypadku (działań marketingowych) zastosowanie znajduje też ustawa o ochronie niektórych praw konsumentów oraz odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny, a tam art. 6 ust. 3 mówi: "Posłużenie się telefonem, wizjofonem, telefaksem, pocztą elektroniczną, automatycznym urządzeniem wywołującym lub innym środkiem komunikacji elektronicznej w celu złożenia propozycji zawarcia umowy może nastąpić wyłącznie ZA UPRZEDNIĄ ZGODĄ konsumenta". Tak więc tego typu działania marketingowe (prowadzone w celu złożenia propozycji zawarcia umowy) wymagają uzyskania wcześniejszej zgody przez klienta. Poza tym wypadkiem, owszem, wobec innych działań marketingu bezpośredniego zgoda nie jest wymagana.
Z tego co się zorientowałem Pani firma szkoleniowa nie jest Administratorem a jedynie tzw. "osobą przetwarzającą dane osobowe na zlecenie administratora". Więc powstaje pytanie co Pani może zrobić?
Proszę zwrócić uwagę, że przytaczany przepis (art. 23 ust. 1 pkt 5) nie dotyczy jedynie Administratora ale: "administratorów danych ALBO odbiorców danych". Ponadto przetwarzanie danych musi następować dla wypełnienia prawnie usprawiedliwionych celów realizowanych ALBO przez administratora ALBO przez odbiorcę danych.
Tak więc, moim zdaniem istnieje możliwość by Pani firma wystąpiła w roli odbiorcy danych. Należałoby jednak wykazać jeszcze "usprawiedliwiony cel", tyle tylko, że wystarczy by wykazał to przynajmniej jeden podmiot: administrator lub odbiorca danych. Możliwa więc moim zdaniem byłaby sytuacja, w której Pani firma dokonuje badań telefonicznych, na umowne zlecenie administratora, który wykorzystuje wyniki badań do swojej działalności gospodarczej, a tym samym wykazuje "prawnie usprawiedliwiony cel".
Drugie możliwe rozwiązanie:
I tu wracamy do kwestii danych "służbowych" i "prywatnych". W wypadku danych ogólnie dostępnych, ten przepis (art. 23 ust. 1 pkt 5)również może znaleźć zastosowanie. I tu również trzeba zwrócić uwagę na przesłankę usprawiedliwionych celów. W tym miejscu pozwolę sobie zacytować pewne ważne orzeczenie, które pomoże uzmysłowić sobie ten problem. Sąd Apelacyjny w Gdańsku, w orzeczeniu z dnia 15 marca 1996 r. stwierdził: "Nie można przyjąć, iżby posłużenie się danymi osobowymi osoby fizycznej w ofercie handlowej do niej skierowanej było bezprawnym działaniem oferenta. Podstawowe dane osobowe człowieka (nazwisko i imię) są jego dobrem osobistym, ale jednocześnie są dobrem powszechnym w tym znaczeniu, iż istnieje publiczna zgoda na posługiwanie się nimi w życiu społecznym (towarzyskim, urzędowym, handlowym etc.) Dopóki więc dane osobowe człowieka używane są zgodnie z REGUŁAMI SPOŁECZNYMI, nie można mówić o bezprawności działań innych osób ani o zagrożeniu dóbr osobistych tymi działaniami". Stanowisko to aprobuje między innymi E. Łętowska i R. Hauser jak również J. Barta i R. Markiewicz. W kontekście tego orzeczenia i omawianej sprawy należy się zastanowić co jest zgodne z REGUŁAMI SPOŁECZNYMI. Jak wskazują R. Markiewicz i J. Barta w swoim komentarzu, pozyskiwanie danych osobowych ze spisów ogólnie dostępnych czy też np. książek telefonicznych może być uznane za zgodne z regułami społecznymi. Tak więc również w ten sposób pozyskane dane mogą być wykorzystane bez zgody osób, których dotyczą, oczywiście za wyjątkiem działań marketingowych związanych z propozycją zawarcia umowy.
Należy jednak pamiętać, iż w przypadku przetwarzania danych osobowych w oparciu o art. 23 ust. 1 pkt 5 osobie której dane dotyczą ZAWSZE przysługuje roszczenie o zaprzestanie wykorzystywania (przetwarzania) tych danych. Ponadto zastosowanie znajdują inne przepisy ustawy, w szczególności te dotyczące obowiązku informacyjnego o zakresie i celu przetwarzania danych jak również ich właściwego zabezpieczenia. Odrębnym problemem jest kwestia rejestracji tak powstałego zbioru. W pierwszym z omawianych wypadków moim zdaniem zbiór podlega rejestracji, w drugim (dane pozyskiwane ze źródeł powszechnie dostępnych) - nie (art. 43 ust. 1 pkt 9).
Pozdrawiam serdecznie
Jakub Wezgraj edytował(a) ten post dnia 31.10.08 o godzinie 17:51