„Szczególna staranność” administratora danych osobowych

www.sxc.hu

Inspiracją do przygotowania tego wpisu był komentarz Pani Joanny (Czytelniczki naszego bloga):

„(…) W nawiązaniu do poruszanych zagadnień, chciałam zapytać o kwestię „dochowania szczególnej staranności w ochronie danych osobowych”, w szczególności dokumentację, którą jest zobowiązany prowadzić administrator bazy danych.

Czy istnieją sformalizowane wytyczne, które precyzyjnie określałyby procedury przygotowywania oraz przechowywania dokumentacji w zakresie zarządzania gromadzonymi i przetwarzanymi danymi osobowymi w ramach działalności e-commerce?”

Z uwagi na fakt, że odpowiedzi na oba pytania są dosyć obszerne – warto ich udzielić w odrębnych wpisach, a nie tylko w odpowiedzi na komentarz – na początek obowiązek szczególnej staranności a w kolejnym wpisie omówimy kwestię dokumentacji prowadzonej przez ADO.

Nakaz zachowania należytej staranności uregulowany został w art. 26 ustawy o ochronie danych osobowych.

Przepis ten brzmi:

Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:

1) przetwarzane zgodnie z prawem,

2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, (…),

3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,

4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Co oznaczają w praktyce powyższe punkty? Przejdźmy je krok po kroku:

Ad 1

Przetwarzanie zgodne z prawem – jest normą bardzo ogólną i jednocześnie pojemną.

Zasada ta nazywana jest również „zasadą legalności”.

W obecnym brzmieniu zasada ta ma tak szeroki zakres pojęciowy, że trudno jest określić w jaki sposób dojść może do jej uszczegółowienia. W literaturze podkreśla się, że chodzi o całość norm prawnych (norm prawa materialnego i przepisów postępowania, przepisów rangi ustawowej i rozporządzeń), w tym również zasad współżycia społecznego.

Czyli „norma – worek”.

Ad 2

Drugi punkt to kolejna zasada. Zbieranie danych osobowych powinno odbywać się  dla oznaczonych, zgodnych z prawem celów (zasada celowości przetwarzania danych osobowych).

O tym w jakim celu przetwarzane są dane – decyduje administrator.  Zgodnie ze stanowiskiem GIODO w sprawozdaniu z działalności organu w 2002 r.: „zasada niezmienności celu przetwarzania danych powoduje, iż administrator danych może wykorzystywać informacje znajdujące się w prowadzonych przez niego zbiorach jedynie w ściśle określonym celu, dla realizacji którego zostały zgromadzone.”

Określenie celu zebrania danych łączy się również bardzo mocno z realizacją obowiązku informacyjnego na etapie zbierania tych danych.

Na marginesie trzeba uznać, że z punktu widzenia użytkownika np. portalu – ta zasada jest najważniejsza – bo skoro udostępniam swoje dane w konkretnym celu, to należy oczekiwać, że wyłącznie w tym celu zostaną one przetworzone.

Ad 3

Z zagadnieniem celu przetwarzania danych osobowych pozostaje związany problem określenia zakresu danych, które mogą być przetwarzane w określonym celu.

Zasada ta określana jest mianem „zasady adekwatności” i sprowadza się do wniosku, że swym rodzajem i swą treścią dane osobowe nie powinny wykraczać poza potrzeby wynikające z celu ich przetwarzania. Czyli jeżeli potrzebna jest informacja dotycząca zarobków danej osoby to takie informacje oczywiście można pozyskać – ale nie można pozyskiwać danych w nieograniczonym zakresie.

W praktyce orzeczniczej GIODO występuje tendencja do utożsamiania „adekwatności” z „niezbędnością”. Podnosi się mianowicie, że w ocenie GIODO, administrator danych uprawniony jest do przetwarzania wyłącznie takiego zakresu danych, jaki jest niezbędny do osiągnięcia celu przetwarzania, co uwarunkowane jest nieprawidłowym rozumieniem pojęcia „adekwatny”, które powinno być rozumiane jako „odpowiedni”, nie zaś jako „niezbędny”.

Jak wskazał WSA w Warszawie w wyroku z 2.4.2007 r., II SA/Wa 2328/06 (niepubl.), w praktyce obowiązek ten oznacza, że informacje wynikające z danych przetwarzanych przez administratora powinny być zgodne z prawdą, pełne (kompletne) oraz powinny odpowiadać aktualnemu (najnowszemu) stanowi rzeczy – dlatego bardzo często w regulaminach np. portali można znaleźć obowiązek stałego aktualizowania swoich danych przez użytkobiorcę / klienta.

Ad 4

Ustawa nakłada na administratora danych obowiązek przechowywania danych osobowych nie dłużej niż to jest niezbędne do osiągnięcia celu przetwarzania – podobne zapisy znajdują się w ustawie o świadczeniu usług drogą elektroniczną.

Zasada ta, zwana „zasadą ograniczenia czasowego”, zabezpiecza osobę, której dane dotyczą przed przetwarzaniem jej danych osobowych przez niczym nie ograniczony okres („w nieskończoność” a właściwie do śmierci osoby fizycznej).

Jak wskazano w orzecznictwie (wyr. WSA w Warszawie z 22.2.2005 r., II SA/Wa 2030/04, niepubl.) chwilą taką jest zamknięcie rachunku bankowego, po którym przetwarzanie danych posiadacza tego rachunku przez bank należy uznać za nielegalne. Po osiągnięciu przez administratora zakładanego celu, przetwarzanie danych jest możliwe ale wyłącznie w postaci zanonimizowanej, tj. pozbawionej cech umożliwiających określenie za ich pomocą tożsamości osoby fizycznej. Informacje takie tracą w ten sposób cechy danych osobowych.


Tagi: , , , , , , ,

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*

Możesz użyć następujących tagów oraz atrybutów HTML-a: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>