Zbieraj tyle danych, ile potrzebujesz

Albert Stawiszyński, Łukasz Rzegoczan
opublikowano: 03-08-2006, 00:00

Za łamanie przepisów, określających, jakich informacji można żądać od klientów czy kontrahentów, grożą kary.

„Puls Biznesu”: Czym zajmuje się urząd, którym kieruje pan od połowy lipca?

Michał Serzycki, generalny inspektor ochrony danych osobowych: Przede wszystkim mam prawo do kontrolowania zbiorów danych osobowych u przedsiębiorcy będącego ich administratorem, wydaję decyzje administracyjne i rozpatruję skargi w sprawach wykonania przepisów o ochronie danych. Do moich zadań należy na przykład prowadzenie jawnego rejestru zbiorów danych, czy udzielanie informacji o zarejestrowanych zbiorach.

Jakie dane osobowe są pod lupą GIODO?

Zarówno zwykłe — imię, nazwisko czy adres — jak i szczególnie chronione, czyli np. o stanie zdrowia, wyznaniu czy o kodzie genetycznym. Ochronie podlegają dane znajdujące się zarówno w kartotekach czy księgach, jak i w systemach informatycznych. Nie podlegają ochronie m.in. dane wykorzystywane w celach prywatnych, osobistych lub domowych. Ponadto jest kategoria danych, które ustawa chroni w sposób ograniczony, na przykład zbiory sporządzane doraźnie, takie jak lista uczestników konferencji naukowej czy lista uczestników wycieczki.

Jakich danych osobowych przedsiębiorcy mogą żądać od klientów i kontrahentów?

Jeśli przedstawiciele firmy, która zamierza uzyskać dane osobowe, twierdzą, że są one konieczne do zawarcia lub wykonania umowy z klientem, to mogą od niego żądać potrzebnych danych. Ale ustawa przewiduje stosowanie zasady adekwatności. Uprawnione jest żądanie danych niezbędnych do osiągnięcia celu, w jakim będą wykorzystane. Zakres żądanych danych zatem w dużej mierze zależy od charakteru zawieranej umowy.

Na przykład?

W przypadku zawierania umowy rachunku bankowego bankowi nie jest potrzebna informacja o ilości osób pozostających we wspólnym gospodarstwie domowym z klientem, ale ta informacja może być istotna przy zawieraniu umowy kredytowej. Zakres lub cel danych, jakie firmy mogą otrzymywać od klientów, jest często określony w przepisach. Przepisy prawa bankowego upoważniają bank do żądania od klientów danych niezbędnych do zbadania ich zdolności kredytowej.

Uprawnienie do żądania danych — gdy jest to konieczne do realizacji umowy lub podjęcia działań przed jej zawarciem — wynika wprost z art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Zatem firma nie potrzebuje zgody klienta na ich wykorzystanie. Żądanie takiej dodatkowej zgody jest jednym z błędów najczęściej popełnianych przez administratorów.

Jakie nieprawidłowości popełniają przedsiębiorcy przy przedstawianiu klientom do podpisu klauzul o wyrażenie zgody na przetwarzanie danych osobowych?

Firmy często błędnie umieszczają klauzule w treści umów i klient, chcąc taką umowę zawrzeć, musi zgodzić się na wykorzystywanie danych na przykład w celach marketingowych. Firmy zapominają również o konieczności dopełnienia innych obowiązków wynikających z ustawy, na przykład takich, że w klauzuli o wyrażenie zgody na przetwarzanie danych osobowych należy podać dokładnie nazwę przedsiębiorcy, adres siedziby, cel przetwarzania i zakres danych, a także to, czy i komu zostaną one udostępnione.

Jakie są inne obowiązki administratora bazy danych osobowych?

Przede wszystkim administrator musi zgłosić zbiór danych do rejestracji generalnemu inspektorowi, chyba że zbiór ten podlega wyłączeniu z obowiązku. Na przykład dzieje się tak, gdy dane przetwarzane są wyłącznie w celu wystawienia faktury czy rachunku.

Do obowiązków administratora należy też stosowanie środków technicznych i organizacyjnych, które zapewnią ochronę przetwarzanych danych osobowych — odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.

Czy przedsiębiorcy mogą sprzedać bazę danych osobowych?

W praktyce nie jest to łatwe. Administrator może ją sprzedać, jeśli zgodzą się na to osoby, których dane znajdują się w bazie. Jednak trudno sobie wyobrazić, że firma dysponująca zbiorem 10 tysięcy osób będzie od każdej uzyskiwać zgodę. Dlatego warto o tym pomyśleć wcześniej, na etapie tworzenia bazy.

Co grozi przedsiębiorcy za niezgodne z prawem korzystanie z danych osobowych?

Jeśli stwierdzimy, że ktoś wykorzystuje je niezgodnie z ustawą, to nakazujemy przywrócenie stanu zgodnego z prawem. W razie gromadzenia przez firmę zbyt wielu danych, nakazujemy ich usunięcie i ograniczenie ich zakresu. Ponadto do organów ścigania możemy kierować zawiadomienie o popełnieniu przestępstwa. Za nielegalne przetwarzanie grozi grzywna, ograniczenie wolności albo pozbawienie wolności do dwóch lat.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Albert Stawiszyński, Łukasz Rzegoczan

Polecane

Inspiracje Pulsu Biznesu