Jednak, co bardzo istotne, podmiot, który otrzyma takie uprawnienie, ma obowiązek tak samo chronić dane, jakby był ich administratorem. Tym samym odpowiada on za wprowadzenie odpowiednich warunków (technicznych i organizacyjnych), w celu zapewnienia danym należytej ochrony, w tym uniemożliwienia do nich dostępu osobom nieupoważnionym.
Zgodnie bowiem z art. 36 ustawy, administrator danych jest zobowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć przetwarzane dane przed ich udostepnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem.
Kolejne przekazanie
Teraz przechodzimy do drugiej części pytania. Aby móc wyjaśnić, czy spółka windykacyjna miała prawo posługiwać się danymi osobowymi pasażera, należałoby wiedzieć, od kogo te dane otrzymała. Sprawa jest zresztą stosunkowo prosta. Jeżeli dane osobowe otrzymała bezpośrednio od administratora, czyli przewoźnika, to powierzenie takie może być legalne, choćby w świetle przywołanego już art. 31 ustawy.
Natomiast, gdy dane te zostały przekazane firmie windykacyjnej przez spółkę dokonującą kontroli biletów, np. na podstawie umowy cesji, to takie przekazanie było bezprawne. Innymi słowy doszło do naruszenia zasad prawidłowego przetwarzania danych, w szczególności ich ochrony przed udostępnieniem osobom nieupoważnionym. Jeszcze raz należy podkreślić, że firma dokonująca kontroli biletów nie stała się administratorem danych, tym samym to nie ona decyduje o celach i środkach przetwarzania. Tym samym nie ma także prawa przekazywać ich osobom trzecim.
Jeżeli przyjmiemy wersję o umowie (cesji wierzytelności celem ich dalszej egzekucji) między firmą kontrolującą a spółką windykacyjną to nie da się znaleźć podstaw do legalnego przetwarzania danych przez tę ostatnią (patrz ramka). >Windykator bez uprawnień
Windykator bez uprawnień
Przyjmując wersję wyłącznie o umowie pomiędzy firmą kontrolującą bilety a firmą windykacyjną, skutkującą udostępnieniem tej ostatniej informacji o pasażerach, to nie da się tu znaleźć czynności lub podstaw do legalnego przetwarzania przez nią danych. Uprawnienia do takiego przekazania nie daje art. 33a prawa przewozowego, z którego wynika, że administratorem danych jest przewoźnik, a nie firma kontrolująca bilety.
Tym samym nie ma podstawy prawnej w postaci art. 23 ust. 1 pkt 2 (konieczność zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa). Nie dają go także pozostałe przesłanki wskazane w art. 23 ust. 1. Jeżeli firma windykacyjna przetwarzała dane osobowe pasażera wyłącznie w związku z zawarciem umowy przelewu wierzytelności natomiast sam pasażer nie zawierał z tą firmą żadnej umowy, to nie ma warunku wskazanego w pkt 3.
Podobnie, gdy nie wyrażał on zgody na przetwarzanie przez nią jego danych osobowych – pkt 1. Nie można także uznać, że spółka windykacyjna przetwarzała te dane w prawnie usprawiedliwionym celu, o którym mowa w art. 23 ust. 1 pkt 5 ustawy. Przez taki cel rozumie się bowiem, jak stanowi art. 23 ust. 4 pkt 2, m.in. dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Natomiast, jak już było wskazane, w świetle art. 33 a prawa przewozowego jedynie przewoźnik uprawniony był do ewentualnego zawarcia z firmą windykacyjną umowy dochodzenia zapłaty od pasażerów. Jeżeli w tym przypadku właśnie tak było, czyli to firma przewozowa, jako administrator danych, przekazała je firmie windykacyjnej, to czytelnik nie powinien być zdziwiony, że jego dane osobowe trafiły właśnie do takiej spółki, i że miała ona prawo legalnie je wykorzystać
Natomiast dane takie mógł udostępnić bezpośrednio przewoźnik, jako administrator danych, w celu odzyskiwania należności.
