Musi być zgoda klienta na zmianę celu przetwarzania danch

- Nielegalne przetwarzanie danych osobowych może być pewną pokusą dla przedsiębiorcy. Czasami ulega jej nie do końca świadomie, po prostu z niewiedzy.

Odpowiada Wojciech Rafał Wiewiórowski, generalny inspektor ochrony danych osobowych:

W rękach przedsiębiorców jest dziś rzeczywiście ogromna ilość danych, w tym danych osobowych. Otrzymują je oni od samych klientów przy okazji zawierania różnego rodzaju umów czy przesyłania ofert handlowych.

Dane te obejmują nie tylko imię i nazwisko oraz adres zamieszkania, ale często także np. informacje o planach i potrzebach życiowych konsumentów. Z pewnością posiadanie takich danych rodzi pokusę, aby zestawiać je w najróżniejszy sposób i wykorzystywać w dalszej działalności gospodarczej.

Trudno się temu dziwić. Przedsiębiorcy nie tylko przesyłają kolejne oferty do klientów, ale też tworzą profile tych, z którymi chcieliby współpracować. Przyjmują założenie, że skoro klienta zainteresowała oferta A, to być może zaciekawi go oferta B, a ci, którzy do tej pory korzystali z usługi X, być może będą chcieli zamówić usługę Y. To wszystko jest zupełnie zrozumiałe z punktu widzenia przedsiębiorcy, do którego trafia duża liczba danych.

Jednak są granice legalnego przetwarzania danych przez przedsiębiorcę. Gdzie one leżą?

Prowadzenie działalności gospodarczej nie upoważnia do swobodnego wykorzystywania danych osobowych. Przedsiębiorcy muszą sobie zdawać sprawę z tego, że przetwarzanie danych osobowych klientów bądź potencjalnych klientów podlega w Polsce dość sporym ograniczeniom. Podobne restrykcje istnieją w całej Unii Europejskiej, a także w wielu innych krajach świata.

Jaka jest jednak podstawowa zasada, o której każdy przedsiębiorca powinien pamiętać na co dzień i stosować się do niej, by nie narażać się na kłopoty, sankcje karne czy procesy związane z nieuprawnionym przetwarzaniem danych osobowych?

Przede wszystkim nie jest prawdą, że dane, które raz trafiły do przedsiębiorcy, mogą być przez niego w dowolny sposób przetwarzane. Przedsiębiorcy często o tym zapominają. A przecież przepisy zobowiązują ich do tego, by zawsze konfrontowali cel, dla którego zebrali dane, z celem, w jakim zamierzają ponownie ich użyć.

Jeżeli bowiem cel pozostaje ten sam, to z zasady najprawdopodobniej przedsiębiorca może te dane ponownie przetwarzać. Co to oznacza? Skoro np. uzyskał zgodę na wykorzystanie danych w celach marketingowych, to będzie mógł je w tym celu wielokrotnie wykorzystywać, niezależnie od tego czy informacje promocyjne będzie przesyłać w formie papierowej czy drogą elektroniczną.

Natomiast jeżeli przedsiębiorca zebrał dane w celu zawarcia i realizacji umowy, a później zechce je wykorzystać do przesłania oferty marketingowej innego podmiotu, to powinien poinformować osoby, których dane przetwarza, o zmianie celu przetwarzania danych i uzyskać na to ich zgodę. Ci, którzy taką informację otrzymają, mają prawo jej nie udzielić.

Dziś coraz częściej mówi się już nie tylko o wrażliwych danych, ale o wrażliwych procesach ich przetwarzania. Co to pojęcie oznacza?

Dyrektywa o ochronie danych osobowych posługuje się nie tylko pojęciem „dane wrażliwe”, ale także pojęciem „wrażliwe przetwarzanie danych osobowych”, które zostało przetłumaczone na polski jako „przetwarzanie wrażliwych danych osobowych”.

Dlatego na podstawie dzisiejszych polskich przepisów rozważa się jedynie wrażliwość danych osobowych, a art. 27 ustawy o ochronie danych osobowych wymienia wprost, które dane osobowe traktowane są jako wrażliwe, objęte dodatkowym, ostrzejszym reżimem przetwarzania.

Przygotowywane dziś na szczeblu europejskim zmiany w dyrektywie o ochronie danych osobowych będą już wyraźnie wspominały, że wrażliwość dotyczy nie tylko danych, ale i sposobu ich przetwarzania. Jako klasyczny przykład wrażliwego przetwarzania danych, które zapewne zostanie uregulowane w nowej dyrektywie bądź rozporządzeniu, można podać profilowanie osób.

Na czym polega ten klasyczny przykład?

Generalnie na korzystaniu z danych, które pochodzą z różnych miejsc i różnych źródeł, zestawianiu ich i tworzeniu profilu osobowego konkretnej osoby fizycznej. Dla przedsiębiorców najczęściej będzie to klient bądź potencjalny klient, o którym zwykle gromadzą bardzo różnorodne informacje.

Pozyskują je bezpośrednio od zainteresowanej osoby, a także z innych źródeł, np. z Internetu. Problem polega na tym, że takie informacje są co prawda ujawnione w Internecie, np. w serwisach społecznościowych, ale ich ujawnienie w sieci nie było spowodowane tym, że ktoś miał zamiar przekazać je konkretnemu przedsiębiorcy do przetwarzania.

Takie sytuacje zdarzają się coraz częściej. W myśl rekomendacji przyjętej przez Radę Europy przedsiębiorcy będą podlegali dodatkowym rygorom. W przypadku łączenia danych pochodzących z różnych źródeł w celu stworzenia profilu konkretnej osoby wymagane stanie się przynajmniej dopełnienie wobec niej obowiązku informacyjnego.

O czym konkretnie trzeba będzie poinformować takiego klienta?

Administrator danych będzie musiał poinformować klienta, że tworzony jest jego profil osobowy. Klient dowie się też, że ma do niego dostęp i może profil poprawiać lub zmieniać, jeżeli uzna, że informacje w nim zawarte są nieprawdziwe bądź zostały zebrane z naruszeniem prawa.

Od czasu do czasu dowiadujemy się o wycieku danych z firmy. Jakie są najczęstsze powody takich zdarzeń?

Często wyciek oznacza, że dane nie były, choć powinny być, właściwie zabezpieczone, m.in. przed ewentualnym wyciekiem, czyli dostaniem się w niepowołane ręce. Poziom ochrony, który trzeba zapewnić, zależy od tego, jakiego rodzaju dane są w firmie przetwarzane, a także od tego, w jakiej formie czy też w jakiej postaci trafiły do przedsiębiorcy. Oczywiście inne zabezpieczenia musi stosować mały sklepik osiedlowy, a inne bank czy ubezpieczeniowa grupa finansowa.

Warto jednak pamiętać, że w większości przypadków – niezależnie od tego czy chodzi o dużego czy o małego przedsiębiorcę – przyczyną wycieku danych i dostania się ich w niepowołane ręce są zdarzenia mające miejsce wewnątrz firmy. Na przykład ktoś funkcjonujący w strukturze firmy i mający dostęp do danych osobowych przekazuje je osobom nieupoważnionym, czasem w sposób nieświadomy.

Wyciek danych może też być skutkiem socjotechnicznego oddziaływania na  przedsiębiorcę. Przy tego typu działaniach sprawcy wpływają na osobą mającą dostęp do danych, by uzyskać potrzebne informacje nie włamując się do systemów przedsiębiorcy. Najczęściej sprowadza się to do uzyskania od przedsiębiorcy różnego rodzaju haseł dostępu czy opisów systemu zabezpieczeń.

To jest jednak domena nie tyle przepisów z zakresu ochrony danych osobowych, ile przepisów dotyczących ochrony informacji, w tym informacji niejawnych, a także ochrony różnego rodzaju tajemnic i ochrony systemów teleinformatycznych.

Generalnego inspektora ochrony danych osobowych w większym zakresie interesują jednak granice legalnego przetwarzania danych osobowych.

Czytaj też artykuł:

Zobacz więcej:

» Firma » Dane osobowe i dobra osobiste

» Firma » Firma - klient

Prawo dla Ciebie