Co zrobić, gdy nasze dane osobowe zostały bezprawnie przetworzone

Czy bank może wysyłać e-maile

@RY1@i02/2013/021/i02.2013.021.18300150e.815.jpg@RY2@

Wysyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy za pomocą środków komunikacji elektronicznej (w szczególności poczty elektronicznej) jest zabronione. Informacją handlową jest każda informacja przeznaczona bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy albo osoby wykonującej zawód. Przesyłka taka wymaga wyraźnej zgody usługobiorcy. W związku z tym do skrzynki poczty elektronicznej mogą być wysyłane tylko e-maile zamówione przez usługobiorcę, np. prenumerata czasopism, aktualne oferty ze sklepów internetowych. Zgoda taka może być w każdym czasie odwołana. O fakcie tym należy poinformować usługodawcę na piśmie lub poprzez wypełnienie stosownego formularza w internecie.

Podstawa prawna

Art. 9 i 10 ustawy z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. nr 144, poz. 1204 z późn. zm.).

Czy muszę zarejestrować bazę z danymi klientów

@RY1@i02/2013/021/i02.2013.021.18300150e.816.jpg@RY2@

Zgłoszenie zbioru danych osobowych do rejestracji generalnemu inspektorowi ochrony danych osobowych to obowiązek administratora danych, czyli podmiotu decydującego o celach i środkach przetwarzania danych osobowych. Co do zasady, obowiązku zgłoszenia powinni dopełnić wszyscy administratorzy. Przepisy przewidują jednak pewne wyjątki. Nie trzeba na przykład rejestrować zbiorów tworzonych w związku z zatrudnieniem (a więc zarówno kandydatów do pracy, jak i pracowników) czy w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Obowiązkowi temu nie podlegają również zbiory prowadzone w zakresie drobnych, bieżących spraw życia codziennego, dlatego nie trzeba rejestrować zbiorów danych powstałych w związku z prowadzeniem księgi wejść do budynków. Warto wiedzieć, czy przetwarzany przez nas zbiór danych podlega obowiązkowi rejestracji. Niezgłoszenie zbioru generalnemu inspektorowi ochrony danych osobowych jest przestępstwem, za które grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku.

Podstawa prawna

Art. 43 ust. 1 pkt 4, 8, 11 i 53 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.).

Czy mogę się sprzeciwić wykorzystaniu danych

@RY1@i02/2013/021/i02.2013.021.18300150e.817.jpg@RY2@

Imię, nazwisko i adres danej osoby jako sfera prywatności człowieka należy do danych osobowych. W razie wniesienia sprzeciwu dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Administrator danych może przetwarzać dane osobowe osób fizycznych w celu marketingowym na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, który stanowi, iż przetwarzanie danych jest dopuszczalne m.in. wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanienie narusza praw i wolności osoby, której dane dotyczą. W przypadku gdy osoba, której dotyczą dane, wniesie sprzeciw wobec dalszego ich przetwarzania, administrator powinien zaprzestać ich wykorzystywania.

Podstawa prawna

Art. 23 ust. 1 pkt 5 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.).

Czy pracodawca może publikować dane pracowników

@RY1@i02/2013/021/i02.2013.021.18300150e.818.jpg@RY2@

Dane tego rodzaju zaliczyć należy do danych służbowych. Administrator może je ujawniać bez konieczności uzyskiwania zgody podmiotu danych (pracownika). Pracodawca może wykorzystywać te dane w wyżej wymieniony sposób z uwagi na łączący go z podmiotem danych stosunek pracy. Przetwarzanie danych jest co do zasady dopuszczalne tylko za wyraźną zgodą osoby, której dane dotyczą. Wyjątkiem od tej reguły jest przykładowo sytuacja, w której jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (np. przekazanie danych osobowych przez operatora na żądanie organów ścigania po zwolnieniu go z tajemnicy telekomunikacyjnej przez sąd lub prokuratora) lub jest to konieczne do realizacji umowy, której stroną jest osoba, której dane dotyczą. Zatrudnienie w urzędzie miasta i pełnienie funkcji publicznej może uzasadniać podanie niektórych danych osobowych do informacji publicznej. Zakres danych osobowych, przetwarzanych w związku z koniecznością wywiązania się z umowy, powinien być jednak zróżnicowany w zależności od charakteru i znaczenia umowy. Można więc ujawnić imię, nazwisko i stanowisko urzędnika, natomiast bez jego zgody nie wolno upubliczniać takich danych osobowych jak adres zamieszkania czy data urodzenia.

Podstawa prawna

Art. 23 ust. 1 pkt 3 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.).

Czy portal może przechowywać moje dane

@RY1@i02/2013/021/i02.2013.021.18300150e.819.jpg@RY2@

Usunięcie konta użytkownika z portalu internetowego nie musi oznaczać automatycznego usunięcia jego danych osobowych. Usługodawca może przetwarzać wybrane informacje, jeżeli po zakończeniu korzystania z usługi będą one niezbędne do jej rozliczenia oraz dochodzenia roszczeń z tytułu zaległych płatności. Konieczność należytego rozliczenia transakcji wiąże się np. z przepisami ordynacji podatkowej, które zobowiązują podatników do przechowywania dokumentów i informacji przez określony czas. Dane mogą być również wykorzystywane, gdy są niezbędne do reklamy, badania rynku i zachowań lub preferencji usługobiorców, o ile służą poprawie jakości usług usługodawcy. Musi się to jednak odbywać za zgodą usługobiorcy. W tym zakresie dopuszczalne jest jedynie zestawianie niektórych danych dotyczących korzystania z różnych usług świadczonych drogą elektroniczną, i to pod warunkiem usunięcia wszelkich oznaczeń identyfikujących usługobiorcę lub zakończenie sieci telekomunikacyjnej albo systemu teleinformatycznego, z którego korzystał.

Podstawa prawna

Art. 19 ustawy z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2002 r. nr 144, poz. 1204 z późn. zm.).

Czy kawiarenka musi chronić IP komputera

@RY1@i02/2013/021/i02.2013.021.18300150e.820.jpg@RY2@

Ochronę prawną uzyskały nie tylko takie dane osobowe, jak nazwisko, PESEL, NIP czy informacje o kodzie genetycznym. Przepisy nie określają zamkniętego katalogu informacji, które mogą być zaliczane do danych osobowych. Są nimi wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Natomiast osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, zwłaszcza przez powołanie się na numer identyfikacyjny lub jeden bądź kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, kulturowe czy społeczne. Ustawodawca zadecydował również, iż informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. W wielu sytuacjach zbiór liczb stanowiący numer IP komputera należy jednak uznać za dane osobowe. Jest tak wówczas, gdy jest na stałe lub na dłuższy czas przypisany do konkretnego urządzenia, które jest z kolei przypisane konkretnemu użytkownikowi.

Podstawa prawna

Art. 6 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.).

Czy sąd może ujawnić dane osób trzecich

@RY1@i02/2013/021/i02.2013.021.18300150e.821.jpg@RY2@

Według generalnego inspektora ochrony danych osobowych stosowana praktyka załączania do akt postępowania dokumentów zawierających dane osobowe osób trzecich niebędących stroną w sprawie może prowadzić do naruszenia ustawy o ochronie danych osobowych. Włączając określone dowody z dokumentów zawierających dane osób trzecich do materiału dowodowego postępowania, sąd powinien brać pod uwagę także przepisy ustawy o ochronie danych osobowych. W przypadku zbierania danych nie od osoby, której one dotyczą, sąd ma obowiązek poinformować ją - bezpośrednio po utrwaleniu zebranych danych - o adresie swojej siedziby i pełnej nazwie, celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, źródle danych oraz prawie dostępu do treści swoich danych oraz ich poprawiania. Osoba, której dane dotyczą, musi też zostać poinformowana o sytuacjach, w których może żądać zaprzestania przetwarzania jej danych (sygnalizacja GIODO z 28 kwietnia 2009 r., sygn. DOLiS-440-332/08).

Podstawa prawna

Art. 7 pkt 2 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.).

Adam Makosz

adam.makosz@infor.pl