Ochrona danych osobowych

Pytanie:

Krajowy Rejestr Długów BIG S.A. ma ustawowy obowiązek prezentacji informacji konsumentom na ich wniosek. Chciałem skorzystać i zobaczyć jak wygląda taka informacja. Zarejestrowałem się na na stronie internetowej przez specjalny szyfrowany formularz podając swoje dane osobowe (w tym numer PESEL). Następnie firma odesłała do mnie niezaszyfrowanym e-mailem tenże numer informując, że jest to login do serwisu. Ponadto zażądała przesłania e-mailem skanu dowodu osobistego do weryfikacji. Ponieważ uważam, że e-mail jest odpowiednikiem kartki pocztowej (która dodatkowo przechodzi przez różne państwa, których prawodawstwo w zakresie ochrony danych osobowych może nie być zgodne z polskim) zadałem dwukrotnie pytanie Spółce dlaczego wszystko nie odbywa się wyłącznie poprzez zaszyfrowany formularz. Odpowiedzi nie uzyskałem.Czy wysyłanie danych osobowych e-mailem a także zachęcanie konsumentów (którzy mogą być nieświadomi) do przesyłania dokumentów e-mailem stanowi naruszenie przepisów o ochronie danych osobowych? Jeśli tak, to do którego organu w Polsce można złożyć wniosek o wszczęcie postępowania mającego na celu zaprzestanie takich praktyk? W jakim trybie (czasie) taki wniosek jest rozpatrywany?

Masz inne pytanie do prawnika?

ODPOWIEDŹ PRAWNIKA

Zgodnie z art. 5 Ustawy o udostępnianiu informacji gospodarczych, u.u.d.g., zarząd BIG S.A. uchwala regulamin zarządzania danymi określający szczegółowe zasady zabezpieczenia informacji gospodarczych, z uwzględnieniem przepisów o ochronie danych osobowych. Regulamin podlega zatwierdzeniu w drodze decyzji wydawanej przez ministra właściwego do spraw gospodarki, po zasięgnięciu opinii Generalnego Inspektora Ochrony Danych Osobowych.

Wobec powyższego zgodnie z art. 36 ust. 1 Ustawy o ochronie danych osobowych, dalej u.o.d.o., administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Z kolei zgodnie z art. 38 u.o.d.o. administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. W nawiązaniu do treści tego przepisu można wskazać, że obowiązkiem kontroli ze strony administratora objęte jest także samo przekazywanie danych osobowych osoby, której dane dotyczą, osobie upoważnionej do przetwarzania danych, przedstawicielowi, przetwarzającemu w rozumieniu i organom państwowym lub samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem (tak w szczególności Andrzej Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2008 rok). Jeżeli zbiór jest prowadzony w systemie informatycznym, to administrator danych w szczególności obowiązany zapewnić, aby system informatyczny odpowiadał wymaganiom określonym w przepisach szczególnych.

Wymagania te określa Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Na podstawie par. 7 ust. 1 tego rozporządzenia administrator danych przetwarzający je w systemie informatycznym jest obowiązany, aby ten system umożliwiał odnotowanie (wyjątek dotyczy systemów służących do przetwarzania danych osobowych, ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie):

1) daty pierwszego wprowadzenia danych do systemu;

2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych ma wyłącznie jedna osoba;

3) źródła danych w przypadku zbierania danych nie od osoby, której one dotyczą;

4) informacji o odbiorcach danych (art. 7 pkt 6 u.o.d.o.), którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;

5) sprzeciwu co do przetwarzania danych, o którym mowa w art. 32 ust. 1 pkt 8 u.o.d.o.

Warto podkreślić, że dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie powyższe informacje.

Powyższe tezy skłaniają do wyprowadzenia wniosku o objęciu obowiązkiem kontroli (w postaci zapewnienia odpowiednich warunków technicznych w zgodzie z powyższym rozporządzeniem) danych dopiero wprowadzanych do zbiorów będących w gestii administratora.

Jeżeli więc odbiór i wprowadzanie do zbioru danych przesyłanych w postaci e-maili spełnia wyżej wymienione przesłanki, nie ma podstaw do formowania zarzutów wobec administratora. W przeciwnym wypadku w grę wchodzi odpowiedzialność karna przewidziana przez u.o.d.o., co łączy się z kwestią złożenie stosownego doniesienia do organów ścigania.

Natomiast kontrolę nad prawidłowością przetwarzania danych osobowych przez BIG S.A. sprawuje Generalny Inspektor Ochrony Danych Osobowych. W tym celu należy kierować do niego stosowne wnioski i ewentualne skargi w trybie administracyjnym przewidzianym przez Kodeks postępowania administracyjnego. Co do zasady organ ma 30 dni na załatwienie takich spraw (art. 237 i 244 k.p.a.).

 

Potrzebujesz porady prawnej?

KOMENTARZE (0)

Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!


Dodaj komentarz

DODAJ KOMENTARZ

ZOBACZ TAKŻE:

NA SKÓTY