Odpowiedź prawnika: Ochrona danych osobowych
Zgodnie z art. 5 Ustawy o udostępnianiu informacji gospodarczych, u.u.d.g., zarząd BIG S.A. uchwala regulamin zarządzania danymi określający szczegółowe zasady zabezpieczenia informacji gospodarczych, z uwzględnieniem przepisów o ochronie danych osobowych. Regulamin podlega zatwierdzeniu w drodze decyzji wydawanej przez ministra właściwego do spraw gospodarki, po zasięgnięciu opinii Generalnego Inspektora Ochrony Danych Osobowych.
Wobec powyższego zgodnie z art. 36 ust. 1 Ustawy o ochronie danych osobowych, dalej u.o.d.o., administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Z kolei zgodnie z art. 38 u.o.d.o. administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. W nawiązaniu do treści tego przepisu można wskazać, że obowiązkiem kontroli ze strony administratora objęte jest także samo przekazywanie danych osobowych osoby, której dane dotyczą, osobie upoważnionej do przetwarzania danych, przedstawicielowi, przetwarzającemu w rozumieniu i organom państwowym lub samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem (tak w szczególności Andrzej Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2008 rok). Jeżeli zbiór jest prowadzony w systemie informatycznym, to administrator danych w szczególności obowiązany zapewnić, aby system informatyczny odpowiadał wymaganiom określonym w przepisach szczególnych.
Wymagania te określa Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Na podstawie par. 7 ust. 1 tego rozporządzenia administrator danych przetwarzający je w systemie informatycznym jest obowiązany, aby ten system umożliwiał odnotowanie (wyjątek dotyczy systemów służących do przetwarzania danych osobowych, ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie):
1) daty pierwszego wprowadzenia danych do systemu;
2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych ma wyłącznie jedna osoba;
3) źródła danych w przypadku zbierania danych nie od osoby, której one dotyczą;
4) informacji o odbiorcach danych (art. 7 pkt 6 u.o.d.o.), którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;
5) sprzeciwu co do przetwarzania danych, o którym mowa w art. 32 ust. 1 pkt 8 u.o.d.o.
Warto podkreślić, że dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie powyższe informacje.
Powyższe tezy skłaniają do wyprowadzenia wniosku o objęciu obowiązkiem kontroli (w postaci zapewnienia odpowiednich warunków technicznych w zgodzie z powyższym rozporządzeniem) danych dopiero wprowadzanych do zbiorów będących w gestii administratora.
Jeżeli więc odbiór i wprowadzanie do zbioru danych przesyłanych w postaci e-maili spełnia wyżej wymienione przesłanki, nie ma podstaw do formowania zarzutów wobec administratora. W przeciwnym wypadku w grę wchodzi odpowiedzialność karna przewidziana przez u.o.d.o., co łączy się z kwestią złożenie stosownego doniesienia do organów ścigania.
Natomiast kontrolę nad prawidłowością przetwarzania danych osobowych przez BIG S.A. sprawuje Generalny Inspektor Ochrony Danych Osobowych. W tym celu należy kierować do niego stosowne wnioski i ewentualne skargi w trybie administracyjnym przewidzianym przez Kodeks postępowania administracyjnego. Co do zasady organ ma 30 dni na załatwienie takich spraw (art. 237 i 244 k.p.a.).