Przetwarzanie a ochrona danych osobowych

Przeczytaj także: Ochrona danych osobowych - jak nie złamać prawa?

Podczas kontaktów z Klientami wiele razy słyszałam, że przetwarzają tylko dane innych firm, którym świadczą usługi i których dane (jako podmiotów gospodarczych) nie są objęte ochroną Ustawy więc nie posiadają danych osób fizycznych i nie muszą spełniać szeregu obowiązków, które nakłada na nich ustawodawca. I tu należy wyjaśnić, że jeżeli przedsiębiorca zatrudnia pracowników to już w tym momencie posiada przynajmniej dwa zbiory danych osobowych: pracowników oraz (najprawdopodobniej) kandydatów do pracy. Czyli nawet gdy przedsiębiorca nie posiada danych klientów będących osobami fizycznymi, ciąży na nim obowiązek przestrzegania Ustawy. Przedsiębiorca taki zwolniony jest jedynie z obowiązku zgłoszenia tych zbiorów do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

Kolejnym błędnym myśleniem jest zła interpretacja art. 43 ust. 1 pkt. 8 Ustawy, z którego wynika, że przedsiębiorca przetwarzający dane klientów będących osobami fizycznymi jest zwolniony z obowiązku zgłoszenia do rejestracji zbioru danych, gdy przetwarza je wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. W praktyce wygląda to tak, że dane takich klientów pozostają w systemach nawet po wystawieniu faktury i zaczynają tworzyć zbiór. Jeżeli przedsiębiorca oferuje produkty lub usługi, które klient może zareklamować (np. z uwagi na to, że sprzedaż odbywa się poprzez sklep internetowy) powstaje nowy zbiór: reklamacje.

Gdy oferują Państwo usługę newslettera, pojawia się kolejny zbiór ponieważ osoba, która chce go otrzymywać musi podać swój adres e-mail, który również może (choć nie zawsze) stanowić daną osobową. Istnieje wiele adresów e-mail, które nie pozwolą nam na określenie, której konkretnie osoby dotyczą, jednak z całą pewnością adresy e-mail osób fizycznych, które wykupiły konto e-mail u usługodawcy i podpisały z nim stosowną umowę na świadczenie takiej usługi uznajemy za dane osobowe. W związku z tym, że nie ma możliwości zapewnienia, że zbierane adresy e-mail nie stanowią danych osobowych, przedsiębiorca zobowiązany jest do zgłoszenia do rejestracji takiego zbioru.

Przedsiębiorcy, którzy udostępniają fora dyskusyjne na swoich stronach internetowych, powinni zgłosić do rejestracji zbiór zarejestrowanych użytkowników. Należy bowiem pamiętać tutaj o bardzo ważnej kwestii, że nick, login, adres IP, a nawet pliki cookie mogą stanowić dane uznane jako osobowe.

Dodatkowo istnieje się jeszcze jedna dana mogąca pojawić się w poszczególnych zbiorach, która sama stanowi również daną osobową – numer telefonu. Numer telefonu uznany jest jako ciąg cyfr, który identyfikuje zakończenie sieci telefonicznej przypisane abonentowi przez operatora telefonicznego. Przy podpisaniu umowy z operatorem podawane są inne dane osobowe, które pozwolą określić po przyznanym numerze konkretną osobę fizyczną.

Na sam koniec chciałabym dodać, przez co również Państwa uspokoić, że zgłoszenie zbiorów do rejestracji nie kończy się kontrolą Generalnego Inspektora Ochrony Danych Osobowych.