Status administratora danych a benefity

Dziś prezentujemy bardzo ciekawą decyzję Generalnego Inspektora Ochrony Danych Osobowych, która potwierdza nasze stanowisko prezentowane już od kilku lat odnośnie tego, kto posiada status administratora danych osobowych pracowników i zgłaszanych przez nich osób w kontekście zawieranych przez pracodawców umów z podmiotami udostępniającymi platformy benefitowe. Oczywiście nie zgadzamy się z decyzją w 100% (np. odnośnie podstawy przetwarzania danych osobowych, która legalizuje przetwarzanie danych osób korzystających z kart benefitowych), jednak należy docenić fakt zajęcia się przez GIODO tą trudną materią i rozstrzygnięcie tej podstawowej kwestii, a więc kto ww. relacji posiada status administratora danych. Myślę, że zastosowany przez GIODO tok rozumowania będzie jeszcze niejednokrotnie przywoływany i wykorzystywany przy ocenie innych przepływów danych osobowych.

Decyzja GIODO DIS/DEC-594/15/62961

Poniżej treść decyzji:

Generalny Inspektor Ochrony Danych Osobowych

dr Edyta Bielak – Jomaa

Warszawa, dn. 15 lipca 2015 r.

DIS/DEC-594/15/62961

D E C Y Z J A

Na podstawie art. 104 § 1 i art. 105 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2013 r., poz. 267), art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22 w związku z art. 23 ust. 1 pkt 1, art. 24 ust. 1 i art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r., poz. 1182 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez B.S.A.,

I. Nakazuję B. S.A. przywrócenie stanu zgodnego z prawem poprzez zaprzestanie przetwarzania danych osobowych posiadaczy kart M. bez podstawy prawnej, tj. bez zgody na przetwarzanie ich danych osobowych przez B. S.A. w ramach programu M., w terminie dwóch miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna.
II. W pozostałym zakresie postępowanie umarzam.

U z a s a d n i e n i e

Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych, przeprowadzili w B. S.A., zwanej dalej „Spółką”, kontrole zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (sygn. […] i […]), tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r., poz. 1182 z późn. zm.), zwaną dalej „ustawą”, i rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanym dalej „rozporządzeniem”. Zakresem kontroli objęto przetwarzanie przez Spółkę danych osobowych osób korzystających z programu M.

W toku kontroli odebrano od Prezesa Zarządu Spółki i pracowników Spółki ustne wyjaśnienia, skontrolowano systemy informatyczne oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokołach kontroli, które zostały podpisane przez Prezesa Zarządu Spółki.
Na podstawie zgromadzonego podczas ww. kontroli materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Spółka, jako administrator danych, naruszyła przepisy o ochronie danych osobowych poprzez:

  1. Przetwarzanie bez podstawy prawnej danych osobowych posiadaczy kart M. (dalej: „karta)”, to jest bez wyrażenia przez te osoby zgody na przetwarzanie ich danych przez Spółkę w ramach programu M. (art. 23 ust. 1 pkt 1 ustawy).
  2. Nierealizowanie wobec niektórych z posiadaczy kart M. obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 ustawy o ochronie danych.
  3. Niezastosowanie kryptograficznej ochrony danych przesyłanych w sieci publicznej podczas rejestracji, logowania, wprowadzania oraz modyfikacji danych użytkowników platformy „A” (art. 36 ust. 1 ustawy).

W związku z powyższym Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w niniejszej sprawie w celu wyjaśnienia okoliczności sprawy. Jednocześnie Spółka została poinformowana o prawie czynnego udziału w każdym stadium postępowania, a przed wydaniem decyzji wypowiedzenia się co do zebranych w toku kontroli dowodów i materiałów oraz zgłoszonych żądań.GIODO

Z wyjaśnień złożonych przez pełnomocnika Spółki (pełnomocnictwo w aktach sprawy) pismami z dnia […] maja 2015 r., […] maja 2015 r. i […] czerwca 2015 r. wynika, iż Spółka stoi na stanowisku, że nie jest administratorem danych osobowych posiadaczy kart M. Administratorem tych danych jest klient (pracodawca). Pełnomocnik Spółki wskazał m.in., że:

  1. Spółka nie decyduje, jakiemu konkretnie użytkownikowi klient zdecyduje się zaoferować członkostwo w programie M. Spółka oferuje karty uprawniające do korzystania z usług partnerów, ale to nie ona decyduje, które dane będą przetwarzane, ponieważ decyzja w tym zakresie należy do klienta i użytkownika.
  2. Zakres danych osobowych, niezbędny do realizacji umowy, jest nie tyle narzucony przez Spółkę, ile wynika z celu, do realizacji którego dane zostają powierzone przez pracodawców. Dane osobowe powierzane Spółce są niezbędne dla wykonania zadania zleconego przez pracodawcę.
  3. Trudno zgodzić się z argumentem Generalnego Inspektora Ochrony Danych Osobowych, jakoby rozliczanie ilości wizyt między Spółką a jej partnerami (podmioty zarządzające obiektami sportowymi) było tylko w interesie Spółki i świadczyło o tym, że dane osobowe przetwarzane są dla celu wyznaczonego przez Spółkę. Trudno wyobrazić sobie bowiem, aby jakikolwiek klient Spółki zgodził się na brak weryfikacji wykorzystanych przez swoich pracowników wizyt, zwłaszcza kiedy ma to wpływ na warunki finansowe umów. Także nie jest pożądane ze strony pracodawcy, aby np. karta nieimienna była wykorzystywana przez więcej niż jedną osobę, czyli pracownika. Ta kwestia także jest weryfikowana na rzecz klientów (pracodawców).
  4. Zmieniono treść umów o świadczenie usług oraz zmieniono procedury obowiązujące w tym zakresie w Spółce tak, iż obecnie klienci mają pełen dostęp do danych osobowych użytkowników karty M.

Do pisma z […] maja 2015 r. załączono m.in. formularz zmienionej umowy o świadczenie usług zawieranej przez Spółkę z klientami.

W piśmie z dnia […] czerwca 2015 r. poinformowano również, iż administratorem danych przetwarzanych w ramach programu Mu. jest M. Sp. z o.o. sp.k. Ponadto, pismem z dnia […] czerwca 2015 r. wyjaśniono, iż w dniu […] stycznia 2015 r. Spółka zawarła z T. Sp. z o.o. sp. k. (obecnie M. Sp. z o.o. sp. k.) umowę rozporządzającą oraz cesji praw i obowiązków, na mocy której z dniem […] marca 2015 r. nastąpiło przeniesienie na M. Sp. z o.o. sp. k. składników majątkowych, w tym m.in. bazy danych użytkowników programu Mu. Do ww. pisma załączono kopię umowy, o której mowa powyżej.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Generalny Inspektor Ochrony Danych Osobowych zważył co następuje:

Zgodnie z art. 23 ust. 1 pkt 1 ustawy przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych.
Jak ustalono w toku kontroli, Spółka prowadzi program M., w ramach którego oferuje pracodawcom (klientom Spółki) możliwość skorzystania przez ich pracowników oraz osoby wskazane przez tych pracowników (osoby towarzyszące i dzieci) z programu dostępu do obiektów sportowych partnerów B. S.A.

Klienci (pracodawcy) zawierają ze Spółką umowę o świadczenie usług, której przedmiotem jest świadczenie usług na rzecz pracowników klienta w ramach programu korzyści pracowniczych przez partnerów Spółki oraz Spółkę.

Należy zauważyć, że istotą programu M. jest to, że posiadacze kart M. w pełni dobrowolnie decydują o sposobie korzystania z produktów i usług oferowanych przez Spółkę w ramach tego programu. To pracownicy klientów Spółki decydują, czy chcą przystąpić do tego programu oraz czy chcą, aby inne osoby (określone jako osoby towarzyszące i dzieci) również korzystały z tych produktów i usług. Pracodawca nie może udostępnić Spółce danych tych osób bez ich wiedzy i zgody.

Z definicji administratora danych, określonej w art. 7 pkt 4 ustawy, zgodnie z którym ilekroć w ustawie jest mowa o administratorze danych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych, wynika, iż decydując o celach i środkach przetwarzania tych danych w przypadku ich powierzenia, nie może być on ograniczony zgodą osoby, której dane dotyczą. Tym samym uznać należy, że klient nie może powierzyć Spółce przetwarzania danych posiadaczy kart M. w ramach umowy powierzenia, o której mowa w art. 31 ustawy, gdyż przetwarzanie tych danych jest uzależnione właśnie od zgody osób, których one dotyczą.

Należy bowiem jeszcze raz podkreślić, że instytucja powierzenia przetwarzania danych osobowych podmiotowi trzeciemu polega m.in. na tym, iż nie jest wymagane uzyskanie zgody osoby, której dane dotyczą, na powierzenie jej danych. Powierzenie przetwarzania danych osobowych nie wymaga również informowania osób zainteresowanych o takiej czynności, zgodnie z art. 24 ust. 1 pkt 2 lub art. 25 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Wynika to z faktu, że zgodnie z art. 7 pkt 6 ustawy podmiot, któremu powierzono przetwarzanie danych osobowych nie jest traktowany, jako odrębny „odbiorca” danych. A zatem z uwagi na to, iż klient jedynie za wiedzą i zgodą może udostępnić Spółce dane pracowników, osób towarzyszących i dzieci, którzy chcą skorzystać z usług Spółki, nie może to się odbywać w drodze umowy powierzenia Spółce przetwarzania danych przez klienta, o której mowa w art. 31 ustawy o ochronie danych osobowych.

Zauważyć należy, iż pracodawca przetwarza dane osobowe pracowników w zakresie i celu niezbędnym dla wykonania ciążących na nim obowiązków wynikających ze stosunku pracy. A zatem, jako administrator danych może jedynie w tym celu powierzyć innemu podmiotowi przetwarzanie tych danych. Umożliwienie natomiast pracownikowi uczestnictwa w zajęciach sportowych w ramach programu M. nie należy do takich obowiązków.

Jednocześnie na podstawie materiału dowodowego należy stwierdzić, iż to Spółka decyduje o celach i środkach przetwarzania danych posiadaczy kart M. Klient co prawda posiada swobodę wyboru, czy karty będą imienne czy też na okaziciela, jednakże w przypadku, gdy zdecyduje się na karty imienne, to Spółka określa jaki zakres danych osobowych jest niezbędny dla wystawienia takich kart. Jeżeli klient natomiast zdecyduje się na karty na okaziciela, nie dochodzi do przetwarzania danych osobowych przez Spółkę.

Ponadto z materiału dowodowego wynika jednoznacznie, iż brak jest uzasadnienia, aby klient (pracodawca) pozyskiwał od Spółki informacje, w jaki sposób zgłoszeni przez niego użytkownicy kart M. korzystają z usług oferowanych w ramach programu M. W przypadku bowiem kart imiennych opłatę za korzystanie z programu M. w określonej w umowie wysokości uiszcza: klient; klient wspólnie z posiadaczem karty; lub sam posiadacz karty. Stosownie do postanowień umowy o świadczenie usług (§ […], […] i […] w związku z załącznikami nr […], nr […] i nr […]), koszt dostępu ponoszony przez klienta lub posiadacza karty na rzecz Spółki jest określony kwotą określoną w tej umowie, uiszczaną za okres jednego miesiąca w złotych polskich od każdego z uczestników programu M. Jak wynika z treści umowy, ww. koszty są niezależne od sposobu (ilości wizyt posiadaczy kart w obiektach sportowych) w jaki uczestnicy korzystają z obiektów sportowych w ramach tego programu. Jak wynika z powyższego, wbrew twierdzeniu pełnomocnika Spółki, dane o sposobie korzystania z programu M. w żaden sposób nie wpływają na warunki finansowe umów zawartych przez klientów ze Spółką. Rola klienta sprowadza się do poinformowania Spółki, jakie osoby wyraziły wolę uczestnictwa w programie M. oraz ponoszenia lub nie części lub całości kosztów udziału tych osób w programie M.

Spółka natomiast płaci partnerom, do których należą obiekty sportowe objęte programem M., od ilości wizyt posiadaczy kart. Tym samym w interesie Spółki (a nie klientów) jest, aby z karty imiennej korzystali wyłącznie ich posiadacze, ponieważ korzystanie z tej karty przez inne osoby niż jej posiadacz podnosiłoby koszt jej użytkowania ponoszony przez Spółkę na rzecz jej partnerów, a jak wskazano wyżej, opłata za korzystanie z karty ponoszona przez klienta lub posiadacza karty jest stała, niezależna od powyższych okoliczności. Wynika to też wprost z treści „Regulaminu korzystania z kart w ramach programu”, stanowiącego załącznik nr […] do umowy o świadczenie usług w ramach programu M. Zgodnie z pkt […] Regulaminu karta M. jest kartą imienną i nie może być udostępniana innym osobom. Przedstawiciel Spółki (kontroler) lub pracownik partnera są upoważnieni do weryfikacji karty z dokumentem tożsamości oraz do zatrzymania karty użytkowanej niezgodnie z jej przeznaczeniem lub postanowieniami Regulaminu (pkt […] Regulaminu). Niezbędna jest zatem weryfikacja przez partnerów Spółki tożsamości posiadaczy kart zamierzających skorzystać z ich usług w ramach programu M., co jest równoznaczne z przetwarzaniem danych tych osób w celu określonym przez Spółkę, to jest zapewnieniem, aby z karty korzystał wyłącznie jej posiadacz.

Nie można również uznać za słuszne wprowadzenie przez Spółkę (po wszczęciu postępowania administracyjnego w niniejszej sprawie) możliwości kontrolowania przez klientów Spółki sposobu, w jaki użytkownicy karty korzystają z programu M., tj. daty i czasu oraz miejsca użycia karty, co oznacza informację, kiedy i z jakiego obiektu sportowego korzystał użytkownik karty. Z materiału dowodowego zebranego w toku niniejszego postępowania, jak już wskazano powyżej, wynika, iż udostępnianie klientom Spółki tego rodzaju informacji nie jest w żaden sposób uzasadnione. Należy tu przypomnieć, iż użytkownikiem karty jest: pracownik, osoba towarzysząca oraz dziecko, przy czym pracownik to nie tylko osoba fizyczna zatrudniona na podstawie umowy o pracę, ale również osoba fizyczna współpracująca z klientem na podstawie umowy zlecenia, umowy o dzieło, umowy o współpracę, umowy o świadczenie usług lub innej umowy cywilnoprawnej o zbliżonym skutku prawnym (§ […] ust. […] pkt […] umowy o świadczenie usług). Należy zatem podkreślić, że brak jest uzasadnienia, aby klient (pracodawca) miał dostęp do powyższych informacji, gdyż może to naruszać prywatność tych osób.

Zauważyć również należy, iż fakt (podnoszony przez pełnomocnika Spółki), że w umowie pomiędzy podmiotami wskazano jeden z podmiotów jako administratora danych a drugiego jako podmiot, któremu zgodnie z art. 31 ustawy powierzono przetwarzanie danych, nie przesądza o tym, kto rzeczywiście jest administratorem tych danych. Zgodnie z definicją określoną w art. 7 pkt 4 ustawy administratorem danych osobowych jest ten, kto decyduje o celach i środkach. Tak więc, jeżeli zarówno z innych postanowień umowy jak i samego procesu przetwarzania danych wynika, iż podmiot wskazany w umowie jako ten, któremu powierzono przetwarzanie danych, w rzeczywistości decyduje o celach i środkach, należy uznać iż administratorem danych jest właśnie ten podmiot.

Wobec powyższego Generalny Inspektor Ochrony Danych Osobowych stanął na stanowisku, iż to Spółka jest administratorem danych posiadaczy kart M. Z uwagi natomiast na to, iż tylko niektórzy z posiadaczy kart M. wyrażają zgodę na przetwarzanie ich danych osobowych przez Spółkę, jako administratora tych danych, uznać należało, iż w przypadku pozostałych posiadaczy kart M., którzy takiej zgody nie udzielili, Spółka nie legitymuje się przesłanką, o której mowa w art. 23 ust. 1 pkt 1 ustawy, uprawniającą do przetwarzania ich danych osobowych.
Należy tu zauważyć, iż Naczelny Sąd Administracyjny w wyroku z dnia 1 grudnia 2009 r. (sygn. I OSK 227/09) podzielił stanowisko Generalnego Inspektora Ochrony Danych Osobowych, iż administratorem danych użytkowników imiennych przedpłaconych kart płatniczych był bank, a nie pracodawca, który jako posiadacz tych kart decydował, którzy z pracowników będą korzystać z tych kart. Jak Sąd wskazał, cele i środki przetwarzania danych osobowych objęte były w tym przypadku decyzją Banku, a nie pracodawcy.

Stosownie natomiast do art. 105 § 1 Kodeksu postępowania administracyjnego, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części. Przesłanką umorzenia postępowania, na podstawie art. 105 § 1 k.p.a. jest bezprzedmiotowość postępowania „z jakiejkolwiek przyczyny”, czyli z każdej przyczyny powodującej brak jednego z elementów materialnego stosunku prawnego w odniesieniu do jego strony podmiotowej lub przedmiotowej (wyrok NSA z 21 stycznia 1999 r. SA/Sz 1029/97).

Generalny Inspektor Ochrony Danych Osobowych uznał, iż z uwagi na to, że w toku postępowania administracyjnego Spółka nie przedstawiła żadnych dowodów na to, iż legitymuje się podstawą prawną do przetwarzania danych osobowych, tj. zgodą na przetwarzanie danych posiadaczy kart M. (pracownicy, osoby towarzyszące i dzieci), uznając, że nie jest ich administratorem danych, za niezasadne należy zatem uznać nakazanie dopełnienia przez B. S.A. obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 ustawy w stosunku do tych osób. Mając na uwadze powyższe należało umorzyć wobec Spółki postępowanie administracyjne w tym zakresie. Należy jednak wskazać, iż w przypadku, gdyby Spółka pozyskała podstawę prawną do przetwarzania danych osobowych wyżej wymienionych osób, to powinna ona spełnić wobec nich obowiązek informacyjny, o którym mowa w art. 24 ust. 1 ustawy.

Ponadto z wyjaśnień złożonych przez stronę, obecnie administratorem danych przetwarzanych w ramach programu Mu. jest M. Sp. z o.o. sp. k. Tym samym uznać należy, iż postępowanie w związku z uchybieniem w procesie przetwarzania danych polegającym na niezastosowaniu przez B. S.A., jako administratora danych, kryptograficznej ochrony danych przesyłanych w sieci publicznej podczas rejestracji, logowania, wprowadzania oraz modyfikacji danych użytkowników platformy „A”, należy uznać za bezprzedmiotowe.

Mając powyższe na uwadze, w tym stanie faktycznym i prawnym, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak w sentencji.

Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia doręczenia niniejszej decyzji.
W razie niewykonania decyzji w terminie zostanie wobec podmiotu zobowiązanego do jej wykonania wszczęte postępowanie egzekucyjne na podstawie przepisów ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r. Nr 229, poz. 1954 z późn. zm.).

Nowe rozporządzenie unijne-101 Posiedzenia Grupy Roboczej

 rozporządzenie unijneW dniach 16-17 czerwca 2015 r. odbyło się 101. Posiedzenie Grupy Roboczej Artykułu 29 ds. Ochrony Danych w Brukseli, podczas którego omawiano nowe rozporządzenie unijne z zakresu ochrony danych osobowych. Punktem wyjścia było zaaprobowanie przez specjalistów postanowień przyjętych podczas posiedzenia Rady ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych (JHA).  Spotkanie to okazało się krokiem milowym do rozpoczęcia kolejnego etapu procesu legislacyjnego, zwanego w nomenklaturze trilogiem[1].

Grupa Robocza w swoich uwagach wskazała na najważniejsze problemy z punktu widzenia ochrony danych osobowych oraz propozycje ich rozwiązania. Zauważyła, że reforma przepisów nie może naruszać fundamentalnych praw podstawowych zagwarantowanych obecnie w Dyrektywie 95/46[2]. Przy czym ranga przepisów o ochronie prywatności wysuwa się przed szereg innych regulacji.

Na wstępie kilka słów odnoszących się do zagadnień poruszanych podczas posiedzenia Rady ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych (JHA). Efektem spotkania było osiągnięcie porozumienia w zakresie ogólnego rozporządzenia o ochronie danych osobowych, które zastąpi Dyrektywę z 1995r. Nowy akt unijny ma szeroki zakres przedmiotowy. Obejmuje on szereg ułatwień dla przedsiębiorców oraz mechanizm przetwarzania danych osobowych oparty na zasadzie ryzyka. Z punktu widzenia społeczeństwa rozporządzenie stanie się gwarantem szeroko pojętej ochrony danych związanej z sukcesywnie rozwijanym społeczeństwem informacyjnym oraz Internetem rzeczy. Głębszej refleksji należy poddać zagadnienia, które stały się przedmiotem ożywionej dyskusji członków posiedzenia. Zwrócili oni uwagę na to, że celem nowego rozporządzenia jest ukształtowanie w świadomości obywateli oraz władz publicznych istnienia całościowego aktu, kompleksowo obejmującego istotne zagadnienia z punktu widzenia ochrony danych. Rozporządzenie unijne tworzy spójne i ujednolicone ramy ochrony prawnej na terenie całego obszaru Unii Europejskiej. Dodatkowo mechanizmy te mają być przejrzyste i zrozumiałe.

Grupa Robocza art. 29 przyjęła podczas 101. Posiedzenia dokument pt. „ Kluczowe tematy z perspektywy trilogu”. Zwróciła ona w nim uwagę na obszary zagadnień, które powinny stać się przedmiotem rozważań instytucji unijnych. Prace nad rozporządzeniem powinny charakteryzować się racjonalnym działaniem, a najważniejsze powinno być dobro obywateli. Wydaje się zrozumiałe, że pod pojęciem dobra rozumie się szeroko rozumiane urzeczywistnianie praw podstawowych. Grupa Robocza wskazała, że przypadki ingerencji w prawa osób, których dane dotyczą, powinny byś jasno i precyzyjnie sformułowane, a ich interpretacja nie powinna być dokonywana w sposób rozszerzający. Przedsiębiorcy zaś mają mieć zapewnione mechanizmy urzeczywistniające konkurencyjność oraz innowacyjność.

W swojej opinii Grupa Robocza skupiała się na następujących zagadnieniach:

  1. Ochrona danych osobowych na poziomie krajowym nie powinna być mniejsza od tej zagwarantowanej na poziomie unijnym. Ustawodawstwa Państw Członkowskich zobowiązane są do pogłębiania zaufania obywateli do państwa i stanowionego przez nie prawa. Racjonalny ustawodawca to ten, który w swoich pracach kieruje się dobrem obywateli. Dokonując transpozycji przepisów unijnych uwzględnia ich interesy.
  2. Kolejną kwestią jest odmienny poziom ochrony zagwarantowany przez dyrektywę oraz rozporządzenie. Grupa Robocza zwróciła tym samym uwagę na fakt, by przetwarzanie danych nie następowało na podstawie różnych przepisów. Wyżej wymienione akty potencjalnie gwarantują inne poziomy ochrony. Wydaje się, że dyrektywa zapewnia minimalny poziom ochrony. Grupa Robocza kładzie nacisk na to, by przepisy odnoszące się do przetwarzania prowadzone w celach innych niż zapobieganie przestępstwom, prowadzenie dochodzeń w ich sprawie, wykrywanie ich lub ściganie lub wykonywanie kar kryminalnych powinny być wyraźnie utrzymane w zakresie rozporządzenia unijnego. Wniosek jaki nasuwa się po lekturze owego zalecenia wydaje się oczywisty. Należy zapewnić spójność i transparentność obu aktów. Jasność przepisów oraz budowanie bezpieczeństwa prawnego powinny iść z nimi w parze.
  3. Szerokie spektrum zaleceń odnosiło się również do zakresu terytorialnego stosowania nowych przepisów. Grupa Robocza wskazała, że należy objąć przepisami rozporządzenia przetwarzających spoza UE w sytuacji, gdy działają oni jako administratorzy podlegający rozporządzeniu.

6815461264_934437f263_z

Rozporządzenie unijne-dużym wyzwaniem będzie ujednolicenie używanych definicji. Kluczowa, na kartach rozporządzenia, wydaje się definicja zgody. Grupa Robocza wydała zalecenie by zgoda w każdym przypadku przetwarzania była świadoma, udzielana na określony cel, dobrowolna i wyraźna.

Według Grupy Roboczej pojęcie identyfikowalności powinno obejmować wyodrębnienie osób. Członkowie Grupy Roboczej negatywnie odnieśli się do stwierdzenia zaproponowanego przez Parlament Europejski, że numery identyfikacyjne, dane lokalizacyjne, identyfikatory online lub inne szczególne czynniki nie będą koniecznie uznane za dane osobowe. Grupa Robocza wskazała, że zgodnie z utrwaloną linią orzeczniczą Trybunału Sprawiedliwości Unii Europejskiej adresy IP, identyfikatory online mogą być uznane za dane osobowe.

Grupa Robocza skupiła także uwagę na zasadzie ograniczania celu(odizolowaniu). W Opinii 5/2012 w sprawie przetwarzania danych w chmurze obliczeniowej przyjętej w dniu 1 lipca 2012 r. wskazano, że ograniczenie celu stanowi fundamentalną zasadę, w myśl której należy dążyć do maksymalnego „odizolowania” poprzez zapewnienie odpowiedniego poziomu ochrony zarówno w aspekcie organizacyjnym jak i technicznym. W infrastrukturach cloud computingu zasoby, takie jak przestrzeń dyskowa, pamięć i sieci, są współdzielone przez wielu wynajmujących. Stwarza to zagrożenia, że dane będą udostępniane i przetwarzanie do nielegalnych celów. „Odizolowanie” ma być odpowiedzią na ten problem i ma przyczynić się do zagwarantowania, że dane nie będą wykorzystywane w celu innym niż cel pierwotny.

Rozdział III przedmiotowej opinii dotyczy praw osoby, której dane dotyczą. Grupa Robocza w sposób zwięzły i precyzyjny wskazała na szereg obowiązków leżących po stronie administratora danych. Zobligowany jest on do szeroko rozumianego obowiązku informacyjnego. Po stronie osoby zainteresowanej leży natomiast prawo do przenoszenia swoich danych, prawo dostępu czy prawo do wniesienia sprzeciwu.

Zjawisko jakie budzi zastrzeżenie w opinii Grupy Roboczej to profilowanie. Występuje ono praktycznie w każdej sferze życia. Zaniepokojenie budzi fakt, że brak jest definicji legalnej profilowania. Postulat w tym zakresie odnosi się do wprowadzenia zwiększonej ochrony prawnej jako konsekwencji zapewnienia stabilności bezpieczeństwa prawnego.

Kolejnym ważnym tematem jakim zajęła się Grupa Robocza były kompetencje i obowiązki Administratorów Danych, a także osób przetwarzających. W pierwszych słowach odniesiono się do zasady ryzyka. Nieodzownym elementem tej zasady jest rozliczalność. Elementem rozliczalności oraz przejrzystości działania administratorów danych jest wymagana prawem dokumentacja. W uwagach końcowych Grupa Robocza stwierdziła, że przejawem zasady rozliczalności jest również obowiązek wzmożonej współpracy z organem ochrony danych osobowych.

Dodatkowo Grupa Robocza zajęła się kwestią oceny wpływu nowego  rozporządzenia  unijnego na ochronę danych (DPIA). Wyraziła ona ogólne zadowolenie z przyjęcia dwustopniowej oceny ryzyka. Podejście takie w sposób jeszcze pełniejszy realizuje prawa i wolności osób, nie skupiając się wyłączenie na ochronie danych. Tym samym, kompleksowe podejście zostało w pełni zaaprobowane.

Rozwój gospodarki cyfrowej na rynku wewnętrznym był obszernym zagadnieniem, nad którym debatowano podczas 101. Posiedzenia Grupy Roboczej. Konkluzja jaką przyjęto brzmi następująco. Przekazywanie danych musi następować zgodnie z zasadą odpowiedniości. Zasada ta została uregulowana w art. 25 Dyrektywy. Zgodnie z jej literalnym brzmieniem:

Zasady ochrony muszą znajdować odzwierciedlenie, z jednej strony w obowiązkach nałożonych na osoby, władze publiczne, przedsiębiorstwa, agencje i inne organy odpowiedzialne za przetwarzanie danych, zwłaszcza w zakresie jakości danych, bezpieczeństwa technicznego, zawiadamiania organu nadzorczego oraz okoliczności, w których może odbywać się przetwarzanie danych, jak również, z drugiej strony, w prawie osób, których dane są przedmiotem przetwarzania, do uzyskania informacji, że takie przetwarzanie danych ma miejsce, do konsultowania danych, żądania poprawek lub nawet sprzeciwu wobec przetwarzania danych w niektórych przypadkach.

Jednym z końcowych zagadnień jakim zajęła się Grupa Robocza była odpowiedzialność prawna. Wskazano na konieczność uwzględnienia kar administracyjnych w przypadku gdy administrator lub przetwarzający zapewniają zgodności działania z przepisami o ochronie danych osobowych. Dolegliwość finansowa ma na celu efektywne przestrzeganie przepisów kompetencyjnych leżących po stronie przetwarzających.

[1] „Trilog”- negocjacje pomiędzy Radą UE, Parlamentem Europejskim a Komisją Europejską, zmierzające do wypracowania wspólnego tekstu aktu prawnego

[2] Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych ( Dz.U. L 281 z 23.11.1995)

Źródło: http://www.giodo.gov.pl/

Kluczowe tematy z perspektywy trilogu (źródło: GIODO)

Gwarancja – czy sprzedawca może przekazać dane klienta z związku z reklamacją?

reklamacjaDostaliśmy niedawno na naszą skrzynkę bardzo ciekawe pytanie dotyczące dopuszczalności przekazania przez sprzedawcę towaru (konkretnie komputera przenośnego) danych osobowych klienta w związku ze zgłoszonym roszczeniem opartym o udzieloną gwarancję. Stan faktyczny wyglądał w następujący sposób. Klient, nazwijmy go – „Kowalski”, kupił u sprzedawcy (X Sp. z o.o.) oficjalnego importera marki (Y Sp. z o.o.) komputer przenośny. Niestety wkrótce po zakupie okazało się, że komputer posiadał pewne istotne wady związane z nierównomiernym oświetleniem matrycy ekranu, co zdaniem Klienta, w znaczny sposób obniżało komfort jego użytkowania. Dokument gwarancyjny (gwarancja), który otrzymał od sprzedawcy klient, wystawiony był przez importera sprzętu. Klient skorzystał ze swoich uprawnień wynikających z gwarancji i zażądał od sprzedawcy zamiany sprzętu na nowy – wolny od wad. Sprzedawca zebrał od klienta dane osobowe w postaci: imię, nazwisko, adres poczty elektronicznej, numer telefonu. Po przyjęciu zgłoszenia od klienta, sprzedawca postanowił zgłosić sprzęt do naprawy do importera – który pełnił funkcję gwaranta. Ten ostatni, oprócz wymienionych powyżej danych osobowych, zażądał również – co wynikało z rodzaju wady zgłoszonej przez klienta – w jakich okolicznościach usterka się pojawiała, a więc kiedy ekran nie był podświetlany równomiernie.

W tym momencie sprzedawca skontaktował się z nami zadając pytanie, czy może przekazać do gwaranta kontaktowe dane osobowe oraz czy może gwarantowi przekazać opis usterki, w ramach którego klient opisał dokładnie w jakich okolicznościach, korzystając z jakiego oprogramowania, objawia się wspomniana powyżej usterka. Oczywiście stwierdzić należy, że taki opis usterki również może być nośnikiem informacji stanowiących dane osobowe. Tego wątku nie będziemy tutaj rozwijać. Powstaje jednak pytanie, czy sprzedawca może w takiej sytuacji przekazać do gwaranta dane kontaktowe klienta i dodatkowo, opis usterki. Sprzedawca posiada status administratora danych w rozumieniu art. 7 pkt 4 ustawy o ochronie danych osobowych odnośnie danych osobowych klienta związanych z realizacją umowy sprzedaży. W tym katalogu oczywiście znajdzie się imię, nazwisko, adres poczty elektronicznej oraz numer telefonu. Wskazać jednak należy, że z uwagi na skorzystanie przez klienta z uprawnień wynikających z tytułu gwarancji, a nie np. rękojmi za wady, odpowiedzialnym za wady jest w tym wypadku gwarant, a więc (w omawianej sytuacji) importer i to ten ostatni jest administratorem danych osobowych związanych z usunięciem usterki w związku z udzieloną gwarancją. Sprzedawca nie posiada zatem statusu administratora danych osobowych w stosunku do danych osobowych zawartych w opisie usterki. Zastosowanie powinna tutaj znaleźć instytucja powierzenia przetwarzania danych osobowych (art. 31 ustawy o ochronie danych osobowych). Importer jako gwarant powinien powierzyć na rzecz sprzedawcy czynności związane z zebranie i przekazaniem danych osobowych związanych z opisem usterki na jego rzecz. Pozostałe dane osobowe, z uwagi na to, że ich administratorem jest sprzedawca, powinny być przez niego udostępnione na rzecz gwaranta. Podstawą udostępnienia danych osobowych, wbrew pojawiającym się poglądom, że powinna to być zgoda na udostępnienie danych osobowych, będzie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, a więc prawnie usprawiedliwiony interes administratora danych. Jako ciekawostkę można dodać, że gwarant będzie przetwarzał dane osobowe z kolei na podstawie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w zw. z art. 577 kodeksy cywilnego oraz art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

O czym powinien pamiętać sprzedawca? Powinien poinformować klienta o tym, że przekaże jego dane osobowe do gwaranta (a więc dopełnić w tym zakresie obowiązku informacyjnego). Dodatkowo, należy pamiętać o tym, aby przekazanie danych osobowych odbywało się w bezpieczny sposób, a więc w taki, który ograniczy dostęp do przekazywanych danych osobowych tylko i wyłącznie do kręgu osób upoważnionych do ich przetwarzania.