Wesołych Świąt
Wymuszenia, prawo własności do zbiorów I problemy w zgłaszaniu czyli roz-boje w ODO

Bernadeta Gronowska, e-QSM Informatyczne Systemy Zarządzania, Poznań 2013

Ochrona danych osobowych to temat niejednorodny i wielowątkowy, a przez to rodzący wiele wątpliwości i problemów. Trudno, aby było inaczej, skoro Ustawa o ochronie danych osobowych w wielu miejscach odsyła do zapisów ustaw sektorowych, co wymusza konieczność zgłębiania szeregu innych przepisów prawnych, które również nie są w wielu przypadkach precyzyjne, np. z powodu braku aktualizacji. A nadmiar złego, wszystko to ma lub powinno mieć swoje odzwierciedlenie np. w zapisach w umowach z klientami i kontrahentami.

 

„Nie myli się tylko ten, co nic nie robi” –  to stare i mądre powiedzenie zawsze mam w pamięci, gdy znajduję różnego rodzaju błędy w zapisach. Bo oczywiście nie chodzi o wytykanie błędów, a jedynie o uniknięcie ich konsekwencji, które w przypadku niewłaściwych zapisów w umowach mogą być dotkliwe.

 

Pierwszy przypadek, to wadliwe lub nieprecyzyjne zapisy z zakresu ochrony danych osobowych w umowach z klientami.

 

Artykuł 24, ust. 1 Ustawy z dnia 29.08.1997roku o ochronie danych osobowych nakłada na administratorów danych obowiązek informacyjny w stosunku do osoby, której dane przetwarza m.in. w zakresie znanych lub przewidywanych odbiorców danych. Oznacza to, że klient powinien być poinformowany komu (jakiej instytucji), jego dane będą lub mogą być przekazywane. Standardowo Banki Spółdzielcze, w związku z realizacją umów z kontrahentami i innymi instytucjami przekazują dane swoich klientów m.in. do Banku Zrzeszającego. Ponadto na podstawie art. 105 Prawa bankowego dane klienta mogą trafić do BIK S.A. i/lub Bankowego Rejestru Związku Banków Polskich, a na podstawie art. 3 Ustawy o udostępnianiu informacji gospodarczych na warunkach określonych w art. 14 tej ustawy (Dz.U.2010.81.530 z póź. zm.) – do KRD BIG S.A i/lub BIG Infomonitor S.A. Niestety 
te sztandarowe instytucje nie wyczerpują najczęściej kręgu odbiorców, dlatego w każdym banku zwykle należy uwzględnić indywidualnych kontrahentów, o których klient powinien być poinformowany – w przeciwnym bowiem razie może zgłaszać pretensje do banku lub złożyć zażalenie do GIODO.

 

Druga kwestia związana z zapisami w umowach, to sposób ich konstrukcji. Niestety, często napotykanym błędem jest zawarcie dwóch celów przetwarzania danych w jednej zgodzie klienta. Traktowane to jest jako wymuszenie – ma to miejsce m.in. przy wyrażaniu zgody na przetwarzanie danych w celach marketingowych, przy okazji wyrażenia zgody np. na wykonanie czynności związanych ze złożonym wnioskiem kredytowym.

 

Część niewłaściwych zapisów w umowach z klientami bierze się często z nieprecyzyjnych zapisów w umowach z kontrahentami, dotyczących przekazywania, powierzania oraz dostępu do danych.

 

Zawierając umowę z kontrahentem uświadomić sobie należy jaki faktycznie jest jej zakres i co to oznacza w odniesieniu do zapisów Ustawy o ochronie danych osobowych. Wszędzie tam, gdzie ma miejsce przekazywanie danych – należy określić, czy jest to jedynie udostępnianie, czy powierzenie do przetwarzania. Różnica czasem na pierwszy rzut oka wyraźna….. ale czy zawsze? Co więcej, istotny z punktu widzenia obowiązku jest także kierunek przekazywania.

 

Jeżeli powierzamy dane osobowe ze swojego zbioru do przetwarzania innemu podmiotowi – konieczna jest umowa, która powinna precyzyjnie określać zakres tych danych, cel przetwarzania, odpowiedzialności stron, w tym zobowiązanie do należytego zabezpieczenia danych i spełnienia wymagań ustawy o ochronie danych osobowych i to my powinniśmy o te zapisy zadbać, gdyż to my za nie odpowiadamy.

 

Podobnie, gdy to nam inny podmiot powierza do przetwarzania dane ze swojego zbioru – tyle tylko, że to on powinien wówczas zadbać o spisanie umowy.

 

Jak łatwo o pomyłkę pokazuje praktyka. Generalnie bowiem w bankach występują obydwa przypadki kierunków powierzenia danych do przetwarzania. Niestety pozory czasem mylą i to, co wydaje się powierzeniem danych do przetwarzania na zewnątrz – jest tego dokładną odwrotnością, czyli przyjęciem danych do przetwarzania.

 

To powoduje, iż nagle okazuje się, że bank przetwarza dane osobowe, których nie jest właścicielem (Administratorem), co w praktyce oznacza jedynie lub aż zdjęcie obowiązku rejestracyjnego.

 

Przykładem takiej sytuacji może być system Dokumenty Zastrzeżone. System umożliwia osobie, która straciła dokument tożsamości zastrzec go w ogólnopolskiej bazie, co ma zapobiec posłużeniu się tym dokumentem w celu np. wyłudzenia kredytu. Co więcej wcale nie musi tego robić w macierzystym banku.

 

Część banków przyjmuje wnioski o zastrzeżenia dokumentów jedynie od swoich klientów i tu sprawa jest prosta. Coraz większa jednak liczba banków przystępuje do wariantu, w którym to każda osoba – nie tylko klient – może taki wniosek złożyć. Dochodzi wówczas do zbierania i przetwarzania (w ograniczonym zakresie, ale jednak przetwarzania) danych osobowych nie należących do zbioru klientów banku.

 

Nasuwa się tu pytanie: kto jest ich właścicielem (administratorem) i na kim spoczywa obowiązek rejestracyjny?

 

Administratorem danych zawartych w systemie Dokumenty Zastrzeżone jest Związek Banków Polskich. Dane te najpierw trafiają jednak do banku i tam są zbierane i przechowywane w formie papierowej, a dopiero w drugim kroku trafiają do systemu. Czy zatem bank jest też administratorem i powinien zgłosić następny zbiór danych osobowych do GIODO?

 

Analizując zapisy zawarte w formularzach wypełnianych przez osoby składające wniosek o zastrzeżenie dokumentów w Banku  – nasuwa się odpowiedź twierdząca:

 

TAK – każdy bank przyjmujący wnioski o dokonanie zastrzeżenia dokumentów od osób nie będących jego klientami jest administratorem i powinien zgłosić do GIODO kolejny zbiór danych osobowych. Co więcej Klient, osoba zgłaszający utratę dokumentów jest informowany o tym, że dane będą przekazane do bazy systemu Dokumenty Zastrzeżone, co tym bardziej tworzy obraz banku jako administratora tych danych.

 

Spójrzmy jednak na to inaczej – czy nie można było tego inaczej zorganizować i uchronić banki przed kolejnymi obowiązkami – nie związanymi bezpośrednio z działalnością bankową? W końcu działając we współpracy z towarzystwem ubezpieczeniowym nie rejestrujemy zbioru ubezpieczanych, prawda?

 

Skoro Związek Banków Polskich jest administratorem centralnej bazy systemu Dokumenty Zastrzeżone, może na drodze umowy, o której mowa powyżej, powierzyć do przetwarzania dane zawarte w swoim zbiorze w zakresie ich zbierania i przekazywania każdemu z banków przystępujących  do umowy.

 

Wydaje się to logiczne zarówno z punktu widzenia istnienia jednego systemu, jak i z uwagi na bardzo ograniczony zakres przetwarzania tych danych przez same banki (tylko zbieranie i przechowywanie wniosków w formie papierowej).

 

Problem polega jednak na tym, że wszelkie kwestie z tym związane powinny być uregulowane na poziomie zapisów w umowie ze Związkiem Banków Polskich.

 

Ustawa o ochronie danych osobowych nakłada szereg obowiązków, ale – czasami podsuwa rozwiązania i uproszczenia, z których warto korzystać dla ułatwienia sobie życia, a tym samym uniknięcia powielania działań, mnożenia zbiorów i zwiększania ryzyka popełnienia błędów.