Bernadeta Gronowska, e-QSM Informatyczne Systemy Zarządzania, Poznań 2013
Ochrona danych osobowych to temat niejednorodny i wielowątkowy, a przez to rodzący wiele wątpliwości i problemów. Trudno, aby było inaczej, skoro Ustawa o ochronie danych osobowych w wielu miejscach odsyła do zapisów ustaw sektorowych, co wymusza konieczność zgłębiania szeregu innych przepisów prawnych, które również nie są w wielu przypadkach precyzyjne, np. z powodu braku aktualizacji. A nadmiar złego, wszystko to ma lub powinno mieć swoje odzwierciedlenie np. w zapisach w umowach z klientami i kontrahentami.
Pierwszy przypadek, to wadliwe lub nieprecyzyjne zapisy z zakresu ochrony danych osobowych w umowach z klientami.
Druga kwestia związana z zapisami w umowach, to sposób ich konstrukcji. Niestety, często napotykanym błędem jest zawarcie dwóch celów przetwarzania danych w jednej zgodzie klienta. Traktowane to jest jako wymuszenie – ma to miejsce m.in. przy wyrażaniu zgody na przetwarzanie danych w celach marketingowych, przy okazji wyrażenia zgody np. na wykonanie czynności związanych ze złożonym wnioskiem kredytowym.
Część niewłaściwych zapisów w umowach z klientami bierze się często z nieprecyzyjnych zapisów w umowach z kontrahentami, dotyczących przekazywania, powierzania oraz dostępu do danych.
Zawierając umowę z kontrahentem uświadomić sobie należy jaki faktycznie jest jej zakres i co to oznacza w odniesieniu do zapisów Ustawy o ochronie danych osobowych. Wszędzie tam, gdzie ma miejsce przekazywanie danych – należy określić, czy jest to jedynie udostępnianie, czy powierzenie do przetwarzania. Różnica czasem na pierwszy rzut oka wyraźna….. ale czy zawsze? Co więcej, istotny z punktu widzenia obowiązku jest także kierunek przekazywania.
Jeżeli powierzamy dane osobowe ze swojego zbioru do przetwarzania innemu podmiotowi – konieczna jest umowa, która powinna precyzyjnie określać zakres tych danych, cel przetwarzania, odpowiedzialności stron, w tym zobowiązanie do należytego zabezpieczenia danych i spełnienia wymagań ustawy o ochronie danych osobowych i to my powinniśmy o te zapisy zadbać, gdyż to my za nie odpowiadamy.
Podobnie, gdy to nam inny podmiot powierza do przetwarzania dane ze swojego zbioru – tyle tylko, że to on powinien wówczas zadbać o spisanie umowy.
Jak łatwo o pomyłkę pokazuje praktyka. Generalnie bowiem w bankach występują obydwa przypadki kierunków powierzenia danych do przetwarzania. Niestety pozory czasem mylą i to, co wydaje się powierzeniem danych do przetwarzania na zewnątrz – jest tego dokładną odwrotnością, czyli przyjęciem danych do przetwarzania.
To powoduje, iż nagle okazuje się, że bank przetwarza dane osobowe, których nie jest właścicielem (Administratorem), co w praktyce oznacza jedynie lub aż zdjęcie obowiązku rejestracyjnego.
Przykładem takiej sytuacji może być system Dokumenty Zastrzeżone. System umożliwia osobie, która straciła dokument tożsamości zastrzec go w ogólnopolskiej bazie, co ma zapobiec posłużeniu się tym dokumentem w celu np. wyłudzenia kredytu. Co więcej wcale nie musi tego robić w macierzystym banku.
Część banków przyjmuje wnioski o zastrzeżenia dokumentów jedynie od swoich klientów i tu sprawa jest prosta. Coraz większa jednak liczba banków przystępuje do wariantu, w którym to każda osoba – nie tylko klient – może taki wniosek złożyć. Dochodzi wówczas do zbierania i przetwarzania (w ograniczonym zakresie, ale jednak przetwarzania) danych osobowych nie należących do zbioru klientów banku.
Nasuwa się tu pytanie: kto jest ich właścicielem (administratorem) i na kim spoczywa obowiązek rejestracyjny?
Administratorem danych zawartych w systemie Dokumenty Zastrzeżone jest Związek Banków Polskich. Dane te najpierw trafiają jednak do banku i tam są zbierane i przechowywane w formie papierowej, a dopiero w drugim kroku trafiają do systemu. Czy zatem bank jest też administratorem i powinien zgłosić następny zbiór danych osobowych do GIODO?
TAK – każdy bank przyjmujący wnioski o dokonanie zastrzeżenia dokumentów od osób nie będących jego klientami jest administratorem i powinien zgłosić do GIODO kolejny zbiór danych osobowych. Co więcej Klient, osoba zgłaszający utratę dokumentów jest informowany o tym, że dane będą przekazane do bazy systemu Dokumenty Zastrzeżone, co tym bardziej tworzy obraz banku jako administratora tych danych.
Spójrzmy jednak na to inaczej – czy nie można było tego inaczej zorganizować i uchronić banki przed kolejnymi obowiązkami – nie związanymi bezpośrednio z działalnością bankową? W końcu działając we współpracy z towarzystwem ubezpieczeniowym nie rejestrujemy zbioru ubezpieczanych, prawda?
Skoro Związek Banków Polskich jest administratorem centralnej bazy systemu Dokumenty Zastrzeżone, może na drodze umowy, o której mowa powyżej, powierzyć do przetwarzania dane zawarte w swoim zbiorze w zakresie ich zbierania i przekazywania każdemu z banków przystępujących do umowy.
Wydaje się to logiczne zarówno z punktu widzenia istnienia jednego systemu, jak i z uwagi na bardzo ograniczony zakres przetwarzania tych danych przez same banki (tylko zbieranie i przechowywanie wniosków w formie papierowej).
Problem polega jednak na tym, że wszelkie kwestie z tym związane powinny być uregulowane na poziomie zapisów w umowie ze Związkiem Banków Polskich.
Ustawa o ochronie danych osobowych nakłada szereg obowiązków, ale – czasami podsuwa rozwiązania i uproszczenia, z których warto korzystać dla ułatwienia sobie życia, a tym samym uniknięcia powielania działań, mnożenia zbiorów i zwiększania ryzyka popełnienia błędów.