fbTrack
REKLAMA
REKLAMA

Firma

Administrator powinien ujawnić, komu powierzył przetwarzanie danych

123RF
Każdy ma prawo zwrócić się do przedsiębiorcy z pytaniem, czy posiada on w swoich zbiorach informacje o nim, a jeżeli tak, to w jakim celu przetwarza te dane, w jaki sposób je pozyskał i komu je przekazał. Prawo do kontroli i sprawdzenia takich informacji daje art. 33 ustawy o ochronie danych.

Korzystając z prawa do weryfikacji danych osobowych, zwróciłem się do instytucji z wnioskiem o przekazanie kompleksowej informacji na temat tego, jakie informacje na temat moje osoby posiadają, w jakim celu są one przetwarzane i komu zostały przekazane. W kontekście tej ostatniej prośby otrzymałem odpowiedź, z której wynikało, że moje dane nie zostały udostępnione innym odbiorcom danych w rozumieniu art. 7 pkt 6 ustawy, a dostęp do tych danych posiadają jedynie podmioty, którym powierzono przetwarzanie na podstawie stosownych umów powierzenia. Podmioty te nie zostały jednak określone. Czy administrator miał prawo tak lakonicznie odnieść się do mojej prośby – pyta czytelnik.

Administrator danych powinien podać dane podmiotów, którym powierzył proces ich przetwarzania na podstawie art. 31. Obowiązek ten wynika z prawa do uzyskania informacji o sposobie udostępniania danych.

Ustawa o ochronie danych osobowych przewiduje możliwość kontroli własnych danych, znajdujących się w gestii administratorów, tj. firm i instytucji, które weszły w ich posiadanie. Na przykład w efekcie łączącej strony umowy lub w wyniku wyraźnej zgody osoby zainteresowanej na przetwarzanie jej danych. Instytucja prawa kontroli służy m.in. temu, aby można się było przekonać, czy dany podmiot w ogóle dysponuje naszymi danymi, a jeżeli tak, to czy są one poprawne, a także sprawdzić, w jakim celu są przetwarzane i czy zostały komuś przekazane.

Uprawnienie takie wynika z art. 33 ustawy. Zgodnie z nim, na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1–5a ustawy. W myśl zaś ust. 2 tego przepisu na wniosek osoby, której dane dotyczą, informacji takich udziela się na piśmie.

Zamknięty katalog

Jak wynika z tego przepisu ustawodawca jednoznacznie określił, że obowiązek udzielenia informacji, w ramach wykonywania przez zainteresowanego kontroli przetwarzania jego danych, dotyczy wyłącznie informacji, o których mowa w art. 32 ust. 1 pkt 1–5a ustawy. Tym samym uznać należy, iż ustawodawca określił zamknięty katalog tych informacji. Należy więc przywołać treść tego przepisu. A stanowi on, że każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:

* uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna – jej miejsca zamieszkania oraz imienia i nazwiska,

* uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,

* uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych,

* uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej,

* uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,

* uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2.

Obowiązkowa odpowiedź

Administrator danych, do którego zostanie skierowany wniosek o podanie powyższych informacji, ma obowiązek to zrobić. Prawidłowe i rzetelne wypełnienie przez niego tego obowiązku, jest niezbędne do zapewnienia osobie, której dane osobowe dotyczą, kontroli prawidłowości procesu przetwarzania danych osobowych.

Jak wskazał Naczelny Sąd Administracyjny w wyroku z dnia 30 lipca 2009 r. (I OSK 1049/08): „Nie powinno ulegać wątpliwości, że niewykonanie tego obowiązku [informacyjnego określonego w art. 33 ustawy] jest naruszeniem przepisów tej ustawy [o ochronie danych osobowych] w rozumieniu jej art. 18, uprawniającym i zobowiązującym Generalnego Inspektora Ochrony Danych Osobowych do wydania decyzji administracyjnej w przedmiocie nakazania przywrócenia stanu zgodnego z prawem, a więc w sytuacji określonej w art. 33 ust. 1 i 2 tej ustawy – w przedmiocie nakazania administratorowi danych osobowych spełnienia obowiązku informacyjnego, o którym mowa w tym artykule".

Zakres odpowiedzi

Złożenie wniosku, zależnie od jego treści, zobowiązuje administratora danych do udzielenia pełnych informacji o procesie przetwarzania danych w zakresie nie węższym niż przewiduje ustawa (chyba że wniosek wyraźnie dotyczyć będzie węższego zakresu). Wykorzystując zatem przywołany już art. 32 ust. 1 pkt 1–5a, na pewno można zwrócić się o udzielenie informacji o treść danych, celu, zakresie i sposobie ich przetwarzania, źródle, z którego pochodzą, czy wreszcie informacji na temat sposobu ich udostępniania, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane są udostępniane.

W myśl tego przepisu, nie powinno budzić wątpliwości, że obowiązek informowania obejmuje przekazywanie informacji o podmiotach, które są odbiorcami danych w rozumieniu art. 7 pkt 6 ustawy o ochronie danych osobowych. Zgodnie z nim, ilekroć w ustawie jest mowa o odbiorcy danych – rozumie się przez to każdego, komu udostępnia się dane osobowe z wyłączeniem:

* osoby, której dane dotyczą,

* Nosoby upoważnionej do przetwarzania danych,

* przedstawiciela, o którym mowa w art. 31 a,

* podmiotu, o którym mowa w art. 31,

* organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.

Ponadto obowiązek udzielenia informacji dotyczy „sposobu udostępnienia danych". Jest to o tyle ważna informacja, iż o ile administrator danych może przetwarzać dane samodzielnie, to art. 31 ustawy upoważnia go również do powierzenia, w drodze zawartej umowy (na piśmie), przetwarzania tych danych innemu podmiotowi. A zatem udzielenie informacji w powyższym zakresie powinno obejmować również informacje o podmiotach, o których mowa w art. 31 ustawy (podmiotach, którym powierzono przetwarzanie danych).

Tym samym administrator danych jest zobowiązany do udzielenia takiej informacji, na podstawie wniosku z art. 33 ust. 1 w zw. z art. 32 ust. 1 pkt 5 ustawy. Przyjęcie odmiennego stanowiska prowadziłoby do wniosku, iż osoba, której dane dotyczą mogłaby uzyskać, w ramach dostępu do ogólnokrajowego jawnego rejestru zborów danych osobowych, szerszy zakres informacji o przetwarzaniu jej danych osobowych, niż w ramach indywidualnej kontroli, o której mowa w art. 32 ust. 1 ustawy.

Przybędzie prawo do bycia zapomnianym

Prawa do bycia zapomnianym, przenoszenia danych czy żądania sprostowania i uzupełnienia ich – to tylko niektóre z uprawnień klientów, do przestrzegania których zobowiązani będą administratorzy. Nowe uprawnienia klientów, a co za tym idzie – obowiązki nałożone na administratorów danych, są rezultatem wejścia w życie tzw. ogólnego rozporządzenia unijnego o ochronie danych osobowych (rozporządzenie nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE). Ma ono ujednolicić reguły ochrony danych osobowych na poziomie wszystkich państw Unii Europejskiej.

Rozporządzenie przyznaje wprost osobom fizycznym, których dane są przetwarzane w szczególności następujące uprawnienia:

* dostępu do danych i informacji,

* żądania sprostowania i uzupełnienia danych,

* sprzeciwu wobec przetwarzania danych,

* do przeniesienia danych,

* do bycia zapomnianym.

Uprawnienia te przekładają się bezpośrednio na obowiązki, którymi obciążeni zostają administratorzy danych. Nowe przepisy wymuszą na przedsiębiorcach opracowanie sprawnych procedur przetwarzania informacji, a gdy przetwarzane są one automatycznie, dostosowanie funkcjonalności systemów.

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA
REKLAMA
REKLAMA: automatycznie wyświetlimy artykuł za 15 sekund.
REKLAMA
REKLAMA