Jeden z naszych potencjalnych klientów, do którego dzwoniliśmy z ofertą skorzystania z naszych usług, zażądał informacji, skąd mamy jego dane osobowe oraz dla jakich celów je przetwarzamy. Czy musimy udzielić mu odpowiedzi? Co zrobić, jeśli telefon wykonał pracownik, korzystając z kontaktów do klientów zebranych w jego poprzednim miejscu zatrudnienia?
EKSPERT RADZI
Zgodnie z art. 32 ustawy o ochronie danych osobowych osobie, której dane dotyczą, przysługuje prawo do informacji. Klient może więc domagać się od administratora danych osobowych (a więc np. przedsiębiorcy) przedstawienia wyczerpującej informacji o tym, jakie dane na jego temat gromadzi. Ponadto osoba fizyczna ma prawo pytać, w jakim celu przedsiębiorca to robi, jakie operacje wykonuje, czy przekazuje dane dalej itp. Może również żądać podania informacji, skąd przedsiębiorca ma jego dane osobowe i w jaki sposób je pozyskał. Istotna jest również wzmianka o podstawie prawnej przetwarzania danych tej konkretnej osoby.
Podania takich informacji na piśmie osoba fizyczna może domagać się od przedsiębiorcy nie częściej niż raz na pół roku. Jeśli jednak skorzysta z prawa do informacji – administrator danych osobowych jest zobowiązany udzielić odpowiedzi w ciągu 30 dni od otrzymania pytania. Nie może za to pobrać opłaty.
Przy udzielaniu odpowiedzi na tego typu pytania przedsiębiorcy popełniają błędy. Zdarza się, że próbują odpowiadać zaprzeczająco, podobnie jak czytelnik, że firma nie posiada danych osobowych, a jedynie szczątkowe informacje o osobie, np. tylko imię i numer telefonu (ale np. bez nazwiska). Tymczasem dane osobowe to niezwykle szeroka kategoria, już samo imię w powiązaniu z numerem telefonu może zostać potraktowane właśnie jako zestaw takich danych. Przedsiębiorca nie może się zatem tłumaczyć, że w takiej sytuacji nie ma konieczności przestrzegania standardów ochrony danych osobowych. Te bowiem są wymagane nie tylko w odniesieniu do bogatego wykazu danych o określonej osobie, lecz także do pojedynczych informacji związanych z osobą fizyczną.
Drugim częstym błędem jest brak umiejętności wskazania przez przedsiębiorcę podstawy prawnej do przetwarzania danych konkretnej osoby. Powoływanie się na argument, że dane zostały pozyskane najpewniej od któregoś z pracowników w ramach przekazania przez niego prywatnej bazy kontaktów, jest mocno ryzykowne. W sytuacji gdy te dane mają być wykorzystane w toku działalności gospodarczej w celach biznesowych, zastosowanie znajdują wspomniane przepisy o ochronie danych osobowych. A wówczas przedsiębiorca powinien np. pozyskać zgodę danej osoby na kontakty marketingowe. Powołując się na pozyskanie danych osobowych od pracownika, przedsiębiorca wystawia się na zarzut nieuprawnionego przetwarzania danych.
Odpowiadając zatem na wspomniane na wstępie pytanie: lepiej unikać pochopnych stwierdzeń. W innym przypadku mogą zostać wykorzystane przez wnioskodawcę jako mocny argument w skardze do generalnego inspektora ochrony danych osobowych.
Podstawa prawna
Art. 32 ust. 5 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.).