Omawiając obowiązki przedsiębiorców telekomunikacyjnych przyszła pora na analizę obowiązków związanych z danymi zbieranymi w związku z prowadzoną działalnością. Chodzi oczywiście o dane osobowe użytkowników oraz dane objęte tajemnicą telekomunikacyjną. Artykuł jest kolejną, czwartą, częścią cyklu o obowiązkach przedsiębiorców telekomunikacyjnych.
Zasady ochrony danych osobowych wynikają z ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. i dotyczą wszystkich podmiotów wykorzystujących dane osobowe. To z tej ustawy wynika też definicja danych osobowych. W przypadku przedsiębiorców telekomunikacyjnych zasady te zostały jednak zmodyfikowane w prawie telekomunikacyjnym. Dodatkowo w ostatniej ustawie uregulowano też zasady ochrony i wykorzystywania innych danych, które mogą stać się dostępne dla przedsiębiorców telekomunikacyjnych w związku ze świadczonymi usługami.
Osobowe, lecz nie osobiste – czyli czym są dane osobowe
W pierwszym rzędzie należy wskazać, czym są dane osobowe. Zgodnie z obowiązującą ustawą są to dane (w większości zestawy danych), które pozwalają na identyfikacje osoby fizycznej. Istotnym jest przy tym, że nie chodzi tu o dane pozwalające niejako na „dotarcie” do danej osoby (jak np. samodzielny numer telefonu), ale o dane, które pozwalają z ogółu społeczeństwa wyłowić konkretną osobę. Dla przykładu wystarczy tu wskazać, że za daną osobową nie uznaje się zwykle samego imienia i nazwiska. Używając bowiem tylko tej zmiennej nie sposób wskazać konkretnej osoby w społeczeństwie. Podobnie nie są nimi adresy e-mail w publicznie dostępnych domenach internetowych (a więc niezwiązanych z miejscem zatrudnienia), ani samodzielnie zebrane numery telefonów. Każda z tych danych nie pozwala bowiem na wskazanie samodzielnie konkretnej osoby. Jednocześnie jednak w połączeniu z innymi informacjami są często wystarczające dla uznania ich za dane osobowe.
Jak łatwo zauważyć podobne zestawy danych (uzupełnione zwykle o adres i numer PESEL) są standardowymi zestawami danych pozwalającymi na świadczenie konsumentom usług. Powstaje zatem pytanie: Na jakich zasadach przedsiębiorcy mogą wykorzystywać takie dane?
Kto ile może – czyli jakie dane mogą być wykorzystywane bez osobnej zgody
Zgodnie z ustawą o ochronie danych osobowych przedsiębiorcy mogą wykorzystywać bez uzyskania osobnej zgody uprawnionego wszelkich danych koniecznych do świadczenia i rozliczenia usługi. Jednocześnie w zwykłych okolicznościach ustawodawca nie ogranicza zakresu takich danych – mogą być to wszelkie dane, konieczne dla prawidłowego wykonania i rozliczanie zawartej z konsumentem umowy.
Inaczej jednak przedstawia się sytuacja w przypadku przedsiębiorców telekomunikacyjnych. Zgodnie z art. 161 prawa telekomunikacyjnego dostawca publicznie dostępnej usługi telekomunikacyjnej może bez wyraźnej zgody uprawnionego przetwarzać jedynie następujące jego dane:
- nazwisko i imiona;
- imiona rodziców;
- miejsce i datę urodzenia;
- adres zamieszkania i adres korespondencyjny, jeżeli jest on inny, niż adres miejsca zamieszkania;
- numer ewidencyjny PESEL – w przypadku obywatela Rzeczypospolitej Polskiej;
- nazwę, serię i numer dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej – numer paszportu lub karty pobytu;
- zawarte w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych, wynikającego z umowy o świadczenie usług telekomunikacyjnych.
W celu rozszerzenia zakresu przetwarzanych danych (np. o numer konta bankowego, numer telefonu kontaktowego lub poczty elektronicznej) konieczne jest uzyskanie wyraźnej zgody użytkownika będącego osobą fizyczną.
Jak widać zakres ten jest z jednej strony węższy od zakresu wynikającego z ustawy o ochronie danych osobowych (zawiera bowiem tylko ściśle określony zakres danych – na resztę potrzebna jest zgoda), z drugiej jednak strony pozwala na wykorzystanie pewnego zestawu danych niezależnie od potrzeb przedsiębiorcy (nie zawsze bowiem dla świadczenia usługi konieczne jest np. dane o imionach rodziców – a przedsiębiorcy telekomunikacyjni mogą je przetwarzać bez osobnej zgody uprawnionego).
Prawo i porządek – czyli o obowiązkach administratora danych
W momencie, gdy rozstrzygniemy już, które dane mogą być przez przedsiębiorców telekomunikacyjnych zbierane, pozostaje rozważyć, jakie wiążą się z tym obowiązki. Oczywiście podstawowym obowiązkiem jest konieczność zabezpieczenia zebranych danych przed nieupoważnionym dostępem podmiotów trzecich.
W przypadku zebrania danych osobowych, administrator (czyli podmiot, który decyduje o środkach i celach przetwarzania danych) zobowiązany jest do poinformowania tej osoby o:
- adresie swojej siedziby i pełnej nazwie, a w przypadku, gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku;
- celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych;
- prawie dostępu do treści swoich danych oraz ich poprawiania;
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Oczywiście w przypadku, jeśli osoba otrzymała już niektóre z przedstawionych powyżej informacji, nie trzeba podawać ich ponownie.
Warto przy tym zwrócić uwagę na to, który podmiot jest administratorem danych – czyli kto odpowiada za prawidłowość ich przetwarzania. Jak mówi ustawa, jest to zawsze podmiot, który decyduje o celu i sposobie przetwarzania danych. Nawet zatem, jeśli techniczne czynności w zakresie przetwarzania danych osobowych zostaną powierzone podmiotowi trzeciemu na mocy odrębnej umowy, za prawidłowość jego działań zawsze odpowiadać będzie administrator danych (czyli zwykle przedsiębiorca telekomunikacyjny). Podmiot trzeci, który usługowo zajmuje się przetwarzaniem danych, odpowiada za prawidłowość swoich działań wyłącznie na zasadach kontraktowych – wobec administratora.
Bezpieczeństwo przede wszystkim – czyli o zasadach zabezpieczania danych
Administrator danych odpowiada za bezpieczeństwo danych przez siebie przetwarzanych. W związku z tym zobowiązany jest on do opracowania i wdrożenia polityk zapewniających bezpieczeństwo przetwarzanych danych oraz przyjęcie w związku z tym odpowiedniej dokumentacji.
W celu usprawnienia zasad ochrony danych w jednostce, administrator może powołać Administratora Bezpieczeństwa Informacji (ABI) – specjalną osobę wyznaczoną do pilnowania przestrzegania w jednostce zasad przetwarzania danych osobowych.
Jak z tą rejestracją?
Ustawa przewiduje jeszcze jeden obowiązek związany z zebranymi danymi. Administrator danych zobowiązany jest do zgłaszania GIODO stworzonych przez siebie zbiorów danych.
Od obowiązku tego można się jednak zwolnić w razie powołania i zgłoszenia GIODO Administratora Bezpieczeństwa Informacji. W tej sytuacji obowiązek prowadzenia rejestru zbiorów danych przetwarzanych w jednostce spoczywa na ABI, który wykonuje je samodzielnie. W tej sytuacji nie ma obowiązku rejestrowania każdego kolejnego stworzonego zbioru danych – wystarczające jest wewnętrzne prowadzenie odpowiedniego rejestru przez ABI. Sam ABI musi jednak być wpisany do rejestru administratorów bezpieczeństwa informacji prowadzonego przez GIODO.
Dodatkowo należy pamiętać, że nie wymaga się zgłaszania zbiorów danych osobowych służących jedynie do rozliczania wykonanych usług (a więc fakturowania i sporządzania rachunkowości). Warto jednak zwrócić uwagę, że wyjątek ten nie dotyczy danych osobowych przetwarzanych w celach marketingowych (przez co rozumie się już prosty mailing do klientów).
Jest to duże ułatwienie w stosunku do poprzednio obowiązującego bezwzględnego obowiązku rejestracji zbiorów danych. Pozwala bowiem na łatwe tworzenie zbiorów bez konieczności ich ciągłego rejestrowania. Jest to o tyle ważne, że brak rejestracji zbiorów danych (jeśli istnieje taki obowiązek) stanowi czyn zabroniony, zagrożony karą grzywny, ograniczenia wolności, a nawet jej pozbawienia do 1 roku.
W kolejnej odsłonie naszego cyklu omówimy, jak zgodnie z prawem wykorzystywać dane w celach marketingowych (w szczególności przekazywać komunikaty na urządzenia końcowe) oraz jakie są obowiązki związane z tajemnicą telekomunikacyjną.
Katarzyna Orzeł
