LexDigital

Udostępnianie danych osobowych bez zgody

W 2018 roku, kiedy w życie wchodziło RODO (Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) – nasze skrzynki mailowe zapełniały się długimi klauzulami.

Udostępnianie danych osobowych bez zgody

Wejście w życie RODO zmieniło nasze podejście do danych osobowych

Wtedy też przypomnieliśmy sobie o firmach, które przetwarzają nasze dane, ponieważ wypełniały wobec nas obowiązki informacyjne, by sprostać wymaganiom nowych przepisów o ochronie danych osobowych.

Często zastanawialiśmy się „skąd mają nasze dane, kiedy wyraziliśmy zgodę, czy to już naruszenie ochrony danych osobowych”?

Na te same pytania chwilę wcześniej musiały odpowiedzieć również firmy, które przetwarzały w zbiorze dane osobowe wielu osób w myśl zasady: "kiedyś mogą się przydać".

Czy były w śród nich takie, które nie miały podstawy prawnej do przetwarzania naszych danych a mimo to, nie wykonały usunięcia danych? Całkiem możliwe.

Jedno jest pewne, staliśmy się bardziej wymagający wobec różnych instytucji podczas podawania naszych danych osobowych. Nawet stanowczo odmawialiśmy, wskazując, że nie wyrażamy na przetwarzanie zgody.

dane osobowe, przetwarzanie danych

Czy można legalnie przetwarzać dane osobowe bez zgody?

Teoretycznie tak, ponieważ warto pamiętać, że zgoda to nie jedyna podstawa prawna przetwarzania danych.

Zgodnie z artykułem 6 RODO nasze dane mogą być przetwarzane również na podstawie np. realizacji umowy np. z dostawcą Internetu, na podstawie obowiązku prawnego ciążącego na administratorze (np. pracodawca przetwarza dane zgodnie z zakresem wskazanym w Kodeksie Pracy), prawnie uzasadnionego interesu administratora (np. kiedy w obronie przed roszczeniami zatrzymuje korespondencję prowadzoną z nami nawet po wygaśnięciu umowy), ochrony żywotnych interesów (ratowanie życia i zdrowia), realizacji interesów publicznych.

Nie tylko RODO, ale również Ustawa o ochronie danych osobowych zobowiązuje administratora danych, a także podmiot przetwarzający w imieniu administratora (np. biuro rachunkowe, które obsługuje firmę) do świadczenia usług z jednoczesnym zapewnieniem bezpieczeństwa naszych danych osobowych. Osoba, której dane dotyczą może skorzystać z prawa dostępu, sprostowania danych, ich usunięcia, ograniczenia przetwarzania, a także przeniesienia danych i sprzeciwu wobec przetwarzania. Może wycofać wcześniej udzieloną zgodę na przetwarzanie danych, poprosić o kopię danych.

Tyle w teorii.

Co jednak w sytuacji, kiedy kolejny raz otrzymujesz maila z ofertą od firmy, której nie kojarzysz, odbierasz kilka telefonów dziennie z próbami sprzedaży usług, produktów albo co gorsza dzwoni bot, który przedstawia się fikcyjnymi danymi, lub znajomy przesyła screeny z rozmowy z Tobą na komunikatorze innym osobom?

Udostępnienie danych osobowych również wymaga podstawy. Najczęściej właśnie zgody lub przepisu, który np. upoważnia odpowiedni organ (policję, sądy, prokuraturę) do udostępnienia mu danych.

karty sd, dane zapisane na karcie

Czy RODO chroni nasze dane osobowe przed udostępnieniem?

Samo RODO oczywiście nie, ale świadomość praw jakie nam przysługują i konsekwencji jakie może ponieść podmiot nielegalnie przetwarzający dane może nam pomóc. Prawie każdy słyszał o milionowych karach, nakładanych na firmy, które nie poradziły sobie z wdrożeniem nowych przepisów. Mało kto natomiast wie, że za bezprawne przetwarzanie danych osobowych ustawa przewiduje odpowiedzialność karną łącznie z pozbawieniem wolności.

W sytuacji, kiedy ujawnione zostają dane określające przynależność wyznaniową, dane o stanie zdrowia, wskazujące na pochodzenie rasowe a nawet dane dotyczące orientacji seksualnej, sprawca może podlegać karze ograniczenia wolności lub pozbawienia wolności do lat 3 (art 107 Ustawy o ochronie danych osobowych z dn. 10 maja 2018r.).

Straszenie więzieniem w przypadku nachalnego telemarketingu raczej nie pomoże. Skupmy się zatem na znajomości naszych praw i możliwości skorzystania z nich.

kłótnia, skarga

W jaki sposób możemy zgłosić skargę jeżeli ktoś udostępnia nasze dane bez zgody?

W sytuacji, kiedy naszymi danymi bezprawnie posługuje się przedsiębiorca, wystarczy na adres mailowy, adres siedziby lub adres wskazany jako korespondencyjny wysłać zapytanie o zakres przetwarzanych danych, podstawy prawne przetwarzania oraz prośbę dotyczącą usunięcia danych. Samo zadanie pytania nie wymaga szczególnej formy ani wniosku. Na odpowiedź nie powinniśmy czekać dłużej niż 30 dni (tylko w uzasadnionych przypadkach czas ten może się wydłużyć, natomiast musimy zostać o tym poinformowani).

W przypadku braku odpowiedzi, bądź odpowiedzi z którą się nie zgadzamy, możemy bezpłatnie listownie lub elektronicznie złożyć zawiadomienie w postaci skargi do Prezesa Urzędu Ochrony Danych Osobowych. Wszczęcie postępowania administracyjnego może zakończyć się nałożeniem kary administracyjnej. Jeżeli doszło do incydentu, który naraził nas na straty finansowe, wizerunkowe, oprócz postępowania administracyjnego, możemy dochodzić odszkodowania czy zadośćuczynienia na drodze postępowania cywilnego. Postępowanie karne, będzie najrzadziej stosowane, ponieważ zgodnie z zasadą, która mówi, że nie można dwa razy karać za to samo - w przypadku najpoważniejszych naruszeń, kończą się zazwyczaj nałożeniem solidnej kary administracyjnej. Prowadzenie dodatkowo postępowania karnego mogłoby prowadzić do nałożenia grzywny czyli... kolejnej kary finansowej za to samo.

Co jednak z sytuacjami, gdzie osoba prywatna jest w posiadaniu danych ujawniających o nas więcej niż byśmy sobie tego życzyli i np. bez naszej zgody się nimi posługuje? Ich przetwarzanie nie odbywa się na żadnej z powyżej wymienionych podstaw przetwarzania danych, można powiedzieć, że przetwarza je na użytek prywatny, ale to nie daje podstaw osobom nieupoważnionym do wykorzystywania informacji o nas.

Bezprawne przetwarzanie danych osobowych a kara ograniczenia wolności

Warto w takiej sytuacji zbierać dowody, ponieważ zanim wytoczymy postępowanie karne przeciwko konkretnej osobie, trzeba wyczerpać pozostałe możliwości. Przede wszystkim należy wezwać osobę nieuprawnioną do zaprzestania udostępniania np. naszego wizerunku, wiadomości o nas czy innych danych, które mogą narazić nas na utratę dobrego imienia a także inne straty. W myśl ustawy o ochronie danych osobowych : "kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch". Drugim aktem prawnym, który przychodzi nam z pomocą jest kodeks karny a dokładnie art. 212: §1. "Kto pomawia inną osobę, grupę osób, instytucję, osobę prawną lub jednostkę organizacyjną niemającą osobowości prawnej o takie postępowanie lub właściwości, które mogą poniżyć ją w opinii publicznej lub narazić na utratę zaufania potrzebnego dla danego stanowiska, zawodu lub rodzaju działalności, podlega grzywnie albo karze ograniczenia wolności".

osoba publiczna

Osoby publiczne mają prawo do prywatności

Obecnie głośnym, medialnym tematem jest sprawa związana z ujawnieniem nagrań rozmów Katarzyny Cichopek i Macieja Kurzajewskiego osobom nieupoważnionym, w tym ich pracodawcy, "prawie" byłemu już mężowi, innym osobom z branży. Czy nagrania mogą stanowić dane osobowe? Oczywiście. Dodatkowo ich treść może narazić osoby na nie tylko stratę dobrego imienia ale również realne straty, np. w postaci utraty pracy. Takie straty można realnie wycenić, domagając się zarówno zadośćuczynienia jak i odszkodowania.

W sytuacji, kiedy sprawca jest nieznany, o sprawie należy jak najszybciej powiadomić policję.

Nasze prawdo do prywatności gwarantowane jest już w samej Konstytucji, zgodnie z którą: "Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym". To znacznie szersze spojrzenie na temat udostępnia danych. Nie chodzi tylko o dane osobowe ale też o informacje o nas, w tym te nieprawdziwe, które mogą powodować dla nas równie duże ryzyko i straty jak dla przedsiębiorcy w wyniku wycieku bazy danych osobowych.

podanie ręki, ekosystem biznesu

Bądź odpowiedzialny za to co udostępniasz

W dobie kiedy w ciągu kilku sekund można zrobić komuś zrobić zdjęcie, a następnie wrzucić je do sieci, dzielenie się prywatnymi informacjami nie tylko na swój temat stało się powszechne i bezmyślne. Takim bezmyślnym zachowaniem było publikowanie zdjęć na portalach społecznościowych pokazujących wspólne zdjęcia z uchodźcami z Ukrainy. Czy pozowanie do takiego zdjęcia można uznać za zgodę? Nawet jeśli tak, to po prostu ta osoba mogła wstydzić się nam odmówić, a konsekwencje takiego udostępnienia mogą powodować dla niej zagrożenie nawet długo po zakończeniu wojny. Nie chodzi tu o poglądy polityczne tylko o bezpieczeństwo fizyczne tych osób.

Zanim będziemy straszyć kogoś kolejną skargą składaną do Urzędu Ochrony Danych Osobowych, wykonajmy własny rachunek sumienia w postaci kontroli przestrzegania przepisów przez nas samych.

Administrator danych musi być świadomy, że jeśli nie zapewni odpowiednich warunków technicznych i organizacyjnych przetwarzania danych, przez co dojdzie do incydentu np. poprzez wyciek danych ujawniających przekonania religijne, poglądy polityczne, pochodzenie rasowe, stan zdrowia, przynależność wyznaniową, przynależność do związków zawodowych, danych biometrycznych przetwarzanych np. w związku pobranymi odciskami palca (tzw. dane szczególnej kategorii, nazywane też danymi wrażliwymi), to grodzi mu nie tylko kara finansowa ale zapewne szersze konsekwencje w postaci utraty zaufania, dobrego imienia a często końca biznesu spowodowanego przez nieprzychylny PR.

Z podobnymi konsekwencjami może liczyć się podmiot przetwarzający dane osobowe z polecenia Administratora danych (np. biuro księgowe), jeżeli do naruszenia danych osobowych doszło podczas świadczenia usług bez zapewnienia adekwatnych zabezpieczeń.

Co może grozić osobom prywatnym? Oprócz najgorszego czyli pozbawienia wolności, grozi inne ryzyko odpowiedzialności karnej, jak na przykład kara grzywny a także odpowiedzialność cywilna za naruszenie dóbr osobistych w postaci konieczności zapłaty zadośćuczynienia, odszkodowania, umieszczenia sprostowania, przeprosin.

Jak co zwracać uwagę jeśli chodzi o naszą prywatność 2022 roku?

Należy zwracać uwagę na to komu i za jaką cenę udostępniamy swoje dane.

Często usługi reklamowane jako bezpłatne, tak naprawdę opierają się na płatności naszymi danymi i zgodą na przesyłanie informacji handlowych, często wyrażoną dla kilku różnych firm. Bez dokładnego czytania klauzul - tracimy kontrolę nad tym czy dany przedsiębiorca zobowiązany do ochrony danych osobowych udostępnia je na podstawie naszej zgody, innej podstawy prawnej czy całkowicie bezprawnie.

Niebawem w życie wejdzie ustawa implementująca stosowanie tzw. Dyrektywy Omnibus.

W rozumieniu ustawy - przedsiębiorcy będą zobowiązani stosować takie same zasady, jak w przypadku usług, produktów, gdzie zamiast danymi, konsument płaci ustaloną cenę. Czyli np. umożliwić nam prawo do odstąpienia od umowy w ciągu 14 dni w przypadku umowy zawieranej na odległość. Pozwoli nam to może dobitniej zrozumieć jak cenną walutą są dane osobowe.

Nie zwalnia nas to jednak z czujności. Pobierając np. darmową aplikację do upiększania zdjęć, może okazać się, że po akceptacji regulaminu, polityki prywatności - wyraziliśmy zgodę na przetwarzanie naszych danych dotyczących zdrowia, ponieważ aplikacja ma dostęp do naszych zdjęć, a przechowujemy w galerii np. zdjęcie recepty.

Często w celu przesłania rabatu na zakupy w sklepie internetowym , jesteśmy skłonni wypełnić ankiety dotyczące naszych preferencji zakupowych, zarobków, wieku, płci, miejsca zamieszkania - to całkiem spory zakres jak na parę procent zniżki prawda?

Zanim wrzucisz czyjeś zdjęcie w social media, np. kolejne zdjęcie swojego lub nieswojego dziecka (dziakowie!), zastanów się jak ta informacja może zostać wykorzystana przeciwko Tobie, dziecku, znajomemu. Dziś za pomocą samego zdjęcia i wyszukiwarki osoba postronna może odnaleźć inne zdjęcia tej osoby w sieci, jej konta, informacje o niej.

Często "przy okazji" możesz udostępnić całkiem szeroki zakres danych osobowych na temat kogoś, kto nie tylko sobie tego nie życzy, ale też nie jest kompletnie świadomy, tego jakie konsekwencje mogą go przez to spotkać.

Bądź wrażliwy na na punkcie danych - nie tylko na punkcie danych wrażliwych.

Polecane

​Kary RODO - skąd tyle szumu wokół kar finansowych?

​Kary RODO - skąd tyle szumu wokół kar finansowych?

25 maja 2022 miną 4 lata odkąd zaczęło obowiązywać ogólne rozporządzenie UE o ochronie danych osobowych (RODO). Lista administracyjnych kar finansowych nałożonych przez europejskie organy nadzorcze w związku z naruszeniami RODO, w Polsce i w całej Unii Europejskiej, jest naprawdę ogromna. Od maja 2018 do kwietnia 2022 roku opublikowano ponad 1100 decyzji wydanych przez organy nadzorcze właściwe danemu państwu (stan na 13 kwietnia 2022).

Udostępnianie danych osobowych bez zgody

Udostępnianie danych osobowych bez zgody

W 2018 roku, kiedy w życie wchodziło RODO (Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) – nasze skrzynki mailowe zapełniały się długimi klauzulami.

Wyciek danych osobowych - jakie działania powinien podjąć Administrator danych w celu minimalizacji skutków wycieku danych

Wyciek danych osobowych - jakie działania powinien podjąć Administrator danych w celu minimalizacji skutków wycieku danych

Jakie działania musisz podjąć jako Administrator danych w przypadku wycieku informacji z Twojej firmy? Czy każdy wyciek danych należy zgłosić do Urzędu Ochrony Danych Osobowych? Jakie informacje należy przekazać osobom, których dane wyciekły? Jak zapewnić bezpieczeństwo przetwarzania dla danych powierzonych? Jak możesz zabezpieczyć się przed wyciekiem danych?

Popularne

Wdrożenie ISO

Wdrożenie ISO

Uzyskanie certyfikatu zgodności z wytycznymi międzynarodowych norm ISO 9001, ISO/IEC 27001 czy ISO 22301 jest dowodem stosowania przez wybraną organizację wysokich standardów zarządzania oraz troski o bezpieczeństwo informacji czy ochronę danych. Pozwala m.in. na efektywne wykorzystywanie zasobów, wyeliminowanie lub ograniczanie sytuacji kryzysowych, optymalizację przebiegu procesów, umacnianie kontaktów z klientami, czy podnoszenie jakości świadczonych usług i produkowanych wyrobów.

Kontakt z UODO

Kontakt z UODO

W każdej organizacji przetwarzającej znaczące ilości danych osobowych kontakt z organem nadzorczym jest nieunikniony. Utrzymywanie odpowiednich relacji, wysokiego poziomu merytorycznego korespondencji oraz spełnianie wymogów proceduralnych ma bezpośredni wpływ na wynik spraw i postępowań. Profesjonalna komunikacja może często skrócić czas potrzebny na podjęcie decyzji przez Urząd, pomaga uchronić się od kar i problemów prawnych.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP