Przedsiębiorca przesyłający dane osobowe za pośrednictwem poczty e-mail powierza ich przetwarzanie dostawcy usługi poczty elektronicznej. Aby uniknąć zarzutu naruszenia przepisów o ochronie danych osobowych, powinien zawrzeć z dostawcą umowę o powierzeniu przetwarzania tych danych.
Przepisy ustawy o ochronie danych osobowych stosuje się do przetwarzania danych osobowych w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych. Zasadą jest więc, że dane przetwarzane poza zbiorem nie będą podlegać przepisom ustawy o ochronie danych osobowych.
Od tej zasady został przewidziany ważny dla omawianego problemu wyjątek. Jeżeli dane osobowe przetwarzane są w systemie informatycznym, przepisy ustawy stosuje się nawet w wypadku, gdy dane są przetwarzane poza zbiorem. Ustawy nie stosuje się jednak do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych.
[ ( http://static1.money.pl/i/h/134/t97414.jpg ) ] (http://prawo.money.pl/aktualnosci/okiem-eksperta/artykul/przekazanie;danych;osobowych;-;udostepnienie;czy;powierzenie,211,0,626387.html) Przekazanie danych osobowych - udostępnienie czy powierzenie?
Przetwarzanie danych osobowych to nie tylko ich zbieranie, opracowywanie, zmienianie i inne tego typu operacje na danych.
Pod pojęciem przetwarzania danych osobowych rozumie się też ich utrwalanie, udostępnianie i przechowywanie. W związku z tym, sam zapis danych osobowych np. na dysku komputera stanowić będzie przetwarzanie danych osobowych i będzie podlegać ustawowemu reżimowi.
Kiedy korzystanie z poczty e-mail stanowić będzie przetwarzanie danych osobowych?
Proces wysyłania wiadomości e-mail polega na przesyle określonych danych, które początkowo zapisywane są na serwerze dostawcy usług poczty elektronicznej nadawcy. Następnie, dane z tego serwera są zapisywane na serwerze podmiotu świadczącego usługi poczty e-mail na rzecz odbiorcy, skąd są przez tego odbiorcę pobierane. Często dostawcy usług poczty elektronicznej umożliwiają użytkownikom przechowywanie archiwalnych wiadomości e-mail na ich serwerach. Ponadto, w wypadku korzystania z klienta poczty www, zaimplementowanego na stronie internetowej usługodawcy, użytkownik bardzo często ma możliwość zapisania na serwerze usługodawcy swojej książki adresowej.
Niewątpliwie stworzenie książki adresowej, zawierającej przykładowo imiona, nazwiska i adresy e-mail potencjalnych odbiorców poczty elektronicznej, a następnie przechowywanie jej na serwerze usługodawcy podpadać będzie pod definicję przetwarzania danych osobowych. W piśmiennictwie prezentowane było również stanowisko, iż sam adres e-mail stanowi daną osobową. W szczególności za daną osobową można by uznać adres w formacie imię.nazwisko@domena.pl, gdyż taki format adresu e-mail przeważnie bardzo jednoznacznie identyfikuje osobę fizyczną, która z niego korzysta. Ponadto, jeżeli wiadomość e-mail w swojej treści zawiera dane osobowe, przechowywanie wiadomości na serwerach providera usługi e-mail będzie traktowane jako przetwarzanie tych danych.
Bez znaczenia jest fakt, że dane nie są przetwarzane w zbiorze danych osobowych. Nawet umieszczenie w e-mailu informacji dotyczących jednej osoby fizycznej, jeżeli tylko osoba ta jest zidentyfikowana lub możliwa do zidentyfikowania, stanowić będzie przetwarzanie danych osobowych, do którego w pełni stosować się będą przepisy ustawy.
Co zrobić, aby przetwarzanie danych osobowych było zgodne z prawem?
Podmiot świadczący usługi poczty elektronicznej nie decyduje o celach i środkach stosowanych przy przetwarzaniu danych, nie może być więc traktowany jako administrator danych osobowych, przesyłanych w wiadomościach e-mail za jego pośrednictwem. Rola usługodawcy w procesie wysyłania wiadomości e-mail jest bierna, nie ingeruje on w treść przesyłanych wiadomości. Niemniej jednak przechowywanie danych osobowych przez dostawcę usługi poczty e-mail jest traktowane jako przetwarzanie danych osobowych, do którego stosuje się przepisy ustawy. Bez znaczenia będzie nawet to, że dane osobowe przesyłane są w obrębie tej samej firmy, pomiędzy osobami siedzącymi w sąsiednich pokojach.
[ ( http://static1.money.pl/i/h/11/t12811.jpg ) ] (http://msp.money.pl/wiadomosci/prawo/artykul/za;brak;ochrony;danych;grozi;kara,38,0,346918.html) Za brak ochrony danych grozi kara
Ustawodawca przewidział możliwość powierzenia przetwarzania danych osobowych innemu podmiotowi. Takie powierzenie może zostać dokonane jedynie w drodze umowy, która powinna zostać zawarta w formie pisemnej. Umowa o powierzenie przetwarzania danych osobowych musi wskazywać zakres i cel tego przetwarzania, a podmiot, któremu powierzono dane nie ma prawa korzystać z nich w szerszym zakresie lub w innym celu, niż wskazany w umowie.
Przedsiębiorca korzystający z poczty e-mail odpowiada za przestrzeganie ustawy o ochronie danych osobowych przez swojego dostawcę usług
Kluczową kwestią z punktu widzenia korzystającego z poczty e-mail (administratora danych osobowych) jest fakt, że w przypadku powierzenia przetwarzania danych osobowych odpowiedzialność za przestrzeganie przepisów ustawy przez dostawcę poczty e-mail spoczywa także na administratorze. Będzie on również ponosił odpowiedzialność, w wypadku gdy jego dostawca poczty elektronicznej nie zapewni właściwych środków zabezpieczających przetwarzanie danych oraz nie będzie prowadził dokumentacji opisującej sposób ich przetwarzania. Z tego względu umowa o powierzeniu przetwarzania danych osobowych zawierana z dostawcą usługi e-mail powinna określać obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę danych oraz zasady ponoszenia odpowiedzialności za naruszenie przepisów o ochronie danych osobowych przez podmiot przetwarzający te dane na zlecenie administratora. Odpowiedzialność administratora danych oczywiście nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie
danych niezgodnie z tą umową.
W razie, gdy serwery dostawcy usług poczty e-mail znajdują się poza Europejskim Obszarem Gospodarczym, przy powierzeniu usługodawcy przechowywania danych osobowych na tych serwerach znajdą zastosowanie przepisy o przekazywaniu danych osobowych do państw trzecich.
Przedsiębiorcy powinni więc zachować ostrożność przy korzystaniu z poczty elektronicznej i w wypadku gdy tą drogą przesyłane będą dane osobowe, muszą zawrzeć umowę z dostawcą usług elektronicznych o powierzeniu mu przetwarzania tych danych. W przeciwnym razie mogą narazić się na zarzut naruszenia ustawy i ewentualną ingerencję Generalnego Inspektora Ochrony Danych Osobowych. Omówiony problem nie dotyczy korespondencji e-mailowej wysyłanej przez osoby fizyczne w celach osobistych, niezwiązanych z działalnością gospodarczą.
| Czytaj w Money.pl | |
|---|---|
| [ ( http://static1.money.pl/i/h/48/t86832.jpg ) ] (http://prawo.money.pl/aktualnosci/wiadomosci/artykul/nowe;dowody;giodo;zaniepokojony,208,0,801744.html) | Nowe dowody. GIODO zaniepokojony W nowych dowodach osobistych, które przygotowuje Ministerstwo Spraw Wewnętrznych i Administracji szykuje kilka zmian. |
| [ ( http://static1.money.pl/i/h/211/t85459.jpg ) ] (http://msp.money.pl/wiadomosci/prawo/artykul/jak;legalnie;przetwarzac;dane;osobowe;w;sieci,36,0,765988.html) | Jak legalnie przetwarzać dane osobowe w sieci? Nawet adres e-mail może być daną osobową. Za naruszenie ustawy o ochronie danych grozi nawet do 3 lat więzienia. |
| [ ( http://static1.money.pl/i/h/211/t85459.jpg ) ] (http://msp.money.pl/wiadomosci/zarzadzanie/artykul/firmy;narazone;na;wycieki;i;zemste,157,0,761757.html) | Firmy narażone na wycieki i zemstę Cztery na dziesięć firm i instytucji finansowych nie stosuje właściwych zabezpieczeń. |
| [ ( http://static1.money.pl/i/h/167/t34727.jpg ) ] (http://prawo.money.pl/aktualnosci/wiadomosci/artykul/ruszyl;przetarg;na;nowe;dowody;osobiste,161,0,709537.html) | Ruszył przetarg na nowe dowody osobiste Wystartuje w nim Polska Wytwórnia Papierów Wartościowych. |
Autorka jest aplikantem radcowskim z kancelarii Chałas i Wspólnicy Kancelaria Prawna, oddział w Krakowie