Administrator mimo woli?!

27 marca 2018 |

RODO wydaje się być logiczne i odpowiadać na potrzebę dostosowania przepisów z zakresu ochrony danych osobowych do ciągle postępującego rozwoju technologicznego. Jak każdy akt prawny zawiera jednakże kilka paradoksów.

 

 

Paradoks nr 1

 

Wyobraźmy sobie następujący stan faktyczny. Przedsiębiorca X na jego stronie internetowej umieszcza adres mailowy jako formę kontaktu. Na wskazany adres email osoba fizyczna Y wysyła ofertę współpracy. W emailu wskazane są, oprócz oczywiście adresu email tej osoby, imię i nazwisko, numer telefonu oraz dane dotyczące prowadzonej działalności (nazwa, adres). Przedsiębiorca X nie jest jednakże zainteresowany współpracą z osobą fizyczną Y i najchętniej usunąłby otrzymaną wiadomość.

 

Zatrzymajmy się w tym momencie. Czy taka sytuacja podlega pod zasięg RODO? Przyjrzyjmy się sytuacji dokładnie.

 

Czy mamy do czynienia z danymi osobowymi? Niewątpliwie tak – wskazany zakres danych bez problemu pozwala nam ustalić tożsamość osoby fizycznej.

 

Czy przedsiębiorca X z chwilą otrzymania emaila od osoby fizycznej Y przetwarza jej dane? Tutaj także należy odpowiedzieć twierdząco, albowiem zgodnie z przepisami RODO przetwarzaniem jest każda operacja na danych osobowych, w tym również sam fakt fizycznego posiadania danych czy ich usuwanie.

 

Czy przedsiębiorca X z chwilą otrzymania emaila od osoby fizycznej Y staje administratorem danych? Tutaj przez chwilę bym się zastanowiła. Administrator, to zgodnie z przepisami RODO, podmiot który decyzje o celach i sposobach przetwarzania danych. O ile decydowanie o sposobie przetwarzania danych nie nasuwa wątpliwości, o tyle kwestia dotycząca określenia celu może budzić uzasadnione wątpliwości. Na ile bowiem przedsiębiorca X ma wpływ na cel w sytuacji, gdy wiadomość wpływa na jego skrzynkę pocztową niejako wbrew jego woli? Dodając do tego okoliczność braku chęci współpracy z osobą fizyczną Y należy wskazać, że jako tako celu… nie ma 😉 Jedynym celem, jaki dostrzegam w tym przykładzie, jest poinformowanie osoby, która wysyłała ofertę, iż nie jesteśmy zainteresowani współpracą.

 

Jeżeli zatem uznajemy, że mamy dane, przetwarzamy je i jesteśmy administratorem danych to ciążą na nas wszystkie obowiązki wynikające z RODO, w tym „uwielbiany” przez wszystkich ADO obowiązek informacyjny 😉 Brak jego realizacji może skutkować karą administracyjną – o czym  pisaliśmy w ostatnim artykule na RODOkompasie: Kary administracyjne

 

Paradoks nr 2

 

Rozważmy kolejną sytuację. Przedsiębiorca X otrzymuje od osoby fizycznej Y korespondencję, w której zwraca się o podanie informacji, czy przedsiębiorca X przetwarza jego dane osobowe. Na gruncie RODO przedsiębiorca X jest zobowiązany udzielić odpowiedzi na takie zapytanie, niezależnie od tego czy przetwarza dane osoby Y czy nie. Wiele przedsiębiorców już po uzyskaniu tej informacji łapie się za głowę, ale to nie koniec 😉 RODO rządzi się bowiem naczelną zasadą rozliczalności, co oznacza że konieczne jest nie tylko jego prawidłowe stosowanie, ale trzeba takie postępowanie móc wykazać. W przypadku braku możliwości wykazania działania zgodnego z RODO, przedsiębiorca naraża się na wysokie kary administracyjne.

 

Co w takim przypadku powinien zrobić taki przedsiębiorca? Zdaje się, że właściwym dla RODO działaniem jest zachowanie korespondencji otrzymanej od osoby fizycznej Y oraz udzielonej jej odpowiedzi. Ale zaraz, zaraz co to powoduje?

 

Przedsiębiorca posiadając te dokumenty staje się administratorem danych w zakresie uzyskanych informacji o osobie Y! I w tym momencie składam oficjalne oświadczenie, iż Redakcja RODOkompasu mówi jak najbardziej poważnie 😉

 

Co w takiej sytuacji powinien uczynić administrator danych? Tak drodzy Czytelnicy, zgadza się, wypełnić wszystkie ciążące na nim z mocy RODO obowiązki  w tym także – i mam wrażenie, że się powtarzam –  uwielbiany obowiązek informacyjny 😉 

 

 

Niedawno czytając RODO (po raz chyba setny, bo wiedza nieutrwalana to wiedza ulotna 😉), w jednym z motywów RODO przeczytałam, iż ma ono także na celu przyczynianie się do rozwoju gospodarczego. Pisząc ten artykuł, przestałam dostrzegać ten cel i z całą pewnością stwierdzam, iż na kanwie opisanych schematycznie (ale popartych praktyką) sytuacji, jest to wyłącznie puste hasło, które z powodzeniem zastępuje inne, umieszczone jako tytuł tego artykułu – uzyskanie statusu administratora mimo woli faktycznie stanie się częstym zjawiskiem w świecie administratorów danych osobowych.

 

 

 

 

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.

 


Skontaktuj się z doradcą

Porozmawiajmy

Ta strona wykorzystuje pliki cookies. Poprzez kliknięcie przycisku „Akceptuj", bądź „X", wyrażasz zgodę na wykorzystywanie przez nas plików cookies. Więcej o możliwościach zmiany ich ustawień, w tym ich wyłączenia, przeczytasz w naszej Polityce prywatności.
AKCEPTUJ