Prawo w eventach cz. 4: PRZETWARZANIE DANYCH OSOBOWYCH W RAMACH DZIAŁALNOŚCI EVENTOWEJ

W obecnych czasach przetwarzanie danych osobowych w różnych sferach działalności nabiera coraz większego znaczenia. Dane te, są najczęściej wręcz niezbędne dla świadczenia odbiorcom rozmaitych usług. Niniejszy tekst stanowi pewnego rodzaju zarys problematyki, wskazujący sytuacje, w których dane osobowe mogą być przetwarzane przez organizatorów różnego rodzaju wydarzeń (eventów) i w związku z tym z pewnością nie wyczerpie całkowicie tej, jakże rozbudowanej, tematyki.

 

Kiedy przetwarzamy dane osobowe?

 

Kwestie związane z: przetwarzaniem danych osobowych, w tym dopuszczalnością ich przetwarzania, obowiązkami jakie należy spełnić, czy też jak dane należy  zabezpieczyć zostały opisane w ustawie z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (dalej w skrócie: „Ustawa”).

 

Zgodnie z jej treścią, za dane osobowe uznaje się „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby”. Za taką „możliwą do zidentyfikowania osobę” uważa się osobę fizyczną (człowieka), której tożsamość można zidentyfikować pośrednio lub bezpośrednio na podstawie posiadanych danych wraz z danymi dostępnymi powszechnie. W doktrynie prawa wskazuje się niekiedy, że za dane osobowe uznaje się informację lub kilka informacji o osobie, które „otwierają drogę” do ustalenia jej tożsamości. Informacji takich nie uznawałoby się jednak za dane osobowe, gdyby określenie tożsamości osoby na ich podstawie wymagało „nadmiernych kosztów, czasu lub działań”. Generalny Inspektor Ochrony Danych Osobowych (GIODO) wskazuje, np. że za dane osobowe nie można uznać pojedynczych informacji o dużym stopniu ogólności, np. sama nazwa ulicy lub numer domu, w którym mieszka wiele osób.


Dla przykładu warto wskazać, że za dane osobowe uznaje się następujące zestawy danych: imię i nazwisko; zindywidualizowany adres email; PESEL, itp.

 

Poza nielicznymi wyjątkami określonymi w Ustawie oraz regulacjach szczególnych, omawiane przepisy o ochronie danych osobowych stosuje się do „przetwarzania danych osobowych”, rozumianego jako: „jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych”.


Jak widać, definicja ta jest bardzo szeroka i obejmuje nawet sytuacje samego zbierania chronionych danych osobowych. W związku z powyższym uznać należy, że samo posiadanie danych chronionych, szczególnie zaś w systemach informatycznych, sprawia, że mamy do czynienia z ich przetwarzaniem.

 

Jakie obowiązki wiążą się z przetwarzaniem danych osobowych? 

 

Ustawa wskazuje szereg obowiązków związanych z przetwarzaniem danych osobowych. Dla  uporządkowania wypowiedzi obowiązki te pragnę podzielić na następujące kategorie: (a) obowiązek legalizacyjny (polegający na konieczności uzyskania zgody lub wypełnienia innej przesłanki umożliwiającej, zgodne z prawem, przetwarzanie danych); (b) obowiązek informacyjny (polegający na poinformowaniu osoby, której dane dotyczą o ich przetwarzaniu); (c) obowiązek rejestracyjny (polegający na konieczności zgłoszenia zbioru danych osobowych u Generalnego Inspektora Ochrony Danych Osobowych - GIODO) oraz (d) obowiązki związane z zabezpieczeniem zbioru.


Od powyższych obowiązków istnieje szereg ustawowych wyjątków, których szczegółowy opis wychodzi jednak poza zakres niniejszej wypowiedzi. Warto jednak zauważyć, że możliwa jest sytuacja, w której Ustawa zwalnia z jednego obowiązku, a nie zwalnia z innego. Dla przykładu, w przypadku gdy dane zbierane i przetwarzane są wyłącznie w celach niezbędnych dla wykonania umowy, zawartej z podmiotem którego dane dotyczą nie jest konieczne wypełnienie obowiązku uzyskania zgody, co nie wyłącza jednak obowiązków informacyjnych, czy też związanych z zabezpieczeniem zbioru.

 

Kto jest adresatem powyższych obowiązków?


Co do zasady, opisane powyżej obowiązki obciążają administratora danych osobowych, a więc osobę lub podmiot, który decyduje o celach i środkach przetwarzania danych. Istotnym jest, że to czy dana osoba jest administratorem danych czy też nie decydują wyłącznie okoliczności faktyczne, a więc czy rzeczywiście decyduje o wspomnianych wyżej celach i środkach przetwarzania. Przykładowo, administratorem danych koniecznych do przeprowadzenia eventu będzie zazwyczaj organizator takiego eventu, nawet jeżeli, np. zleci innym wyspecjalizowanym podmiotom zbieranie danych, czy też określone, związane z nimi, operacje. Nie można bowiem umówić się co do tego, jaki podmiot (lub osoba) będzie administratorem.

 

Kiedy może pojawić się potrzeba przetwarzania danych w ramach organizacji eventu?


Konieczność zebrania, utrwalenia czy też dokonania dalszych operacji na danych osobowych może mieć miejsce w ramach rozmaitych wydarzeń, czy to kulturalnych, naukowych, jak również reklamowych.

 

Jako pierwszy z takich przykładów można wskazać, konieczność wykorzystania danych osobowych w celu zaproszenia określonych osób na tzw. „event zamknięty”. Najłatwiej byłoby uprzednio zebrać zgłoszenia osób zainteresowanych, w ramach których osoby te zostałyby poinformowane o konieczności przetwarzania ich danych, jak również można byłoby uzyskać ich ewentualne zgody na przetwarzanie. Niekiedy zgoda taka nie jest wymagana, np. gdyby uczestnictwo w określonym wydarzeniu (np. warsztatach naukowych) stanowiło wykonanie umowy pomiędzy organizatorem eventu, a uczestnikiem. Nadal jednak trzeba będzie uczestnika poinformować o tym, że jego dane będą przetworzone, o celu tego przetwarzania oraz jego prawach, w tym prawie dostępu do treści i prawie do poprawiania danych (obowiązek informacyjny). Konieczne będzie również spełnienie obowiązku zabezpieczenia danych w sposób adekwatny do zagrożeń i w oparciu o stosowne regulacje ustawowe. Co do rejestracji zbioru w GIODO, to można zastanowić się nad zwolnieniem z tego obowiązku, jednak jedynie w sytuacji, gdy zbiór danych można uznać za tzw. „zbiór doraźny”, a więc wykorzystywany jedynie dla celów technicznych (np. dla zaproszenia na event), a następnie niezwłocznie usuwany lub anonimizowany.


Kolejnym, niezwykle istotnym przykładem jest przetwarzanie danych w celach marketingowych. Organizator może być bowiem zainteresowany stworzeniem bazy danych osób zainteresowanych przyszłymi wydarzeniami, tak aby można było poinformować te osoby o przyszłych eventach i zaprosić je do udziału. Dodatkowo, uzyskując stosowne zgody, można taką bazę wykorzystywać również do promocji czy też reklamy usług lub produktów organizatora czy też innych podmiotów. Stworzenie takiego zbioru będzie jednak wymagało dopełnienia szeregu obowiązków.


Po pierwsze, organizator powinien zazwyczaj poinformować zainteresowanych o przyszłych celach przetwarzania i uzyskać stosowne zgody. Warto pamiętać, aby oświadczenia o zgodzie zostały zebrane w ten sposób, żeby można było w przyszłości wykazać, że zostały złożone przez osoby, których dane dotyczą. Ustawa nie wskazuje tu żadnej szczególnej formy, jednak z uwagi na powyższe, najlepiej aby wspomniane oświadczenia zostały złożone pisemnie lub za pośrednictwem odpowiednich, elektronicznych formularzy (np. zamieszczonych na stronie www). Warto również zadbać, żeby treść tych oświadczeń (klauzul) była zgodna z prawem i odzwierciedlała cele organizatora.

 

Ponadto, z uwagi na fakt, że bazy marketingowe mają często trwały charakter, w większości przypadków powstanie również obowiązek zarejestrowania ich w GIODO. W takim przypadku zgłoszenie powinno zostać dokonane jeszcze przed rozpoczęciem zbierania danych osobowych, nie jest jednak konieczne oczekiwanie na otrzymanie stosownej decyzji GIODO o rejestracji zbioru, gdyż administrator może rozpocząć przetwarzanie z chwilą dokonania zgłoszenia (*nie dot. to tzw. „danych wrażliwych”).

 

Omawiany zbiór powinien zostać ponadto zabezpieczony zgodnie z wymogami zawartymi w Ustawie oraz przepisach szczególnych.

 

Po spełnieniu wszystkich powyższych obowiązków organizator może przystąpić do przetwarzania danych w zbiorze. Komplikacje mogą pojawić się jednak w przypadku gdy organizator (będący administratorem danych) będzie chciał przekazać te dane dalej, do innych osób lub podmiotów.

 

Czy można przekazać dane osobowe innym podmiotom?

 

Instytucja przekazywania danych jest często mylona z tzw. powierzeniem ich przetwarzania. Różnice w tym zakresie najłatwiej opisać w ten sposób, że przekazanie danych polega na ich udostępnieniu innemu administratorowi, natomiast wspomniane „powierzenie przetwarzania” polega na upoważnieniu innego podmiotu (np. podwykonawcy) do wykonywania określonych czynności na danych, z tym zastrzeżeniem że administratorem danych wciąż pozostaje podmiot  „powierzający”.


Powyższe rozróżnienie ma istotne znacznie prawne. W przypadku „przekazywania danych” konieczne jest bowiem uzyskanie, uprzedniej, wyraźnej zgody osoby, której dane dotyczą, najlepiej ze wskazaniem podmiotu, któremu dane zostaną przekazane.

 

„Powierzenie przetwarzania” danych nie wymaga z kolei uzyskiwania żadnych dodatkowych zgód, a jedynie zwarcia pisemnej umowy pomiędzy administratorem, a podmiotem, którego możemy tu nazwać „przetwarzającym na podstawie powierzenia”. Umowa taka powinna jednak dokładnie określać zakres danych (ich kategorie np. imię, nazwisko, adres e-mail) oraz cele dla jakich dane mogą być przez „przetwarzającego na podstawie powierzenia”  przetworzone. Instytucja ta jest wykorzystywana, m.in. w sytuacjach gdy administrator posługuje się wyspecjalizowanymi podwykonawcami przy dokonywaniu określonych czynności na danych osobowych, np. przy ich zbieraniu, przechowywaniu lub wysyłaniu mailingu do osób, których dane dotyczą.

 

Czy ustawa ma zastosowanie do wszelkich danych osobowych? Dane przedsiębiorców zawarte w ewidencji działalności gospodarczej

 

Jak wskazałem powyżej, przetwarzanie danych osobowych wymaga spełnienia szeregu obowiązków, a ich przetwarzanie podlega kontroli GIODO. Od powyższego  istnieje jednak wyjątek, opisany w przepisach ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej. Ustawa ta, w przeważającej części już uchylona, zawiera bowiem wciąż obowiązujący przepis art. 7a, zgodnie z którym: „Ewidencja działalności gospodarczej jest jawna i dane osobowe w niej zawarte nie podlegają przepisom ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych”


Przepis ten wyłącza stosowanie Ustawy w stosunku do danych osobowych wpisanych do ewidencji działalności gospodarczej. Warto jednak dodać, że wspomniany przepis obowiązuje jedynie do dnia 1 lipca 2011 roku i w przypadku gdyby nie przedłużono okresu jego obowiązywania, przetwarzanie danych osobowych zawartych w ewidencji działalności gospodarczej może w przyszłości wzbudzać wątpliwości.


Autor:  Wiktor Rainka

 

Wiktor Rainka - prawnik w Kancelarii Leśnodorski, Ślusarek i Wspólnicy, aplikant adwokacki. Głowny obszar jego zainteresowań stanowi szeroko rozumiane prawo własności intelektualnej, w tym regulacje dot. mediów, reklamy, ochrony danych osobowych oraz oprogramowania i nowych technologii.
 
w.rainka@lsw.com.pl
Kancelaria Leśnodorski Ślusarek i Wspólnicy sp.k.
www.lsw.com.pl

Zaloguj się
Informacje
Branża
Personalia
Realizacje
Otwarcia
Obiekty
Catering
Technologie
Transport
Artykuły
Wywiady
Felietony
Publicystyka
Raport
Prawo
Biblioteka
Incentive travel
Prawo
Ogłoszenia
Przetargi
Praca
Wydarzenia
Galeria
Wyszukiwarka obiektów
Nasze projekty
MP Power Awards©
MP Fast Date©
MP MICE Tour
MP MICE & More
MP Legia Cup
Nasza oferta
Reklama i promocja
Content marketing
Wydarzenia
Konkurs
Webinary
Studio kreatywne
O nas
Polityka prywatności
Grupa odbiorcza
Social media
Kontakt
O MeetingPlanner.pl