Wydaje się, iż wśród części ISP nie ma powszechnej świadomości obowiązku zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, dalej „GIODO” lub „Generalny Inspektor”, zgodnie z art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz. U. 2002 r. Nr 101 poz. 926 z późn. zm.), dalej „UODO”.

Przez zbiór danych osobowych rozumieć należy, zgodnie z art. 7 pkt 7 UODO, „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.

Obowiązek zgłoszenia danych osobowych ciąży na administratorze danych, czyli podmiocie decydującym o celach i środkach przetwarzania danych osobowych. Co do zasady obowiązku zgłoszenia powinni dopełnić wszyscy administratorzy. W przepisie art. 43 ust. 1 pkt 1-11 UODO ustanowiono generalne wyjątki od tej zasady i jest to enumeratywnie wyliczona grupa wyłączeń znajdujących się w UODO, innymi słowy, – jeżeli zbiór danych osobowych nie został wymieniony w art. 43 ust. 1 – należy zgłosić go do rejestru.

Dodatkowe wyłączenia mogą również przewidywać przepisy ustaw szczególnych. Ustawodawca nie uwzględnił przy tym danych abonentów, które gromadzone są przez operatorów telekomunikacyjnych, bądź to na podstawie art. 161 ust. 2 Prawa telekomunikacyjnego, dalej „PT” tj. z bezpośredniego upoważnienia ustawowego, bądź na podstawie art. 161 ust. 3 PT tj. za zgodą abonenta i pozostających w związku ze świadczoną usługą telekomunikacyjną. Pewną grupą danych wyłączonych z obowiązku zgłoszenia do rejestracji, mogą być dane przetwarzane „wyłącznie w celu wystawienia faktury, rachunku (…) „ – zgodnie z art. 43 ust. 1 pkt 8 UODO. Przy czym godzi się zwrócić uwagę, że przetwarzając dane np. nr kontaktowego, w pewnych przypadkach adresu e-mail, adresu zakończenia sieci, ISP wykracza po za katalog danych, które są niezbędne do wystawiania faktur.

Zwolnione z rejestracji będą również bazy danych przetwarzanych w związku z zatrudnieniem u administratorów danych, świadczeniem im usług na podstawie umów cywilnoprawnych, a także osób u nich zrzeszonych lub uczących się (por. art. 43 ust. 1 pkt 4 UODO). Chodzi o zbiory danych, osób, z którymi administrator nawiązał stosunek pracy lub osób świadczących na jego rzecz usługi na podstawie umów cywilnoprawnych (np. umowy zlecenia lub umowy o dzieło). Nie należy natomiast przyjmować, iż w przypadku „umów cywilnoprawnych” chodzi np. o umowy o świadczenie usług telekomunikacyjnych.

Zgłoszenie zbioru danych jest bezpłatne i składane w przypadku każdego ze zbiorów na oddzielnym formularzu zgodnie ze wzorem przygotowanym przez GIODO. Postępowanie rejestrowe toczy się na podstawie przepisów kodeksu postępowania administracyjnego.

Generalny Inspektor jest natomiast uprawniony do wydania decyzji odmownej w przedmiocie rejestracji zbioru danych, pomimo wystosowanego zgłoszenia. O ile, bowiem w przypadku danych określonych w art. 161 ust. 2 PT kwestię zamkniętego katalogu danych, rozstrzygnął ustawodawca (przyznał operatorom uprawnienie do gromadzenia tych danych wprost w treści przepisu PT), to, w sytuacji, o której mowa w art. 161 ust. 3, GIODO może badać, czy rzeczywiście adekwatne jest gromadzenie takich danych i co za tym idzie czy rejestracja takiego zbioru danych jest dopuszczalna.

Inaczej mówiąc, Generalny Inspektor uprawniony jest do badania czy w zakresie przetwarzania danych, o których mowa w art. 161 ust. 3 PT spełniona została zasada adekwatności i co się z tym wiąże, czy może zarejestrować bazę (zbiór) ze zgromadzonymi na podstawie ww. przepisu danymi abonentów. Pytanie jak szeroki zakres ma zasada adekwatności. Zdarzają się bowiem przypadki, iż ISP przetwarzają, z uwagi na specyfikę działalności i zakres niezbędnych do świadczenia usług, dane osobowe w postaci np. numeru karty kredytowej, rachunku bankowego abonenta albo numeru NIP.

W każdym razie niedopełnienie obowiązku rejestracji niesie z sobą konsekwencje prawnokarne, określone w art. 53 UODO. Przepis ten przewiduje grzywnę, karę ograniczenia wolności lub pozbawienia wolności do roku.

Łukasz Bazański

Autor jest radcą prawnym, prowadzącym kancelarię radcy prawnego specjalizującą się m.in. w problematyce zagadnień wynikających z ustawy o wspieraniu rozwoju usług i sieci telekomunikacyjnych oraz prawa telekomunikacyjnego, a także doktorantem Wydziału Prawa i Administracji Uniwersytetu Śląskiego, zajmującym się problematyką odrębnej własności włókien światłowodowych.

itB Legal Kancelaria Radcy Prawnego Łukasz Bazański

www.itblegal.pl