Temat: Dane osobowe - teoria a praktyka?

Witam.

Zastanawiam się nad pewnym problemem praktycznym. W teorii wszystko jest OK. Każdy z nas ma prawo wglądu do swoich danych osobowych, do ich korygowania itd. Wiadomo, klauzulkę podpisujemy wyjątkowo często. Ale jak to powinno być zorganizowane w praktyce? Macie może jakieś doświadczenia?

Ja kilkakrotnie próbowałem skorzystać z tego prawa i szczerze mówiąc to był nie lada problem. Z reguły osoby pobierające te dane (np. w banku) nie miały uprawnień do ich udostępnienie, ani też pojęcia jaka jest procedura w ich firmach z tym związana. Przypomina mi się sytuacja z mojego banku, gdy Pani bardzo się irytowała, aż w końcu musiała przekręcać monitor abym nie zaglądał i nie czytał co bank ma tam zgromadzone za informacje. A przecież był otwarty rekord dot. mojej osoby, więc powinienem móc się z tym swobodnie zapoznać?

Ten problem ma też drugie dno, gdyż niektóre organizacje gromadzą dane dot. osób również z innych źródeł niż sam zainteresowany. Co wówczas? Czy takie dane mają obowiązek też udostępnić ze wskazaniem źródła, oraz skorygować na wniosek osoby której dotyczą i czy korekta taka może odbyć się poprzez dopisanie "stanowiska" osoby której informacja dotyczy z jednoczesnym pozostawieniem danych zakwestionowanych?

Ciekawi mnie też praktyka w tych kwestiach. Czy już może były sytuacje sporne i znacie jakieś orzecznictwo?

Pozdrawiam
Artur

Temat: Dane osobowe - teoria a praktyka?

Artur -.:
A przecież był otwarty rekord dot. mojej osoby, więc powinienem móc się z tym swobodnie zapoznać?

Prawo dostępu do treści swoich danych, nie oznacza, że ktokolwiek ma obowiązek pokazywać, co widać na ekranie. Tym bardziej, że mogą tam być również widoczne dane innych osób.
Poniżej obszerniejszy fragment z omówienia nowelizacji ustawy:
art. 24 ust. 1 pkt 3 zmiana polega na usunięciu wyrazów ,,wglądu do" i zastąpieniu ich wyrazami ,,dostępu do". Należy bowiem podkreślić, że prawo do kontroli przetwarzania danych nie powinno być utożsamiane z prawem fizycznego wglądu do nośników (informatycznych lub manualnych) zawierających te dane. Nie istnieje wiec prawo wglądu do danych w dosłownym znaczeniu tego słowa - z zasady prawo to należy sprowadzić do prawa dostępu do informacji o warunkach, zakresie, celu i podstawie prawnej przetwarzania danych osobowych. Takim właśnie sformułowaniem posługuje się nie tylko art. 51 ust. 3 Konstytucji RP (,,Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych."), ale również art. 10 pkt c, art. 11 pkt c i art. 12 Dyrektywy (,,the right of access to data", które powinno być tłumaczone jako ,,dostęp do danych"). Jednocześnie żaden z przepisów Dyrektywy nie uprawnia osoby, której dane dotyczą, do fizycznego wglądu w nośniki zawierające jej dane osobowe przetwarzane przez administratora. W pewnych sytuacjach realizacja prawa dostępu do danych może polegać na umożliwieniu fizycznego wglądu do danych, jednakże nałożenie na administratora danych obowiązku każdorazowego realizowania prawa dostępu przez umożliwienie osobie, której dane dotyczą, fizycznego wglądu w dokumenty, ewentualnie w system informatyczny, byłoby rozwiązaniem niemożliwym do wykonania,

Ten problem ma też drugie dno, gdyż niektóre organizacje gromadzą dane dot. osób również z innych źródeł niż sam zainteresowany. Co wówczas?

W wypadku zbierania danych od innych osób, obowiązek informacyjny powinien być dopełniony bezpośrednio po utrwaleniu danych (czyli np. wpisaniem do systemu). W praktyce realizacja tego wymogu może być trudna. O podobnym przypadku dyskutowaliśmy tutaj: http://www.goldenline.pl/forum/abi/636862
Poza tym art.32 ust.1 pkt 4 mówi, że każdy ma prawo do uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej,

Temat: Dane osobowe - teoria a praktyka?

Dzięki za odp.
Oczywistym dla mnie jest, choć tego nie napisałem, że pewne organy mogą gromadzić informacje nt. obywateli i nie muszą tego nikomu udostępniać. Szczerze mówiąc to mnie nawet szczególnie nie martwi. Może jedynie chciałbym aby w ramach tych instytucji była nieco lepsza kontrola wewnętrzna korzystania z tych zasobów. Ale to odrębna kwestia.
Mnie bardziej niepokoją ogromne ilości danych gromadzonych praktycznie bez kontroli przez podmioty komercyjne. Wiele z nich nie podchodzi bezpośrednio pod definicje danych osobowych głównie ze względu na sposób ich prowadzenia, jednakże po powiązaniu z konkretnym człowiekiem dają ogromną wiedzę o nim i dopiero wtedy staja się DO, jednakże systemy ich gromadzenia nie oferują bezpośrednio takiej funkcji, przez co niejako wymijają wymogi ustawowe. Nie zawsze i nie wszystkie są pozyskiwane legalnie i nie wszystkie są w zasobach elektronicznych. Często zbiory są tworzone w taki sposób, że powiązanie informacji z konkretną osobą nie jest łatwe, formalnie firma nawet utrzymuje, że nie ma takiej możliwości to jednak w praktyce jest zupełnie inaczej. GIDO prowadząc kontrolę ogranicza się do wskazanych zasobów z DO. Podczas gdy jest to tylko cześć zasobów informacyjnych, z reguły zabezpieczona i prowadzone zgodnie z wymogami ustawy. W mojej praktyce zawodowej niestety dość często stykam się takim stanem rzeczy.
Stąd może mam nieco inne podejście do tematu. Nie jestem informatykiem. Ja pracuje najczęściej z ogniwem niezabezpieczalnym czyli człowiekiem. Specjalizuje się w tzw. socjotechnicznych aspektach bezpieczeństwa informacji. O systemach informatycznych mam jedynie ogólnikowe pojęcie. Wiem jednak to, że każde informacje w nich gromadzone są w celu ich udostępniania, bo inaczej ich gromadzenie nie miałoby sensu. W odniesieniu do naruszeń poufności czy integralności danych nigdy nie zetknąłem się ze zdarzeniem które byłoby skutkiem działań czysto informatycznych (oczywiście w odniesieniu do podmiotów mających kulturę informatyczna na sensownym poziomie). Zawsze pierwszą furtkę otwierał człowiek, choć czasem była to szeroko otwarta brama. Ale to pewnie temat na inna dyskusje.
A wracając do tematu, zastanawiam się jakie są rzeczywiste możliwości kontroli obywatela nad informacjami jego dotyczącymi gromadzonymi w różnych systemach informacyjnych. Oczywiście pomijam służby przez Ciebie wspomniane bo to całkiem inna kwestia.