Temat: danych osobowe zgromadzone w plikach tekstowych dostępne...

Witam serdecznie,
Mam pytanie dotyczące następującego stanu faktycznego:

ADO prowadzi następujące rejestry w pliku w formacie xls lub doc:
1)Rejestr reklamacji,
2) Rejestr skarg i wniosków.
W powyższych rejestrach przetwarzane są dane osobowe petentów.

Przyjmując, że pliki xls i doc nie spełniają wymogów z Rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych (…) należy założyć, że zbiór powinien być przeniesiony do systemu informatycznego spełniającego wymogi, jednak do tego czasu zbiór danych osobowych mógłby być przetwarzany wyłącznie w formie papierowej. Plik xls mógłby zawierać numer sprawy, sposób załatwienia reklamacji lub skargi etc., ale nie mógłby w takim wypadku zawierać danych osobowych. Z kolei w zbiorze danych osobowych prowadzonych w formie tradycyjnej można by zawrzeć dane osobowe osoby składającej skargę oraz numer sprawy. W związku z tym w chwili zapoznania się z plikiem doc lub xls nie następowałoby przetwarzanie danych osobowych.

Jeżeli jednak do pliku doc lub xls nie zawierającego danych osobowych wstawimy hiperłącze odwołujące do pliku zawierającego skan skargi i reklamacji, w którym petent wpisał swoje dane osobowe to nie ma wątpliwości, że będzie miało miejsce przetwarzanie danych osobowych.
Czy jednak taki plik może być uznany za zbiór danych osobowych w rozumieniu w/w Ustawy
w kontekście definicji zakładającej że przez zbiór danych osobowych rozumie się „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”. Dane mogłyby być wyszukane w zasadzie wyłącznie po numerze sprawy a zatem po jednym kryterium, co w świetle brzmienia orzeczenia II SA/Gl 261/07 - Wyrok WSA w Gliwicach z 2007-10-04 mogłoby prowadzić do konstatacji, że nie jest to zbiór danych osobowych. Czy rzeczywiście w praktyce można skutecznie powołać się na stanowisko, że dane osobowe nie są dostępne według określonych przynajmniej 2 kryteriów a tylko po jednym – w tym przypadku po numerze sprawy?

Można rozważyć wypracowanie rozwiązania zgodnie z którym dane osobowe osoby składającej skargę byłyby przetwarzane wyłącznie w zbiorze danych osobowych prowadzonych tradycyjnie, zawierającym m.in. numer sprawy, z kolei pliki doc lub xls zawierałyby tylko numer sprawy i hiperłącze do pliku będącego skanem skargi, jednak przy założeniu, że przed skanowaniem wykadrowane (zakryte) zostałyby dane osobowe?

W przypadku pozytywnej odpowiedzi konsekwencją mogłoby być utworzenie prowadzonego
w formie tradycyjnej zbioru danych osobowych „korespondencja z klientami”, w którym byłyby przetwarzane dane osobowe zarówno tych osób, które złożyły reklamację jak i tych, które złożyły skargę lub wniosek. Odnalezienie danych osobowych z perspektywy informacji zawartych w pliku doc lub xls byłoby możliwe wyłącznie przez numer sprawy – w ten sposób można by wyszukać dane w prowadzonym tradycyjnie zbiorze danych osobowych.

Z góry dziękuję za wszelkie podpowiedzi i przemyślenia, szczególnie odnoszące się do praktyki.