Bazy dostępne publicznie a prawo do ich kopiowania na własne serwery cz. 1

Całkiem niedawno zostaliśmy poproszeni o ocenę jednego z obszarów jakim jest obowiązek weryfikacji klientów pod kątem figurowania lub nie figurowania na liście konsumentów w stanie upadłości, a ściślej mówiąc o ocenę narzędzi przygotowanych lub przygotowywanych do tego celu. Aby jednak móc się ocenić narzędzia należy spojrzeć na problem trochę szerzej.

Zacznijmy od podstawowych definicji…

Administrator danych osobowych (AD) – zgodnie z ogólnym rozporządzeniem
o ochronie danych administratorem danych osobowych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Wbrew pozorom jest to istotna kwestia, dlatego że dopóki korzystamy z innych baz (np. Ognivo), ale bez kopiowana zawartości na swoje serwer, to jest jeden rodzaj działań, ale czym innym jest pozornie podobna sytuacja ale z kopiowaniem tych danych do swojej struktury IT. W pierwszym przypadku jesteśmy użytkownikiem takiej bazy na określonych warunkach, a w drugim stajemy się jej administratorem z całym zakresem obowiązków do spełnienia, wynikających z RODO.

Dla przypomnienia…Na początku życia RODO w naszym kraju, jedna z firm otrzymała karę, blisko 1 mln pln, za co? A no za niedopełnienie obowiązków administratora danych jakim jest obowiązek informacyjny. A dlaczego? A no dlatego, że korzystając
z publicznych danych, jakimi są dane osób prowadzących działalność gospodarczą (CEiDG) zbudowali sobie własną bazę danych aby łatwiej im było z niej skorzystać dla potrzeb realizacji własnych celów. To nie jest w pełni analogiczny przykład bo tutaj, tym celem były działania marketingowe i handlowe, a nie tak jak w przypadku banków dbałość o bezpieczeństwo środków, niemniej jednak obowiązki AD nie podlegają gradacji zależnie od branży, w której działa dany administrator.

Bernadeta Gronowska, Jacek Rembikowski