Na łamach „Rz” niedawno opisaliśmy serwis internetowy publikujący dane kontaktowe adwokatów i radców prawnych zaczerpnięte z publicznych rejestrów. Czy ich powszechna dostępność oznacza, że każdy może z nich skorzystać w dowolnym celu?
Ujawnienie danych osobowych, nawet tych dotyczących wykonywanego zawodu, nie oznacza automatycznie dowolności ich dalszego przetwarzania. Każde upublicznienie danych rejestrowych następuje bowiem w określonych celu, np. zagwarantowania pewności co do korzystania z usług osoby wykonującej zawód zaufania publicznego. Późniejsze wykorzystanie tych danych osobowych nie może być niezgodne z tymi celami, a żeby zmienić pierwotny cel musi zostać przeprowadzony i udokumentowany przez następnego administratora cały test, o którym mowa w art. 6 ust.4 RODO. Ma on zapewnić realizację prawa do ochrony danych osobowych.
Czytaj więcej
W serwisie Lexspace można znaleźć dane tysięcy pełnomocników, zaczerpnięte z publicznych rejestrów. Niektórzy próbują je usunąć, a samorząd radców prawnych zgłasza sprawę do Urzędu Ochrony Danych Osobowych i Urzędu Ochrony Konkurencji i Konsumentów.
Na czym polega taki test i jakie warunki trzeba spełnić, żeby korzystanie z tych danych było legalne?
W pełnym zakresie znajduje zastosowanie RODO, a więc i uprawnienia oraz obowiązki w nim określone. Na pierwszy plan wysuwają się podstawowe zasady przetwarzania danych osobowych (w tym waśnie ograniczenia celu czy zapewnienia poprawności danych), ale w tym przypadku kluczowe wydaje się także wykazanie podstawy przetwarzania danych i realizacja obowiązków informacyjnych wobec osób, których dane dotyczą. Przedsiębiorcy pobierający dane osobowe z jawnych rejestrów najczęściej powołują się na podstawę „prawnie uzasadnionego interesu” (art. 6 ust.1 lit f RODO). Jednak żeby skutecznie legitymować się tą przesłanką, należy wcześniej przeprowadzić trzyetapowy test uzasadnionego interesu, w którym analizuje się, czy występuje taki interes, czy przetwarzanie danych jest niezbędne do jego realizacji i czy zachowana jest równowaga między celami administratora i prawami, wolnościami osoby, której dane dotyczą. To jeden z podstawowych błędów w stosowaniu RODO, że w przypadku jawnych danych rejestrowych banalizuje się potrzebę dokonania całościowej analizy zgodności z tym aktem. Ogranicza się też wykonanie obowiązku informacyjnego, powołując się na pierwotną jawność danych. Tymczasem wcześniej dane zostały upublicznione przez innego administratora w odrębnym celu. Osoba, której dane dotyczą, nie ma wiedzy o kolejnych użytkownikach (administratorach) jej danych.
