Ochrona danych osobowych w agencji turystycznej

Głośnym echem w branży odbiła się sprawa rezygnacji ze współpracy z blisko 500 agentów przez TUI Polska. Kończący współpracę z touroperatorem agenci zostali zobowiązani do m.in. odesłania danych osobowych klientów.

Zgodnie z art. 2 Ustawy o ochronie danych osobowych stosuje się w ją do przetwarzania danych osobowych:

1. w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych,
   
2. w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych.

Byliśmy ciekawi, jak zapisy ustawy przedstawiają się w odniesieniu do działalności agentów turystycznych. W związku z tym zadaliśmy kilka pytań Głównemu Inspektorowi Ochrony Danych Osobowych. Zastanawialiśmy m.in. czy gdyby agent przechowywał dane klientów w sposób niezewidencjonowany (np. wszystkie razem w jednym segregatorze, w losowym porządku), to czy w świetle ustawy byłaby to baza danych osobowych czy nie?

"Zgodnie z art. 7 pkt 1 ustawy o ochronie danych osobowych, przez zbiór danych rozumie się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony czy podzielony funkcjonalnie. Cechą wyróżniającą zbiór danych od innego zestawienia danych jest jego uporządkowany charakter, co zapewnia możliwość wyszukania konkretnych danych za pomocą określonego kryterium. Aby określony zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów ustawy, wystarczające jest istnienie jednego kryterium wyszukiwawczego w zestawieniu danych. Możliwość wyszukania, według jednego kryterium, którym może być np. numer referencyjny, dokumentu zawierającego dane osobowe, przesądza o uporządkowanym charakterze zestawienia danych i tym samym stanowi o zakwalifikowaniu tego zestawienia jako zbioru danych w rozumieniu art. 7 pkt 1 ustawy o ochronie danych osobowych. Dlatego, jeśli w korespondencji mailowej albo w bazie numerów telefonów można odszukać określone dane osobowe według wyodrębnionego kryterium, to uznać należy, iż stanowią one zbiory danych osobowych w rozumieniu ustawy o ochronie danych osobowych" - wyjaśnia Dyrektor Zespołu Rzecznika Prasowego GIODO, Małgorzata Kałużyńska-Jasak.

Należy zatem rozumieć, że taką cechą, która świadczy o tym, że zgromadzone przez agenta dane są przechowywane w sposób uporządkowany jest np. nadawany przez touroperatora numer imprezy.

Równocześnie Dyrektor Zespołu Rzecznika Prasowego GIODO podkreśla, że większość kwestii w tej sprawie powinna regulować umowa pomiędzy organizatorem turystyki a agentem. "Z przepisów ustawy o działalności turystycznej wynika, że agenci turystyczni działają na zlecenie (w imieniu i na rzecz) organizatorów turystyki i w związku z tym powinni wykonywać swoją działalność przede wszystkim zgodnie z postanowieniami zawartej z nimi umowy. Tym samym to organizatorzy turystyki zlecający agentom turystycznym wykonywanie działalności na ich rzecz powinni określić warunki, na jakich ta działalność ma być wykonywana, w tym m.in. zasady przetwarzania danych osobowych klientów. Jeśli bowiem to organizator turystyki jest podmiotem decydującym o celach i środkach przetwarzania danych, to uznać należy, że to on, a nie agent turystyczny, jest administratorem danych osobowych klientów. Agent turystyczny zaś jest podmiotem, któremu organizator turystyki może powierzyć przetwarzanie tych danych" - komentuje Kałużyńska-Jasak.

Przy zawieraniu umowy agencyjnej, z punktu widzenia ustawy o ochronie danych osobowych, wskazane jest zawarcie umowy powierzenia danych osobowych. Taka umowa powinna zostać zawarta na piśmie i określać zakres i cel przetwarzania danych, a także prawa i obowiązki zarówno administratora danych, czyli podmiotu zlecającego, jak i podmiotu, któremu powierzono przetwarzanie danych. Zgodnie bowiem z art. 31 ust. 2, podmiot, któremu powierzono przetwarzanie danych, może wykorzystywać je wyłącznie w zakresie i celu przewidzianym w umowie. Umowa o przetwarzanie danych osobowych może być częścią np. umowy agencyjnej. "W literaturze przedmiotu podkreśla się, że nie ma przeszkód do określenia wyżej wskazanych elementów treści umowy o przetwarzanie danych osobowych w innej umowie, pod warunkiem że jest ona zawarta na piśmie" - dodaje Małgorzata Kałużyńska-Jasak.

Warto pamiętać, że agenci przetwarzający powierzone im dane klientów są zobowiązani do właściwej ich ochrony. "Należy zauważyć, że stosownie do art. 31 ust. 3 ustawy o ochronie danych osobowych, podmiot podejmujący się przetwarzania danych na podstawie umowy powierzenia obowiązany jest przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art.39a. Ma zatem obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1). Ma również obowiązek prowadzić dokumentację opisującą te środki oraz sposób przetwarzania danych (ust. 2 tego przepisu)" - komentuje Dyrektor Zespołu Rzecznika Prasowego GIODO.

" Dla nadzorowania przestrzegania zasad ochrony, o których mowa w ust. 1, musi wyznaczyć administratora bezpieczeństwa informacji, chyba że sam wykonuje te czynności (art. 36 ust. 3). Ciąży też na nim obowiązek sprawowania kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są one przekazywane (art.38). Ponadto, podmiot przetwarzający dane na podstawie umowy powierzenia, w przypadku zatrudniania osób wykonujących czynności przetwarzania danych, powinien każdej z tych osób nadać indywidualne upoważnienie do przetwarzania danych oraz prowadzić ewidencję osób upoważnionych do takiego działania (stosownie do art. 39 ust. 1). Osoby mające dostęp do danych obowiązane są do zachowania ich w tajemnicy (art. 39 ust. 2). Ponadto, stosownie do art. 39a omawianej ustawy, podmiot, któremu powierzono przetwarzanie danych, powinien spełniać wymogi określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych" - dodaje.

GIODO podkreśla, że w zakresie zabezpieczenia danych osobowych podmiot, któremu powierzono przetwarzanie danych, ponosi odpowiedzialność jak administrator danych (art. 31 ust. 3 zd. 2). Ponadto odpowiada także wobec administratora danych za przetwarzanie danych niezgodnie z umową. Wskazuje na stanowisko Sądu Najwyższego zajęte w postanowieniu z 11 grudnia 2000 r. (sygn. akt II KKN 438/2000), w którym Sąd ten stwierdził, iż "Na gruncie ustawy o ochronie danych osobowych administratorem danych osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 ustawy), natomiast administrującym - także taki podmiot, który zarządza, zawiaduje zbiorem danych (art. 50, 51, 54) lub danymi (art. 52) w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy (...)". Podmiot, któremu powierzono przetwarzanie danych osobowych nie staje się jednak ich administratorem.

Konieczne jest, aby administrator danych powierzający, w trybie art. 31 ustawy, dane osobowe innemu podmiotowi, zachował możliwość kontroli tego, czy podmiot, któremu dane powierzono, przetwarza je m.in. zgodnie z postanowieniami umowy powierzenia. Jedną z form takiej kontroli może być choćby możliwość dokonania oględzin miejsca przetwarzania danych osobowych. Dodatkowo administrator danych w celu zagwarantowania większego bezpieczeństwa powierzonych danych osobowych może również zastrzec kary umowne za naruszenie postanowień umowy.

Co grozi za niewłaściwie przechowywanie danych osobowych klientów? Ustawa o ochronie danych osobowych wprowadziła odpowiedzialność karną na podstawie art. 51 i 52. Jest na nią narażony ten, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwi do nich dostęp osobom nieupoważnionym. Sankcją za takie działanie jest kara grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2 (art. 51 ust. 1). Jeżeli sprawca działa nieumyślnie, wówczas zagrożenie pozbawienia wolności ograniczone jest do roku (ust. 2). Analogiczna kara przewidziana jest w sytuacji, gdy administrujący danymi narusza, choćby nieumyślnie, obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem.

"Agent turystyczny, działający na zlecenie i w imieniu organizatora turystyki, który w drodze zawartej na piśmie umowy powierzył mu przetwarzanie danych, obowiązany jest przestrzegać, aby dane te przetwarzać wyłącznie w zakresie i celu w umowie tej przewidzianym oraz zabezpieczyć je w sposób określony w przepisach o ochronie danych osobowych" - konkluduje Małgorzata Kałużyńska-Jasak.