Igor Kowalewski
Sprawozdanie z Wiosennej Konferencji Europejskich Komisarzy Ochrony Danych Osobowych. 10 - 11 maja 2001 r., Ateny
SESJA 6 - CZARNE LISTY - (Black lists)
[Spis treści]
W kolejnym panelu dyskusyjnym pod hasłem "Rozwój czarnych list w sektorze kredytowym, telekomunikacyjnym, ubezpieczeń i obrotu nieruchomościami [Development of black lists in the sectors of credit, telecomunications, insurance and house rental], udział wzięli: pan Paul Thomas, przewodniczący belgijskiego organu ochrony danych osobowych, dr Waltraut Kotschy, kierownik austriackiego organu ochrony danych oraz pan Marcel Pinet, członek francuskiego organu ochrony danych.
Od kilku lat, w obszarze szczególnego rynku Unii Europejskiej zaobserwować można zjawisko liberalizacji określonych sektorów, powstawania społeczeństwa konsumpcyjnego oraz rozwój nowoczesnej technologii komputerowej. Powyższe uwarunkowania wpłynęły na powstawanie list dłużników (tzw. czarnych list), które w wielu przypadkach są następnie zamieszczane w Internecie. Tego rodzaju listy sa tworzone głównie w sektorze kredytowym, telekomunikacyjnym, ubezpieczeń i obrotu nieruchomościami. Często zdarza się, że podmioty gospodarcze, które tworzą listy dłużników, przekazują je następnie, najczęściej odpłatnie innym podmiotom. Bez wątpienia tego rodzaju praktyki stanowią zagrożenie dla prywatności. Przetwarzanie danych osobowych może odbywać się jednie dla oznaczonych, zgodnych z prawem celów (szczegółowo reguluje tą kwestię Art. 7 Dyrektywy 95/46/EC). Można postawić zatem pytanie, czy tworzenie tego rodzaju list i dalsze przetwarzanie zamieszczonych na nich danych spełnia warunki legalności przetwarzania danych. Należy w tym przypadku brać pod uwagę dwa rodzaje interesów: interes jednostki oraz interes administratora danych. Tytułem przykładu można wskazać, że w Belgii, w sektorze kredytowym, przetwarzanie danych dotyczących nie wywiązania się z płatności zostało uznane za uzasadnione celem zwalczania nadmiernego zadłużenia i niewypłacalności klientów. Powyższa argumentacja wydaje się być wątpliwa i niejasna. Należy raczej rozwijać inne środki, których stosowanie nie naruszałoby prywatności (np.: systematycznego nakłaniania do wykonania obowiązku zapłaty składki ubezpieczeniowej lub natychmiastowego zawieszenia ochrony ubezpieczeniowej z chwilą powstania zaległości itp.). Poważne konsekwencje płynące z faktu umieszczenia danej osoby w tego rodzaju zbiorze danych nakazują wypracowanie jasnych zasad i stworzenia odpowiednich przepisów dotyczących prowadzenia banków danych dłużników. W nawiązaniu do treści Art. 10 Dyrektywy 95/46/EC należy stwierdzić, że administrator danych jest zobowiązany dostarczyć podmiotowi, którego dane są przetwarzane określonych informacji. Szczególnie istotne w omawianej kwestii są wszelkie informacje dotyczące m. in.:
- odbiorcy lub kategorii odbiorców danych
- zaniedbań, które skutkowałoby wciągnięciem podmiotu do banku danych dłużników
- minimalnej sumę zadłużenia
- okresu przechowywania danych w banku danych dłużników
Również dr Kotschy poinformowała, że czarne listy nie są w Austrii zjawiskiem nowym. Prelegentka wskazała, że nowa austriacka ustawa o ochronie danych osobowych z 2000 r. zawiera postanowienia dotyczące omawianej problematyki. Podjęcie tego rodzaju działań było niezbędne z uwagi na brak reguł dotyczących przetwarzania danych umieszczonych na czarnych listach, a w szczególności:
- brak przepisów określających warunki umieszczenia i usunięcia z listy (powodował znaczne utrudnienia w uzyskaniu kredytów)
- lista jest uaktualniana jedynie dwa razy w roku (zdecydowanie za rzadko w zestawieniu z negatywnymi konsekwencjami jakie wywołuje dla podmiotu, którego dane zostały umieszczone na liście)
- podmiot danych nie jest informowany o istnieniu listy, jej treści, o warunkach jej funkcjonowania, w szczególności sposobach korekty i usunięcia danych z listy.
- brak tzw. "punktów kontaktowych", w których podmiot danych mógłby udzielić odpowiednich wyjaśnień dotyczących powstałych zaległości finansowych
- brak mechanizmu szybkiego i efektywnego rozpatrywania skarg wnoszonych przez podmiot danych
W związku z powyższym austriacki organ ochrony danych osobowych wydał rekomendację dotyczącą czterech instytucji sektora bankowego, w której wezwał do złożenia odpowiednich raportów dotyczących przetwarzania danych znajdujących się na czarnych listach. Rekomendacja przewidywała również, iż niezbędne jest podjęcie określonych środków mających na celu wyeliminowanie wyżej wymienionych niedogodności. Przede wszystkim podkreślono obowiązek udzielenia dokładnej informacji dotyczącej umieszczenia i usunięcia z listy. Ponadto ustanowiono obowiązek zgłoszenia czarnych list do rejestracji. W związku z powyższym tego rodzaju zbiory danych podlegają kontroli wstępnej zgodnie z Art. 20 Dyrektywy 95/46/EC.
Następnie głos zabrał pan Pinet, podkreślając, że umieszczanie czarnych list w Internecie stanowi szczególne zagrożenie dla ochrony prywatności. Prelegent zaznaczył, że tego typu listy miały początkowo charakter wyłącznie informacyjny dla instytucji danego sektora. Obecnie jednak umieszczenie danych na czarnej liście stanowi formę przymuszenia do uregulowania zaległości finansowych (charakter represyjny). Pan Pinet poparł w pełni wyrażoną przez wcześniejszych prelegentów opinię, że przetwarzanie danych umieszczanych na czarnych listach powinno podlegać wszystkim ogólnym zasadom ochrony danych osobowych przewidzianych w aktach prawnych dotyczących tej materii. Pan Juan Manuel Fernandez López stwierdził, że instytucje bankowe muszą mieć możliwość tworzenia list niesumiennych dłużników o charakterze wyłącznie informacyjnym, które podlegałyby obowiązkowi rejestracji. Osoba, której dane zostały umieszczone na liście powinna być natychmiast poinformowana o tym fakcie oraz o okresie przez jaki jej dane będą pozostawały na liście. Spłacenie zaległości finansowych oznaczać powinno natychmiastowe usunięcie z czarnej listy.
