Tzw. czarna lista oznacza listę osób lub innych podmiotów, które z jakiegoś powodu zostały ocenione negatywnie, co stanowić ma dla podmiotu korzystającego z takiej czarnej listy ostrzeżenie na przyszłość i kryterium na podstawie którego podmiot taki odmówi np. podjęcia się realizacji usługi wobec podmiotu wpisanego na czarną listę.
Czy tworzenie czarnych list zawierających dane osobowe jest dozwolone? W naszej ocenie tworzenie czarnych list jest co do zasady niedopuszczalne.
Skąd powyższa ocena?
W pierwszej kolejności przytoczyć należy stanowisko Generalnego Inspektora Ochrony Danych Osobowych (GIODO) – poprzednika Prezesa Urzędu Ochrony Danych Osobowych (PUODO), który stwierdził, w odniesieniu do tworzenia czarnych list rekrutacyjnych (a więc czarnych list kandydatów do pracy), iż „Praktyka tworzenia tzw. czarnych list rekrutacyjnych, zawierających dane osobowe kandydatów, których z różnych powodów nie powinno się zatrudniać, nie znajduje oparcia w obowiązujących przepisach, jest zatem niezgodna z prawem. Tworzenie zbiorów danych o charakterze negatywnym może prowadzić do dyskryminacji i podejmowania niekorzystnych dla danej osoby decyzji w oparciu o często nierzetelne, bezpodstawnie pozyskane informacje.”.
GIODO wskazał, że jego stanowisko oparte jest co prawda o stan prawny sprzed 25 maja 2018 r., ale powinno być brane pod uwagę także po 25 maja 2018 r., a więc po rozpoczęciu stosowania przepisów RODO (vide: https://giodo.gov.pl/pl/259/10318).
Powyższe stanowisko należy w naszej ocenie w pełni podzielić. Wynika z niego zresztą, że GIODO zakwestionował generalnie praktykę tworzenia „zbiorów danych o charakterze negatywnym”, nie tylko w obszarze rekrutacji. GIODO słusznie zauważył, że tworzenie tego typu zbiorów danych (czarnych list) prowadzić może do dyskryminacji i podejmowania niekorzystnych dla danej osoby decyzji w oparciu o często nierzetelne, bezpodstawnie pozyskane informacje. Wskazać należy przy tym w uzupełnieniu, iż obecność na czarnej liście godzić może w godność osobistą osoby i w inne jej prawa, w tym prawo do prywatności, prowadzić może do uszczerbku moralnego, finansowego, społecznego, a w pewnych przypadkach nawet zdrowotnego.
Gdzie doszukiwać można by się podstawy prawnej do przetwarzania danych osób w ramach czarnej listy? W naszej ocenie jedynie w prawnie uzasadnionym interesie administratora danych (art. 6 ust.1 pkt f RODO). W oparciu o taką podstawę prawną, rozważyć można by w naszej ocenie prowadzenie np. czarnej listy klientów danego podmiotu, którzy na listę tę trafiają w oparciu o jasne, obiektywne kryterium – np. zaleganie z płatnościami. Lista taka mogłaby w naszej ocenie służyć jedynie danemu administratorowi danych a prowadzona być powinna przy zastosowaniu daleko idących zabezpieczeń przed naruszeniem ochrony danych osobowych. Administrator chcący prowadzić czarną listę rozważyć powinien w szczególności minimalizację dostępu do takiej listy (jedynie kilku wyznaczonych, odpowiednio przeszkolonych pracowników) oraz zastosowanie pseudonimizacji danych – na liście znajdywać powinny się raczej kody nadane klientom niż ich dane osobowe. Utworzenie takiej czarnej listy poprzedzone powinno zostać ponadto w pewnych przypadkach przeprowadzeniem oceny skutków przetwarzania dla ochrony danych osobowych – zgodnie z art. 35 RODO. W szczególności zaś, każdy podmiot noszący się z zamiarem utworzenia takiej listy, winien oszacować, czy jego prawnie uzasadniony interes w jej prowadzeniu przeważa nad prawami podmiotów, których dane mogą znaleźć się na takiej liście, a także czy dane takie będą należycie zabezpieczone – w szczególności przed nieuprawnionym dostępem lub modyfikacją.
Z całą mocą należy przeciwstawić się natomiast pokusom tworzenia publicznie, czy chociażby szeroko dostępnych czarnych list, przy użyciu których szerszy katalog podmiotów miałby dostęp do danych osobowych podmiotów zamieszczonych na liście utworzonej przez jeden z tych podmiotów lub podmiot trzeci. W naszej ocenie całkowity brak podstaw dla tego rodzaju przetwarzania danych osobowych – nie można już w takim przypadku mówić o prawnie uzasadnionym interesie administratora danych, w szczególności interesie, który przeważałby nad prawami podmiotów umieszczanych na listach (na czym interes taki miałby polegać? Z pewnością nie na zarabianiu na prowadzeniu takiej czarnej listy).
Tym bardziej sprzeciwić należy się tworzeniu czarnych list przez podmioty komercyjne, które zarabiać pragną bądź na udzielaniu innym podmiotom odpłatnego dostępu do takich list, bądź na reklamach wyświetlanych w serwisie zawierającym czarną listę. Całkowicie brak tu podstawy do przetwarzania przez takie podmioty danych osób umieszczonych na czarnej liście.
Data publikacji: 30.08.2018.