Programy do fakturowania a obowiązek informacyjny?

Tak się zastanawiam nad pewnym zagadnieniem. W systemach do fakturowania / wystawiania rachunków przetwarza się dane osoby, gdy (klienci - osoby fizyczne/prywatne) życza sobie rachunku. Dane takie bez wątpienia przetwarza się w zbiorze (co wynika z definicji zbioru), zbioru się nie rejestruje, bo wyłącza z tego obowiązku art. 43 ust. 1 pkt 8. Zaś art. 32 daje osobom prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych.

Skoro zatem w systemie do fakturowania dane osobowe są przetwarzane i sa w zbiorze, to system ten musi spełniac wymogi opisane w rozporządzeniu w §7, w szczególności:

1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym — z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie — system ten zapewnia odnotowanie:
(...)
5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.
(...)
3. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1.

Może w zasadzie każdy system tego rodzaju powinien z defaultu spełniać takie (i pozostałe z §7) wymogi? Pewna ilość takich programów takiego wymogu nie spełnia (nie wspominając o pozostałych wymogach). Pewnie producenci takich programów nieźle się zdziwią - nikt nie zakładał, że taki system będzie służył do przetwarzania danych osobowych :)

Ciekaw jestem  jak wygląda w praktyce spełnienie tego obowiązku informacyjnego? Jak nazwać taki "zbiór" - określić go poprzez cel przetwarzania danych? Czy informację o dokonanych zakupach traktować jako dane osobowe - i wtedy podać historię wszystkich zakupów? Pełna historię danych klienta? (dane identyfikujące go w przeszłości historyczne to też dane osobowe)

W ogóle prowadząc rozważania nad materią spełnienia obowiązku informacyjnego zaczynam miec "problem" z obowiązkiem informacyjnym - dane osobowe są przetwarzane w wielu miejscach w firmie - księgowość, hr, obsługa klienta, sprzedaż, etc. Nie wszystkie sa w jednym centralnym repozytorium. Gdy przyjdzie wniosek od klienta o udzielenie mu informacji, co do której ma prawo (art 32 ust. 1 uodo), to wtedy trzeba uruchomić "całą" firmę - a na pewno te działy, w których zbiory są, a nie podlegają rejestracji. I bez znaczenia, czy osoba jest klientem i czy kiedykolwiek miała do czynienia z tą firmą (administratorem), od której/ego żąda informacji.

A jakie jest Wasze zdanie na ten temat?

Odpowiedzi

Praktyka jest taka, ze nikt nie postrzega takich systemów, jako systemy przetwarzające dane osobowe.