Jeżeli jako przedsiębiorca przechowujesz lub wykonujesz jakiekolwiek czynności z danymi osobowymi innych osób (również pracowników), ustawa o ochronie danych osobowych nakłada na Ciebie konkretne obowiązki. Ich niedopełnienie grozi karami finansowymi, odpowiedzialnością karną, może również narazić na szwank reputację firmy.
Podobne artykuły
|
Artukuł pochodzi z marcowego wydania magazynu Mistrz Branży
Zamów numery archiwalne w wersji PDF: prenumerata@MistrzBranzy.pl |
Zanim przejdziemy do podstawowych pojęć, warto odpowiedzieć sobie na 4 podstawowe pytania:
1. Czy zatrudniasz, chociaż jednego pracownika (w oparciu o umowę o pracę lub umowę cywilno-prawną)?
2. Czy posiadasz dane, chociaż jednego klienta (np. na fakturze)?
3. Czy posiadasz dane, chociaż jednego kontrahenta będącego osobą fizyczną (np. osoby prowadzącej działalność gospodarczą)?
4. Czy w związku z prowadzoną działalnością marketingową przechowujesz dane osób?
Jeżeli odpowiedziałeś twierdząco chociaż na jedno z tych pytań, zainteresuj się obowiązkami wynikającymi z ustawy o ochronie danych osobowych.
Dane osobowe i ich przetwarzanie
Ustawa o ochronie danych osobowych realizuje konstytucyjne prawo do prywatności: Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym (Konstytucja RP, art. 47). Przede wszystkim jednak określa zasady przetwarzania danych osobowych przy poszanowaniu prywatności przez podmioty gospodarcze, tak by mogły one swobodnie funkcjonować. Zanim określimy te zasady, warto uświadomić sobie podstawowe pojęcia z tym związane: dane osobowe i przetwarzanie.
Dane osobowe to każda informacja, która pozwoli nam bez nadmiernego nakładu czasu i środków zidentyfikować konkretną osobę fizyczną. Przy czym dane te mogą pozwolić na zidentyfikowanie osoby w sposób pośredni lub bezpośredni. Zauważmy, że ustawa nie określa, że np. imię i nazwisko nie jest daną osobową, a imię, nazwisko i adres już taką daną jest. I bardzo dobrze. Trudno sobie wyobrazić, żeby ustawodawca był w stanie przewidzieć wszystkie możliwe informacje, które mogą podlegać ochronie. W zamian każe nam się zawsze zastanowić, czy te informacje, z którymi mamy do czynienia, pozwalają na ustalenie, jakiej osoby dotyczą.
Zastanówmy się, czy adres email: kasia16@buziaczek.pl jest daną osobową? Większość osób zapewne odpowie, że nie – przecież nie mają pojęcia, do kogo należy ten adres. I bardzo słusznie, dla nich nie będzie to dana osobowa. W innej sytuacji będą jednak znajomi Kasi. Oni wiedzą, czyj jest ten adres i dla nich będzie on daną osobową.
Rozważmy jeszcze sytuację, w której Kasia podała swój adres email wraz z nazwiskiem i adresem zamieszkania w dowolnym internetowym serwisie ogłoszeniowym. Wówczas każdy, korzystając z wyszukiwarki, może ustalić, do kogo należy ten adres email i dla każdego będzie on daną osobową.
Widzimy, że te same dane dla jednych osób będą danymi osobowymi, a dla innych nie. Ten sam rodzaj danych będzie czasem stanowił dane osobowe, a czasami nie. Jak sobie z tym radzić? To proste – zawsze zastanów się, czy dane, które posiadasz, pozwalają ustalić, do jakiej osoby one należą – będą to wówczas dane osobowe. W przeciwnym wypadku nie będziesz ich traktować jako danych osobowych.
Z danymi osobowymi nieodłącznie wiąże się pojęcie przetwarzania. W tej kwestii nie ma żadnych możliwości interpretacyjnych. Każda czynność dotycząca danych osobowych, w tym ich zbieranie, kopiowanie, usuwanie, udostępnianie jest ich przetwarzaniem. Wyjątku nie stanowi przechowywanie danych. Nie możemy więc powiedzieć „my tych danych nie przetwarzamy, a jedynie je przechowujemy w szafie (dysku, telefonie, laptopie)” – to zawszę będzie podlegało ustawie jako przetwarzanie danych.
Kto odpowiada za dane osobowe?
Dla naszych dalszych rozważań ważne będzie jeszcze pojęcie administratora danych osobowych (ADO). Zgodnie z ustawą administratorem danych jest ten, kto decyduje o celach i środkach ich przetwarzania. W praktyce gospodarczej administratorem danych będzie najczęściej przedsiębiorstwo lub spółka, bo to one decydują o tym, w jakim celu i z wykorzystaniem jakich środków dane będą przetwarzane.
Od razu zwróćmy uwagę na częste nieporozumienie – administrator danych osobowych to ktoś inny niż informatyk, nazywany często administratorem systemu informatycznego.
Wprowadźmy od razu jeszcze jedno pojęcie – administrator bezpieczeństwa informacji (ABI). Zgodnie z ustawą o ochronie danych osobowych ADO powołuje administratora bezpieczeństwa informacji, chyba że sam wykonuje jego czynności. Zadaniem ABI jest nadzór nad przestrzeganiem technicznych i organizacyjnych zasad ochrony danych osobowych. W praktyce ABI wykonuje zwykle znacznie więcej zadań, stanowiąc prawą rękę kierownictwa w dbaniu o zgodne z prawem przetwarzanie danych osobowych i prowadzenie wymaganej dokumentacji. Warto zauważyć, że ABI nie musi być naszym pracownikiem. Istnieje coraz więcej specjalistycznych firm wyręczających przedsiębiorców z obowiązku zgłębiania zagadnień ochrony danych osobowych i pełniących rolę ABI w ramach outsourcingu.
Należy jednak podkreślić, że wyznaczenie ABI nie zwalnia ADO z odpowiedzialności za zabezpieczenie danych.
Od 1997 r. organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych (GIODO). Do jego zadań należy m.in.
- kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
- wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych,
- prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach.
GIODO nie wydaje jednak żadnych certyfikatów ani nie określa wymagań. Jeżeli więc kontrahent powie wam: „mamy certyfikat GIODO”, „spełniamy wymagania GIODO”, „jesteśmy zgodni z GIODO”, to już wiecie, że ten kontrahent nie wie, o czym mówi, i na temat ochrony danych lepiej z nim nie rozmawiać.
Warto wiedzieć
Ochrona a system informatyczny.Choć dane osobowe często są przetwarzane w systemie informatycznym, który musi spełniać pewne wymagania, to obowiązki związane z ochroną danych nie ograniczają do tego. Najważniejsze są obowiązki przedsiębiorcy względem osób, których dane przetwarzamy oraz zasady ich przetwarzania.
Powierzenie przetwarzania danych innym podmiotom nie zdejmuje z nas wszystkich obowiązków. Co więcej, takie powierzenie musi mieć formę umowy zawartej na piśmie, w której określimy co najmniej cel i zakres powierzanych danych.
Odpowiedzialny biznes.Coraz więcej podmiotów spełnia obowiązki wynikające z ustawy o ochronie danych osobowych nie z obawy przed konsekwencjami karnymi, ale przede wszystkim w trosce o wizerunek, który bardzo łatwo popsuć w społeczeństwie świadomym swojego prawa do prywatności.
Przetwarzanie danych z naruszeniem prawa skutkuje karą pozbawienia wolności nawet na kilka lat. Bardziej bolesne mogą być jednak procesy cywilne – zasądzane były już bardzo wysokie odszkodowania dla osób, których dane były nieodpowiednio przetwarzane.
Legalne przetwarzanie danych osobowych. Ustawa przewiduje kilka przesłanek, które uchylają zakaz przetwarzania danych. W praktyce gospodarczej najistotniejsze przesłanki (warunki) to:
- zgoda osoby na przetwarzanie danych osobowych,
- realizacja umowy, w której osoba jest stroną,
- realizując obowiązek ustawowy, np. przesyłając dane pracowników do urzędów,
- dla marketingu własnych produktów itd.
Jak widać, zgoda na przetwarzanie danych osobowych nie zawsze jest potrzeba. Wystarczy, że przedsiębiorca spełnia jedną z ww. przesłanek, by przetwarzanie danych osobowych było legalne.
Odpowiedzialność przedsiębiorcy. Za bezpieczeństwo przetwarzanych danych odpowiada przede wszystkim przedsiębiorca. W razie ich niewłaściwego zabezpieczenia może spodziewać się kontroli pracowników biura GIODO.
To wcale nie musi być kosztowne! Ochrona danych może nawet przynieść oszczędności związane z uporządkowaniem procedur i podniesieniem bezpieczeństwa informacji. Zabezpieczenie naszych danych przypomina często stawianie drzwi do lasu – wydajemy duże pieniądze na zabezpieczenia systemów informatycznych, podczas gdy przechodzący ulicą człowiek może po prostu sięgnąć po nasze dokumenty przez otwarte okno. Prawidłowo przygotowana polityka bezpieczeństwa pozwala na zidentyfikowanie tych miejsc, które należy zabezpieczyć w pierwszej kolejności oraz wskaże te informacje na ochronę których możemy wydać mniejsze pieniądze.
W kolejnych artykułach przyjrzymy się obowiązkom spoczywającym na administratorach danych oraz podamy praktyczne rozwiązania codziennych problemów przetwarzania danych.
Autor: Jarosław Żabówka [link]
