Dane osobowe pod lupą

N: Kiedy możemy mówić, że dysponujemy bazą danych osobowych?

PG: Przepisy nie określają żadnej granicy minimalnej. Jeżeli więc zbiór zawiera jakiekolwiek informacje dotyczące osób fizycznych i utrwalone cyfrowo bądź analogowo, to można mówić, że mamy do czynienia ze zbiorem danych, który podlegał będzie ustawie o ochronie danych osobowych. Musimy o tym pamiętać, jeśli będziemy chcieli przetwarzać dane osobowe znajdujące się w takim zbiorze.

Czym jest przetwarzanie danych osobowych?

Przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych. Przetwarzaniem jest więc zarówno zbieranie danych, ich przechowywanie, czy udostępnianie. To definicja. W jej obliczu trudno jest sobie wyobrazić firmę, która w swojej działalności w jakimś zakresie nie przetwarza danych osobowych. Dlatego tak ważna jest świadomość przedsiębiorców odnośnie obowiązków jakie w związku z tym na nich spoczywają.

Jak jest z tą świadomością?

Można powiedzieć, że ona stopniowo wzrasta, a dowodem na to jest ilość zleceń, którymi w tym kontekście zajmuje się nasza kancelaria. Mimo, że ustawa obowiązuje już przez dłuższy czas, to tak naprawdę dopiero od niedawna większa liczba przedsiębiorców zaczęła przywiązywać wagę do tego w jaki sposób takie dane zabezpieczyć i jakie obowiązki się z tym wiążą.

Kogo nazywamy Administratorem Danych Osobowych?

W uproszczeniu można powiedzieć, że najczęściej będzie to przedsiębiorca, który odpowiada za przetwarzanie danych osobowych. W przypadku osób fizycznych, to one pełnią funkcję AOD, a w spółkach te obowiązki spadają na całą instytucję, a nie osoby z jej Zarządu, czy ją reprezentujące. Administrator danych musi spełniać jeden z warunków uprawniających go do legalnego wykonywania operacji na danych osobowych. Przykładowo jednym z nich, chyba najczęściej spotykanym, jest zgoda osoby, której dane dotyczą. Ponadto administrator obowiązany jest do zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych oraz musi dopełnić obowiązki informacyjne wobec osób, których dane przetwarza. Dane muszą być również należycie zabezpieczone przed zniszczeniem, uszkodzeniem czy utratą. AOD musi również prowadzić dokumentację danych osobowych, na którą składa się polityka bezpieczeństwa, a w przypadku danych zawartych w systemie informatycznym sporządzona musi być także instrukcja zarządzania tym systemem. Do tego ważne są jeszcze upoważnienia dla pracowników, którzy będą dane przetwarzać.

Jakie zbiory danych osobowych należy zgłosić do rejestracji?

Zasadą jest, że ADO ma obowiązek zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Ustawa o ochronie danych osobowych określa jednak szereg wyjątków. Przykładowo zwolnieni z  obowiązku rejestracji zbioru są administratorzy przetwarzający dane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Administrator sam dokonuje oceny, czy konkretny zbiór danych podlega zwolnieniu. W kontekście obowiązku rejestracji zbioru istotne jest również to, że zgodnie z  wytycznymi GIODO, jeżeli dane osobowe w  zbiorze są przetwarzane w różnym celu i w różnym zakresie, to dla każdego celu i zakresu przetwarzania należy zgłosić odrębny zbiór. Przykładowo więc jeżeli prowadzimy sklep internetowy i przetwarzamy dane osobowe w celu realizacji zamówień i w celach marketingowych, to mimo że częściowo będą to zbieżne dane, to ich zbiory należy odrębnie zgłosić do rejestracji.

Jak najłatwiej zarejestrować zbiór danych osobowych?

Zgłaszamy go na urzędowym formularzu GIODO. Można wypełnić ten formularz za pośrednictwem internetu, wysyłając go po wydrukowaniu na adres GIODO, lub przesłać za pomocą Elektronicznej Platformy Komunikacji z GIODO po opatrzeniu go podpisem elektronicznym. Jest także opcja przesłania go pocztą. Rejestracja jest całkowicie bezpłatna. Cała procedura trwa około roku, ale należy pamiętać o jednej rzeczy. Choć ustawa tego wprost nie definiuje, to wyróżnia się dane zwykłe (imię, nazwisko, adres) oraz dane wrażliwe (rasa, religia, orientacja seksualna). Jest to ważne, bo dane zwykłe można przetwarzać już od momentu zgłoszenia zbioru do rejestracji, natomiast dane wrażliwe dopiero po zarejestrowaniu zbioru. Należy zatem proces rejestracji danych wrażliwych zaplanować z co najmniej rocznym wyprzedzeniem.

Na kim spoczywają obowiązki zapewnienia wymaganej dokumentacji związanej z przetwarzaniem danych osobowych?

Wszystkie obowiązki związane z przetwarzaniem danych osobowych spoczywają zasadniczo na Administratorze Danych Osobowych, czyli podmiocie zarządzającym danymi. W  przypadku osoby fizycznej będzie to konkretna osoba fizyczna, natomiast w przypadku spółek handlowych administratorem będzie sama spółka, nie zaś osoby uprawnione do jej reprezentacji czy wchodzące w skład organów. W zakresie obowiązków związanych z  przetwarzaniem danych ADO ma jednak możliwość powołania Administratora Bezpieczeństwa Informacji (ABI), który wykonuje zadania związane z ochroną danych osobowych w ramach firmy i nadzoruje ich przetwarzanie.

Kim zatem jest Administrator Bezpieczeństwa Informacji?

Przede wszystkim trzeba podkreślić, że powołanie ABI jest uprawnieniem Administratora Danych Osobowych, nie zaś jego obowiązkiem. Najczęściej ABI zostaje wyznaczony pracownik, ale może to być również podmiot zewnętrzny świadczący tego typu usługi na zasadzie outsourcingu. Jego powołanie nie zwalnia ADO z  obowiązków, jakie nakłada na niego ustawa, jednakże znaczna część zadań związanych z  przetwarzaniem danych osobowych w ramach firmy, w tym aktualizowanie dokumentacji, szkolenie pracowników itd., spoczywa bezpośrednio na ABI, w przeciwnym razie wykonywać je musi sam ADO. Ciekawą alternatywą w  zakresie optymalizacji przetwarzania danych osobowych jest również powierzenie ich przetwarzania, przykładowo zbierania, innemu podmiotowi.

W jaki sposób można zatem powierzyć przetwarzanie danych osobowych innemu podmiotowi?

Powierzenie przetwarzania danych osobowych następuje poprzez zawarcie pisemnej umowy. Co ważne, umowa ta musi określać zakres oraz cel przetwarzania danych przez podmiot zewnętrzny, ponieważ tylko w  takim zakresie i celu, jaki bezpośrednio wynika z umowy, podmiot ten jest uprawniony do zgodnego z prawem ich przetwarzania. Niekiedy zawarcie takiej umowy będzie konieczne, przykładowo w sytuacji, gdy zebrane przez nas dane przetwarzane będą przez firmę świadczącą usługi marketingowe.

Dlaczego przedsiębiorcy powinni zwrócić szczególną uwagę na prawidłowość stosowanych procedur w zakresie przetwarzania danych osobowych?

Za przetwarzanie danych osobowych w sposób sprzeczny z ustawą o ochronie danych osobowych wyróżnić można trzy kategorie sankcji: administracyjne, karne i cywilne. Sankcje administracyjne to kary grzywny – GIODO ma prawo nakładać je na podmioty, które nie wykonały jego decyzji. Jednorazowo GIODO może nałożyć grzywnę w wysokości 10 tys. złotych w stosunku do osób fizycznych i 50 tys. w stosunku do osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej. Sankcje karne wynikają bezpośrednio z przepisów o ochronie danych osobowych i może być to w zależności od rodzaju uchybienia kara grzywny, ograniczenia wolności, a  nawet pozbawienia wolności. Natomiast sankcje cywilne to odpowiedzialność odszkodowawcza w oparciu o przepisy kodeksu cywilnego o ochronie dóbr osobistych. W tym ostatnim przypadku brak zarówno dolnej, jak i górnej granicy odpowiedzialności, a wysokość roszczeń osób, których dane były przetwarzane sprzecznie z przepisami prawa, będzie z pewnością uzależniona od rodzaju tych danych oraz tego, gdzie miało miejsce ich przetworzenie. Jak się wydaje, szczególnie dotkliwe sankcje mogą mieć miejsce w przypadku, gdy nielegalne przetwarzanie danych osobowych będzie miało miejsce w powszechnie dostępnych serwisach internetowych.

Czy Generalny Inspektor Ochrony Danych Osobowych prowadzi kontrole?

Obowiązkiem ustawowym GIODO jest czuwanie nad właściwym przetwarzaniem danych osobowych i jego działania podejmowane są z urzędu, ale mogą zostać również podjęte na wniosek osoby zainteresowanej.