Niemal każdy przedsiębiorca przetwarza dane osobowe. Dlatego, zwłaszcza Ci będący administratorami danych osobowych, powinni zagłębić się w świat tych danych, w którym roi się od paragrafów i obowiązków. Dziś im to trochę ułatwimy.
Obowiązki związane z przetwarzaniem danych osobowych wynikają z ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku. Organem do spraw danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych zwany GIODO. Tyle słowem wstępu, a teraz do rzeczy.
1. Czym są dane osobowe?
Zgodnie z prawem przez dane osobowe rozumie się każdą informację dotyczącą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Jeśli dana informacja lub kilka informacji umożliwia, bez nadmiernych kosztów, zidentyfikowanie osoby mamy do czynienia z danymi osobowymi.
Daną osobową może być nawet adres e-mail, w którym nie ma imienia i nazwiska. Będzie to miało miejsce np. w sytuacji, w której po wpisaniu tego adresu w wyszukiwarkę internetową dowiecie się, do kogo on należy. Zidentyfikowanie tej osoby na podstawie jej adresu e-mail nie wymagało nadmiernych kosztów, więc nie ma wątpliwości, że mamy do czynienia z daną osobową. Dany rodzaj informacji o osobie w jednym przypadku może być daną osobową, a w drugim już nie – należy to rozpatrywać indywidualnie.
2. Przetwarzanie danych
Wszelkie operacje, przede wszystkim w systemach informatycznych, na danych osobowych (w tym: zbieranie, utrwalanie, przechowywanie czy opracowywanie) stanowią przetwarzanie danych. Tym samym cokolwiek robisz z danymi – przetwarzasz je.
Osobę, której dane przetwarzasz powinieneś poinformować m.in. o:
- swojej nazwie i siedzibie (jeśli jesteś osobą fizyczną o miejscu zamieszkania oraz imieniu i nazwisku),
- celu zbierania danych,
- prawie dostępu do nich,
- dobrowolności lub obowiązku podania danych (przy obowiązku należy podać jego podstawę prawną).
Jeśli danych nie otrzymałeś od osoby, której te dane dotyczą, powinieneś przekazać jej jeszcze dodatkowe informacje określone w art. 25 ustawy o ochronie danych osobowych.
3. Kiedy można przetwarzać dane osobowe?
Dane osobowe można przetwarzać tylko w określonych w art. 23 ustawy o ochronie danych osobowych przypadkach. Najczęstszą podstawą przetwarzania danych osobowych przez przedsiębiorców są:
- zgoda osoby, której dane dotyczą (np. na przetwarzanie danych w celu marketingu),
- realizacja umowy, a także czynności do niej zmierzającej, jeśli jej stroną jest osoba, której dane dotyczą,
- wypełnienie prawnie usprawiedliwionych celów realizowanych przez administratorów danych osobowych (np. windykacja należności),
- realizacja uprawnienia lub spełnienie obowiązku wynikającego z przepisu prawa.
4. Dane wrażliwe
Ustawa wyróżnia tzw. dane wrażliwe, które reguluje w szczególny, bardziej restrykcyjny, sposób. Zasadą jest tutaj zakaz przetwarzania danych. Wyjątkiem, określonym w art. 27 ustawy o ochronie danych osobowych, jest np. sytuacja: osoba, której dane dotyczą, wyrazi pisemną zgodę na ich przetwarzanie (pamiętaj, że np. zwykły e-mail nie jest formą pisemną!).
Danymi wrażliwymi są dane ujawniające m.in.:
- poglądy polityczne,
- przekonania religijne,
- stan zdrowia.
5. Administrator danych osobowych
Jeśli decydujesz o celach i środkach przetwarzania danych osobowych – jesteś ich administratorem, co wiąże się dla Ciebie z wieloma obowiązkami.
6. Zbiór danych osobowych
Jeśli przetwarzany przez Ciebie zestaw danych osobowych posiada strukturę i jest dostępny według określonych kryteriów, to mamy do czynienia ze zbiorem danych osobowych.
Zgodnie z wyjaśnieniem ze strony internetowej Generalnego Inspektora Ochrony Danych Osobowych:
Żeby jakikolwiek zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów ustawy o ochronie danych osobowych wystarczające jest kryterium umożliwiające odnalezienie danych osobowych w zestawie. Wyszukiwanie według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych.
7. Zgłoszenie zbioru danych osobowych
Co do zasady administrator danych powinien zarejestrować zbiór danych u Generalnego Inspektora Ochrony Danych Osobowych. W zgłoszeniu (przygotowanym na odpowiednim formularzu) należy m.in.:
- oznaczyć administratora danych,
- wskazać cel przetwarzania danych,
- opisać kategorie osób, których dane dotyczą.
Zgłoszenie zbioru nie podlega opłacie skarbowej.
Możesz rozpocząć przetwarzanie danych w zbiorze już od momentu zgłoszenia tego zbioru, a więc nie musisz czekać na zarejestrowanie go przez GIODO, pod warunkiem że nie przetwarzasz danych wrażliwych – wówczas musisz poczekać z przetwarzaniem do momentu zarejestrowania zbioru.
8. Dlaczego trzeba zgłosić zbiór?
Przede wszystkim ze względu na sankcje karne, które wiążą się z niezgłoszeniem zbioru do rejestracji. Zgodnie z ustawą o ochronie danych osobowych osoba, która nie wypełnia obowiązku zgłoszenia zbioru, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
9. Kiedy nie trzeba zgłaszać zbioru?
Artykuł 43 ust. 1 ustawy o ochronie danych osobowych określa sytuacje, w których administrator danych osobowych nie musi zgłaszać zbioru do rejestracji. Wśród tych wyłączeń są m.in. zbiory zawierające dane:
- pracowników zatrudnionych u administratora,
- osób świadczących administratorowi usługi na podstawie umów cywilnoprawnych (np. umowa o dzieło lub zlecenie),
- przetwarzane wyłącznie w celu wystawienia faktury lub rachunku, a także prowadzenia sprawozdawczości finansowej,
- powszechnie dostępne,
- przetwarzane w zakresie drobnych bieżących spraw życia codziennego (np. w przypadku dokonania rezerwacji stolika w restauracji),
- przetwarzane w zbiorach prowadzonych poza systemami informatycznymi (np. dane klientów przedsiębiorcy przechowywane tylko w segregatorach). Wyłączenie to nie dotyczy danych wrażliwych!
Ponadto jeśli jako administrator danych powołasz administratora bezpieczeństwa informacji, którego zgłosisz Generalnemu Inspektorowi Danych Osobowych – także nie musisz zgłaszać zbioru, pod warunkiem że nie przetwarzasz danych wrażliwych.
10. Polityka bezpieczeństwa i Instrukcja zarządzania systemem informatycznym
Jeśli jesteś administratorem danych, powinieneś prowadzić dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne, które zapewniają ochronę przetwarzanych danych – na tę dokumentację składają się właśnie: Polityka bezpieczeństwa i Instrukcja zarządzania systemem informatycznym.
W przypadku zgłaszania zbioru danych osobowych nie przedstawiasz tych dokumentów – musisz je po prostu mieć, zwłaszcza w przypadku kontroli GIODO.
