Ochrona danych osobowych - jak nie złamać prawa?

Przeczytaj także: Ochrona danych: 10 najważniejszych zmian

Udostępnienie danych osobowych osobom nieupoważnionym, lub też przetwarzanie danych ujawniających pochodzenie rasowe, etniczne lub poglądy polityczne, zgodnie z przepisami karnymi zawartymi w ustawie o ochronie danych osobowych jest przestępstwem, za które wymierzona może być kara grzywny lub nawet kara pozbawienia wolności do lat 3. Dodatkowo może się to łączyć z utrudnieniami w prowadzeniu działalności gospodarczej polegającymi chociażby na kontroli ze strony Inspektora Ochrony Danych Osobowych, która wiąże się zazwyczaj z koniecznością składania wyjaśnień oraz przesłuchaniami pracowników przedsiębiorstwa. Niejednokrotnie dochodzi także do zabezpieczenia funkcjonujących w przedsiębiorstwie urządzeń i nośników danych.

Wobec powyższego, tematu tego nie można bagatelizować a zasadniczą kwestią jest określenie co tak naprawdę należy rozumieć przez pojęcie „dane osobowe”?. Odpowiedź na to pytanie odnajdujemy w samej ustawie. Dane osobowe, jak wskazuje ustawa są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Chodzi zatem o informacje, na podstawie których bezpośrednio lub pośrednio można ustalić tożsamość danej osoby fizycznej. Przykładowo, mogą to być: adres mailowy zawierający w sobie nazwisko danej osoby, NIP, adres IP komputera czy też notatka opisująca cechy konkretnej osoby, które pozwalają na jej identyfikację.

Co ważne, ochronie podlegają jedynie te dane osobowe, które zgormadzone są w zbiorach danych lub w systemach teleinformatycznych, choćby były przetwarzane (tzn. zbierane, utrwalane, przechowywane, opracowywane, zmieniane, udostępniane, usuwane itp.) poza zbiorem danych. Aby łatwiej było zrozumieć sens powyższego zdania, a także ogólnej problematyki ochrony danych osobowych warto poznać także definicję zbioru danych oraz systemu teleinformatycznego, które wielokrotnie pojawiają się w ustawie. Tak więc przez zbiór danych należy rozumieć zestaw danych uporządkowanych w ten sposób, że konkretne dane można wyszukać na podstawie określonego kryterium (np. numeru PESEL lub daty zamieszczenia danych w zbiorze). Z kolei przez system teleinformatyczny rozumie się zespół współpracujących ze sobą urządzeń (komputer), programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

Zobowiązanymi do ochrony danych osobowych są m.in. osoby fizyczne (także te prowadzące jednoosobową działalność gospodarczą), osoby prawne (w tym spółki kapitałowe tj. akcyjna, spółka z ograniczoną odpowiedzialnością, spółdzielnia, uczelnia wyższa) oraz jednostki organizacyjne niebędące osobami prawnymi (np. spółki kapitałowe w organizacji, spółka jawna, partnerska, komandytowa), którzy przetwarzają je w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

Jednym z elementów ochrony, jest ciążący na administratorze danych, czyli podmiocie zobowiązanym do ich ochrony, obowiązek ich zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, w skrócie GIODO. Zaniechanie temu obowiązkowi podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Nowelizacja ustawy ze stycznia 2015 r. z obowiązku rejestracji zbiorów danych osobowych - z wyjątkiem zbiorów zawierających tzw. dane wrażliwe – zwolniony został administrator danych, który powołał dla swojej jednostki administratora bezpieczeństwa informacji, będącego osobą fizyczną posiadającą odpowiednią wiedzą w zakresie ochrony danych osobowych. Osobę taką należy zgłosić Generalnemu Inspektorowi do rejestracji. Warto zatem rozważyć w większych przedsiębiorstwach powołanie takiego stanowiska.

Ustawa przewiduje również inne przypadki, w których administrator danych zwolniony został z obowiązku rejestracji zbioru danych. Przykładowo, będzie to miało miejsce, gdy są to dane przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej a także danych powszechnie dostępnych.

Zgłoszenia zbioru danych do rejestracji dokonać należy co do zasady już przed rozpoczęciem przetwarzania danych Wyjątek stanowi zgłoszenie danych wrażliwych wówczas to rejestracji należy dokonać jeszcze przed przystąpieniem do zbierania tego typu danych.

Wbrew pozorom, przedmiotem zgłoszenia nie są posiadane przez przedsiębiorcę dane osobowe! Zgłoszenie dotyczy właściwie jedynie samego faktu posiadania zbioru danych, ich rodzaju, kategorii osób, których dane dotyczą, sposobu zbierania oraz udostępniania danych, sposobu i zakresu zabezpieczenia danych.

Zgłoszenia dokonuje się na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji. Wygodną formą jest dokonanie zgłoszenia za pomocą aplikacji dostępnej na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych, które następnie trzeba uzupełnić w formie papierowej.

Pamiętać należy, że obowiązkiem administratora danych jest również informowanie osoby, której zbierane przez niego dane dotyczą o adresie swojej siedziby lub miejscu zamieszkania, pełnej nazwie, celu zbierania danych, prawie dostępu do treści swoich danych oraz ich poprawiania, dobrowolności albo obowiązku podania danych i jego podstawie prawnej.