Ochrona danych osobowych

Choć przedsiębiorcy nierzadko jeszcze nie zdają sobie sprawy z wagi i konieczności ochrony danych osobowych, w których są posiadaniu, GIODO podejmuje coraz bardziej zaawansowane kroki mające na celu kontrolowanie przestrzegania prawa i karania podmiotów nielegalnie przetwarzających dane osobowe. Z roku na rok liczba kontroli GIODO rośnie, wzrosły też stawki kar, które grożą przedsiębiorcom za niestosowanie odpowiednich środków zabezpieczeń przetwarzania danych osobowych – organ może nałożyć grzywnę w wysokości do 200 tysięcy złotych lub karę do 2 lat pozbawienia wolności. Co więcej, od dnia 14 grudnia 2012 r., PIP, w przypadku stwierdzenia podczas swojej kontroli nieprawidłowości w zakresie przetwarzania danych osobowych z przepisami o ochronie danych zawiadamia GIODO, który przeprowadza własną kontrolę w tym zakresie.

Jakie środki powinien więc przedsięwziąć przedsiębiorca by zapewnić całkowitą zgodność z prawem przetwarzania danych osobowych w toku prowadzonej działalności gospodarczej? Poniżej opisane zostaną podstawowe zagadnienia dotyczące ochrony danych osobowych w przedsiębiorstwie.

Czym są dane osobowe?

Zgodnie z art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, za dane osobowe uważa się wszelkie informacje, które pozwalają na zidentyfikowanie tożsamości konkretnej osoby fizycznej. Ustawa nie precyzuje, które dane stanowią dane osobowe, jednak zaliczyć do nich można między innymi: imię, nazwisko, wizerunek, numer PESEL, adres zamieszkania, numer telefonu, adres e-mail osoby fizycznej. Z danymi osobowymi i ich przetwarzaniem na co dzień ma do czynienia każdy przedsiębiorca – zatrudniając pracowników, nawiązując kontakty z kontrahentami, realizując zamówienia, czy prowadząc sklep internetowy. Z uwagi na fakt, że wszystkie dane osoby fizycznej stanowią jej dobra osobiste, podlegają one szczególnej ochronie prawnej.

Kiedy możemy legalnie przetwarzać dane osobowe?

Aby móc legalnie przetwarzać dane musi zachodzić jedna ze wskazanych w ustawie przesłanek, z których do najczęściej wykorzystywanych w praktyce należą: zgoda osoby, której dane są wykorzystywane, konieczność przetwarzania danych w związku z realizacją obowiązków i uprawnień wynikających z przepisu prawa lub wykonaniem umowy zawartej między stronami. Oprócz wyżej wskazanej podstawy do przetwarzania danych, przedsiębiorca musi spełnić szereg obowiązków informacyjnych, by móc w pełni zgodnie z prawem dane przetwarzać.

Co to jest zbiór danych osobowych?

Zbiór danych osobowych to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów. Zbiór danych osobowych może być prowadzony zarówno w sposób tradycyjny – papierowy, jak i za pomocą systemu informatycznego. Należy jednak pamiętać, że ze zbiorem danych osobowych mamy do czynienia już w momencie gdy powyższe kryteria dotyczą danych jednej osoby – tak więc obowiązek rejestracyjny powstaje nawet wtedy, kiedy przedsiębiorca przetwarza wyłącznie dane jednego kontrahenta.

Kiedy powinniśmy stosować przepisy o ochronie danych osobowych?

Z rejestracji zbioru danych osobowych zwolnione są jedynie osoby fizyczne, które przetwarzają dane wyłącznie w celach osobistych lub domowych. We wszystkich innych przypadkach każda baza danych musi zostać objęta technicznymi i prawnymi zabezpieczeniami, które zapewnią jej ochronę, i – o ile nie zachodzi przesłanka zwolnienia – zarejestrowana w GIODO. Celem wypełnienia obowiązków ustawowych przedsiębiorca w pierwszej kolejności powinien powołać Administratora Bezpieczeństwa Informacji, sporządzić i prowadzić niezbędną dokumentację oraz wdrożyć procedury organizacyjne zapewniające odpowiedni poziom zabezpieczeń. Ochrona danych osobowych jest szczególnie istotna w przypadku gdy dane przetwarzane są przy pomocy komputerów podłączonych do sieci Internet, ponieważ ryzyko ingerencji osób trzecich i nieuprawnionego pozyskania danych osobowych jest w tym wypadku najwyższe.

Kiedy mamy obowiązek rejestracji zbioru danych?

Zwolnieniu z rejestracji zbioru danych osobowych podlegają między innymi bazy danych przetwarzanych w związku z zatrudnieniem u przedsiębiorcy, świadczeniem usług na podstawie umów cywilnoprawnych, czy też przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Wyłączenie dotyczy również zbiorów zawierających dane powszechnie dostępne. Warto jednak zauważyć, że zwolnieniom podlegają wyłącznie bazy danych pozostają w ścisłym związku z czynnością, której dotyczą wyłączenia. Obowiązek rejestracyjny powstaje natomiast w przypadku gdy przedsiębiorca do rozliczeń z kontrahentami oprócz fizycznych wydruków faktur VAT wykorzystuje program księgowy, który zapisuje dane kontrahentów. Rejestracji podlegać będą również zbiory danych tworzone na potrzeby składania i przyjmowania zamówień, wystawianie protokołów odbioru, czy prowadzenia wysyłki towarów. Podobna sytuacja zachodzi w przypadku gdy przedsiębiorca rozsyła do swoich kontrahentów informację handlową drogą tradycyjną lub elektroniczną, na podstawie listy adresowej. Podkreślenia wymaga wymóg rejestracji zbioru danych osobowych oraz wdrożenia środków zabezpieczających jeszcze przed wprowadzeniem pierwszych danych osobowych do zbioru.

Ryzyko kontroli GIODO

GIODO, powołany pierwotnie jedynie w charakterze organu doradczego, wraz z ostatnimi nowelizacjami ustawy otrzymał szereg uprawnień egzekucyjnych. W przypadku stwierdzenia przetwarzania danych osobowych w sposób niezgodny z przepisami prawa GIODO nałożyć może grzywnę w wysokości do 50 tys. zł w przypadku osób fizycznych oraz do 200 tys. zł w przypadku osób prawnych. Najbardziej dotkliwe mogą okazać się jednak środki karne przewidziane przez ustawę, do najsurowszych należą: kara pozbawienia wolności do lat 2 za przetwarzanie danych w zbiorze gdy jest to niedopuszczalne, czy też kara pozbawienia wolności do roku zaadministrowanie danymi z naruszeniem, choćby nieumyślnie, obowiązku zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem.

Przełomem w działalności GIODO, który dotychczas nie dysponował odpowiednią liczbą inspektorów, by skutecznie kontrolować przestrzeganie przepisów prawa w przedsiębiorstwach, było podpisanie w dniu 14 grudnia 2012 r. porozumienia z Państwową Inspekcją Pracy. Inspektorzy PIP-u, po przejściu odpowiedniego przeszkolenia z zakresu prawa ochrony danych osobowych, uprawnieni są do kontroli legalności i prawidłowości przetwarzania danych osobowych w przedsiębiorstwie, które kontrolują. W przypadku stwierdzenia naruszeń prawa zawiadamiają o tym fakcie GIODO, który podjąć może prawem przewidziane środki, a także nałożyć dodatkowe kary.

W szczególności warto wiedzieć

–Fakt zwolnienia z rejestracji zbioru danych osobowych w GIODO nie zwalnia przedsiębiorcy z innych obowiązków przewidzianych w przepisach o ochronie danych osobowych, w szczególności zaś do zapewnienia prawnych i technicznych środków zapewniających ochronę przetwarzanych danych osobowych.

–Danymi chronionymi są wszystkie dane dotyczące osób fizycznych, również tych, które prowadzą działalność gospodarczą.

–Przepisy dotyczące ochrony danych osobowych i nałożone przez nie obowiązki dotyczą zarówno sektora prywatnego (osób prawnych, osób fizycznych), jak i organów administracji publicznej, które przetwarzają dane osobowe.

Weronika Bednarska