Ochrona danych osobowych

Dane osobowe ochrona

Ochrona danych osobowych. Czym są dane osobowe?

Ostatnimi czasy często słychać o GIODO, o kontrolach, o ochronie danych osobowych. Ale o co właściwie chodzi? Poniżej tłumaczymy podstawowe zagadnienia związane z ochroną danych osobowych.

Zgodnie z art. 6 ust. 1 ustawy o ochronie danych osobowych, danymi osobowymi są wszelkie informacje, które pozwalają na zidentyfikowanie tożsamości konkretnej osoby fizycznej. Ustawa nie precyzuje, które dane stanowią dane osobowe. Dane osobowe będą to takie dane,  które już na pierwszy rzut oka jako takie zaklasyfikujemy, jak na przykład – imię, nazwisko, wizerunek, numer PESEL, adres zamieszkania, numer telefonu, adres e-mail osoby fizycznej. Ale danymi osobowymi  będą też zestawy danych, które łącznie prowadzą do łatwego zidentyfikowania osoby, np. imię + wiek + miejsce zatrudnienia.

Z danymi osobowymi i ich przetwarzaniem na co dzień ma do czynienia każdy przedsiębiorca – zatrudniając pracowników, nawiązując kontakty z kontrahentami, realizując zamówienia, organizując konkursy na facebooku czy prowadząc sklep internetowy. Przez to, że wszystkie dane osoby fizycznej stanowią jej dobra osobiste, podlegają one szczególnej ochronie prawnej.

Kiedy możemy legalnie przetwarzać dane osobowe?

Aby móc legalnie przetwarzać dane musi zachodzić jedna ze wskazanych w ustawie przesłanek, z których do najczęściej wykorzystywanych w praktyce należą: zgoda osoby, której dane są wykorzystywane, konieczność przetwarzania danych w związku z realizacją obowiązków i uprawnień lub wykonanie zawartej umowy. Oprócz wyżej wskazanej podstawy do przetwarzania danych, przedsiębiorca musi spełnić szereg obowiązków informacyjnych, by móc zgodnie z prawem dane przetwarzać.

Co to jest zbiór danych osobowych?

Zbiór danych osobowych to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów. Zbiór danych osobowych może być prowadzony zarówno w sposób tradycyjny – papierowy, jak i za pomocą systemu informatycznego. Należy jednak pamiętać, że ze zbiorem danych osobowych mamy do czynienia już w momencie gdy kryteria dotyczą danych jednej osoby – tak więc obowiązek rejestracyjny powstaje nawet wtedy, kiedy przedsiębiorca przetwarza wyłącznie dane jednego klienta.

Kiedy powinniśmy stosować przepisy o ochronie danych osobowych?

Z rejestracji zbioru danych osobowych zwolnione są jedynie osoby fizyczne, które przetwarzają dane wyłącznie w celach osobistych lub domowych. We wszystkich innych przypadkach każda baza danych musi zostać objęta technicznymi i prawnymi zabezpieczeniami, które zapewnią jej ochronę, i – o ile nie zachodzi przesłanka zwolnienia – zarejestrowana w GIODO. By wypełnić obowiązki ustawowe przedsiębiorca w pierwszej kolejności powinien powołać Administratora Bezpieczeństwa Informacji, sporządzić i prowadzić niezbędną dokumentację oraz wdrożyć procedury zapewniające odpowiedni poziom zabezpieczeń. Ochrona danych osobowych jest szczególnie istotna w przypadku gdy dane przetwarzane są przy pomocy komputerów podłączonych do internetu, ponieważ ryzyko ingerencji osób trzecich i nieuprawnionego pozyskania danych osobowych jest wtedy najwyższe.

Kiedy mamy obowiązek rejestracji zbioru danych?

Zwolnieniu z rejestracji zbioru danych osobowych podlegają między innymi bazy danych przetwarzanych w związku z zatrudnieniem, świadczeniem usług na podstawie umów cywilnych, czy też przetwarzanych wyłącznie w celu wystawienia faktury lub rachunku. Wyłączenie dotyczy też zbiorów zawierających dane powszechnie dostępne (np. pochodzące z rejestrów). Warto jednak zauważyć, że zwolnieniom podlegają wyłącznie bazy danych pozostają w ścisłym związku z czynnością, której dotyczą wyłączenia. Obowiązek rejestracyjny powstaje natomiast w przypadku gdy przedsiębiorca na przykład do rozliczeń z kontrahentami oprócz fizycznych wydruków faktur VAT wykorzystuje program księgowy, który zapisuje dane kontrahentów (na zawsze). Rejestracji podlegać będą też zbiory danych tworzone na potrzeby przyjmowania zamówień, korespondencji mailowej z klientami, czy prowadzenia wysyłki towarów. Podobna sytuacja zachodzi w przypadku gdy przedsiębiorca rozsyła do swoich kontrahentów newsletter.

Kontrola GIODO? Kary?

GIODO, powołany pierwotnie jedynie w charakterze organu doradczego, otrzymał niedawno szereg uprawnień egzekucyjnych. W przypadku stwierdzenia przetwarzania danych osobowych w sposób niezgodny z przepisami prawa GIODO nałożyć może grzywnę w wysokości do 50 tys. zł w przypadku osób fizycznych oraz do 200 tys. zł w przypadku osób prawnych. Najbardziej dotkliwe mogą okazać się jednak środki karne przewidziane przez ustawę, do najsurowszych należą: kara pozbawienia wolności do lat 2 za przetwarzanie danych, gdy jest to niedopuszczalne, czy też kara pozbawienia wolności do roku za administrowanie danymi z naruszeniem, choćby nieumyślnie, obowiązku zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem.

Przełomem w działalności GIODO, który dotychczas nie dysponował odpowiednią liczbą inspektorów, by skutecznie kontrolować przestrzeganie przepisów prawa w przedsiębiorstwach, było podpisanie w dniu 14 grudnia 2012 r. porozumienia z Państwową Inspekcją Pracy. Inspektorzy PIP-u, po przejściu odpowiedniego przeszkolenia z zakresu prawa ochrony danych osobowych, uprawnieni są do kontroli legalności i prawidłowości przetwarzania danych osobowych w przedsiębiorstwie, które kontrolują. W przypadku stwierdzenia naruszeń prawa zawiadamiają o tym fakcie GIODO, który podjąć może prawem przewidziane środki, a także nałożyć dodatkowe kary.

W szczególności warto wiedzieć!
  • Zbiór danych osobowych należy zarejestrować w GIODO jeszcze przed rozpoczęciem zbierania danych.
  • Zwolnienie z rejestracji zbioru danych osobowych w GIODO nie zwalnia z innych obowiązków przewidzianych w ustawie, na przykład do zapewnienia prawnych i technicznych środków zapewniających ochronę przetwarzanych danych osobowych.
  • Danymi chronionymi są wszystkie dane dotyczące osób fizycznych, również tych, które prowadzą działalność gospodarczą.
  • Przepisy dotyczące ochrony danych osobowych i nałożone przez nie obowiązki dotyczą zarówno sektora prywatnego (osób prawnych, osób fizycznych), jak i organów administracji publicznej, które przetwarzają dane osobowe.

Jest to pierwszy artykuł z cyklu poświęconego ochronie danych osobowych. Będziemy pisać o danych i od strony przetwarzającego – jak nie naruszyć ustawy i od strony osób, których dane są przetwarzane – co robić w przypadku nielegalnego przetwarzania danych.

 

żródło: https://soinlaw.com/blog/faq-o-co-chodzi-w-giodo/

PARTNER