Informacje o klientach nie mogą być dowolnie przetwarzane

Źródłem obowiązków nakładanych na administratorów danych osobowych jest ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych. Określa ona zasady postępowania przy przetwarzaniu danych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane.

Administrator, czyli kto

Administratorem danych osobowych jest m.in. podmiot, który przetwarza dane osobowe w związku z prowadzoną przez siebie działalnością zarobkową, zawodową lub statutową oraz ma siedzibę albo miejsce zamieszkania na terytorium Polski. Podmiot z siedzibą w państwie trzecim może być uznany za administratora danych osobowych, jeżeli przetwarza dane przy wykorzystaniu środków technicznych (np. serwerów) znajdujących się na terytorium Polski.

W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Najpierw zgłoszenie

Już przed zebraniem informacji osobowych na administratorze ciąży obowiązek zgłoszenia zbioru danych do rejestracji generalnemu inspektorowi ochrony danych osobowych. Obowiązek zgłoszenia danych osobowych następuje niezwłocznie po rozpoczęciu działalności, tj. przed pozyskaniem pierwszych danych.

Wyjątkowo rejestracja nie będzie konieczna, w przypadku gdy dane przetwarzane są wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Kolejnym istotnym dla przedsiębiorcy wyjątkiem od obowiązku zgłoszenia zbioru są dane przetwarzane w związku z zatrudnieniem konkretnej osoby u przedsiębiorcy (co obejmuje również proces rekrutacji), a także dane osób świadczących usługi na podstawie umów cywilnoprawnych. Jeżeli dane wykorzystywane są tylko do powyższych celów - nie ma obowiązku rejestracji bazy. Sytuacja zmieni się w momencie, kiedy przedsiębiorca będzie chciał korzystać z tych danych np. w celach marketingowych - wówczas rejestracja będzie wymagana.

Zbiór danych osobowych powinien być uporządkowany w sposób, który daje możliwość wyszukania konkretnych danych według określonego kryterium. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. nazwisko) lub nieosobowego (np. data zamieszczenia danych) przesądza o uporządkowanym charakterze zestawu.

Zgłoszenia zbioru danych należy dokonać na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (patrz www.giodo.gov.pl).

Przedsiębiorca może rozpocząć zbieranie danych osobowych jeszcze przed rejestracją. Wyjątkiem jest przypadek, gdy administrator danych osobowych zamierza przetwarzać dane szczególnie chronione (dot. np. poglądów politycznych). Zbieranie tego typu danych będzie możliwe dopiero po zarejestrowaniu zbioru.

Przed pobraniem danych

Kolejnym obowiązkiem administratora powstałym już na etapie gromadzenia danych osobowych jest wymaganie udzielenia rzetelnej informacji o celu ich zbierania. Administrator jest również zobowiązany jeszcze przed pobraniem danych osobowych do podania osobie, która zamierza wyrazić zgodę na przetwarzanie swoich danych osobowych, pełnej nazwy przedsiębiorcy oraz miejsca jego siedziby (osoba prawna) lub, w przypadku gdy przedsiębiorcą jest osoba fizyczna, imienia, nazwiska oraz miejsca zamieszkania.

Administrator ma również poinformować o dobrowolności albo, w przypadku gdy obowiązek taki istnieje, o konieczności podania danych osobowych, oraz uprzedzić o prawie dostępu do ich treści oraz możliwości ich poprawiania. Regulacja ta stanowi minimum informacji, jakich należy udzielić osobie, której dotyczą zbierane dane.

Powyższe informacje należy przekazywać indywidualnie. Nie należy poprzestać np. na ogłoszeniu wywieszonym w miejscu powszechnie dostępnym.

Konieczna zgoda

Administrator danych osobowych musi zapewnić, aby ich przetwarzanie odbywało się w sposób legalny. Z punktu widzenia przedsiębiorcy najważniejszą i wystarczającą przesłanką legalizującą jego działania jest uzyskanie zgody osoby, której dane dotyczą. Zgoda może mieć charakter indywidualny, tj. upoważniać tylko jeden podmiot do ich przetwarzania, ale może odnosić się także do dalszych dysponentów zbioru. W tym zakresie zgoda będzie skuteczna jednak tylko wtedy, gdy dalsi dysponenci zostaną wskazani przed wyrażeniem zgody, a cel przetwarzania danych będzie tożsamy.

Administrator danych osobowych musi wykazać się szczególną starannością przy przetwarzaniu danych osobowych, aby zapewnić ochronę interesów osób, których dane są przetwarzane. W szczególności administrator powinien zapewnić, aby dane były zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami. W związku z tym jest on zobowiązany do stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną oraz do prowadzenia dokumentacji, z której powinno wynikać, jakie dane, kiedy i przez kogo zostały wprowadzone do zbioru i komu są przekazywane.

Obowiązek ten wynika z rozporządzenia ministra spraw wewnętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

W rozporządzeniu tym określony został również zakres obowiązku prowadzenia dokumentacji, która obejmuje przede wszystkim dwa dokumenty: politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Rozporządzenie określa elementy składowe, jakie dokumentacja powinna zawierać, jak np. wykaz budynków, pomieszczeń, w których przetwarzane są dane lub sposób przepływu danych pomiędzy poszczególnymi systemami. Nie wystarczy, aby dokumenty znajdowały się fizycznie w siedzibie czy miejscu pracy przedsiębiorcy, muszą one zostać upowszechnione wśród osób przetwarzających dane.

Ewidencja osób upoważnionych

Administrator musi również prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych i tylko te osoby, upoważnione przez administratora, mogą mieć dostęp do danych osobowych. Ewidencjonowanie uprawnionych do przetwarzania danych osób jest niezależne od tego, czy przetwarzanie danych dokonywane jest w sposób tradycyjny, czy w systemie informatycznym (inaczej niż przed 2004 r.). Ustawa o ochronie danych osobowych nie reguluje jednak kwestii kwalifikacji czy innych wymagań stawianych przed osobami zatrudnionymi przy przetwarzaniu danych, pozostawiając ten obszar uznaniu administratora. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować te dane oraz sposób ich zabezpieczania w tajemnicy, co zagrożone jest sankcjami karnymi przewidzianymi w ustawie o ochronie danych osobowych oraz kodeksie karnym.

Środki zabezpieczenia danych mogą być różnego rodzaju, od rozwiązań architektoniczno-budowlanych, poprzez systemy alarmowe i służby ochrony - ustawodawca pozostawia tę kwestię wyborowi administratora.

Udzielenie informacji

Obowiązek udzielenia informacji o zakresie przetwarzania danych osobie, której one dotyczą, jest kolejnym obowiązkiem administratora. Informacja powinna być udzielona w terminie 30 dni od otrzymania wniosku zainteresowanej osoby oraz, na jej żądanie, przedstawiona na piśmie. Nawet jeżeli osoba zainteresowana nie wyrazi chęci uzyskania odpowiedzi na piśmie, dogodniej ze względów dowodowych w razie ewentualnego sporu jest jej udzielić właśnie w tej formie.

Jeżeli osoba fizyczna uważa, że dane jej dotyczące wymagają uzupełnienia, uaktualnienia bądź sprostowania lub też zażąda czasowego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru - administrator ma obowiązek zastosowania się do tego bez zbędnej zwłoki. Administrator, który udostępnia zbiory danych innym administratorom, obowiązany jest w takiej sytuacji do poinformowania ich o dokonanym uaktualnieniu bądź sprostowaniu danych.

Organem uprawnionym do badania, czy administrator wywiązuje się z obowiązków, są inspektorzy danych osobowych. W tym zakresie przedsiębiorca zobowiązany jest do umożliwienia im dokonania czynności kontrolnych.

Nieprzestrzeganie przez przedsiębiorcę powyższych obowiązków zagrożone jest surowymi sankcjami, takimi jak grzywna, kara ograniczenia lub nawet pozbawienia wolności.

Rejestracja zbioru danych

● wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,

● oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru,

● cel przetwarzania danych,

- opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,

● sposób zbierania oraz udostępniania danych,

- informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,

● opis środków technicznych i organizacyjnych,

● informację o sposobie wypełnienia warunków technicznych i organizacyjnych,

● informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Uwaga

Okres przetwarzania danych osobowych nie powinien być dłuższy, niż jest to konieczne dla osiągnięcia zamierzonego celu przetwarzania

@RY1@i02/2012/011/i02.2012.011.21500060b.803.jpg@RY2@

Olga Kotarska, BMSP Boryczko Malinowska Świątkowski i Partnerzy

Olga Kotarska

BMSP Boryczko Malinowska Świątkowski i Partnerzy

Podstawa prawna

Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 nr 101, poz. 926 z późn. zm.)

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024)

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. nr 229, poz. 1536).