Przedsiębiorcy są odpowiedzialni za przetwarzanie danych osobowych oraz ich ochronę. Przepisy ustawy o ochronie danych osobowych szczegółowo określają zasady postępowania z tymi danymi. Przewidują także surowe kary za naruszenie tych zasad. W publikacji przedstawiamy, co powinien zrobić przedsiębiorca, aby można było powiedzieć, że legalnie, zgodnie z prawem, przetwarza te dane. Celem publikacji jest ułatwienie przedsiębiorcy sporządzenia dokumentacji, której prowadzenie nakazują przepisy związane z ochroną danych osobowych.
Kto podlega przepisom o ochronie danych osobowych
Każde przedsiębiorstwo lub inna jednostka organizacyjna zatrudniająca choćby jednego pracownika lub posiadająca w jakiejkolwiek formie dane klientów będących osobami fizycznymi przetwarza dane osobowe w rozumieniu ustawy o ochronie danych osobowych. Przetwarzając je jako administratorzy danych, podlegają ustawie o ochronie danych osobowych (dalej: ustawa). Jeżeli zatem dane osobowe przetwarzane są przez osoby fizyczne, prawne lub jednostki organizacyjne niebędące osobami prawnymi, w związku z działalnością zarobkową lub zawodową albo dla realizacji celów statutowych - ustawa będzie miała do nich zastosowanie (art. 3 ust. 2 pkt 2 ustawy). Ustawie nie podlegają jedynie dane przetwarzane przez osoby fizyczne "wyłącznie w celach osobistych lub domowych" (art. 3a pkt 1).
ENCYKLOPEDIA KSIĘGOWEGO
Dane osobowe - informacje o osobach fizycznych. Dotyczą one osoby zidentyfikowanej lub możliwej do zidentyfikowania bezpośrednio (np. na podstawie danych posiadanych przez administratora) lub pośrednio (na podstawie danych, do których administrator jest w stanie stosunkowo łatwo dotrzeć - bez nadmiernych kosztów, czasu lub działań). Nie ma ustawowego katalogu danych osobowych, jednak wskazuje się, że danymi osobowymi są w szczególności numer identyfikacyjny, czynniki określające cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Dane osobowe mogą mieć formę alfabetyczną, cyfrową, zdjęcia, video, dźwięku lub np. danych biometrycznych (odciski palców, obraz tęczówki). Np. adres e-mail może stanowić dane osobowe - art. 6 ustawy.
Przetwarzanie danych osobowych - jakiekolwiek operacje wykonywane na danych osobowych od ich zebrania do usunięcia. Przykładowo: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie (niszczenie danych osobowych lub ich modyfikacja, która uniemożliwia ustalenie tożsamości osoby, której dane dotyczą). Przetwarzanie może się odbywać w systemie informatycznym lub metodami tradycyjnymi (w segregatorach, skorowidzach, księgach).
PRZYKŁAD
Spółka z o.o. posiada bazę danych klientów, w której są oni identyfikowani jedynie numerami telefonów lub adresami e-mail. W bazie nie ma ich imion, nazwisk lub adresów. Nawet w takiej sytuacji baza ta stanowi zbiór danych osobowych. Numer telefonu czy adres e-mail dają bowiem możliwość określenia tożsamości osób umieszczonych w bazie. Spółka ma zatem obowiązek ochrony tej bazy zgodnie z ustawą o ochronie danych osobowych. Potwierdza to Główny Inspektor Ochrony Danych Osobowych (dalej: GIODO) w decyzji nr DISDEC-42/1511 oraz Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 3 lutego 2010 r. (sygn. akt II SA/Wa 1598/09).
Przetwarzanie danych "wrażliwych"
Przez dane wrażliwe należy rozumieć dane osobowe wymienione w art. 27 ust. 1 ustawy i obejmujące "pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń w postępowaniu sądowym lub administracyjnym". Przedsiębiorcy powinni pamiętać, że takie dane można przetwarzać wyłącznie, gdy zrealizowane są przesłanki ujęte w art. 27 ust. 2 pkt 1-10 (w szczególności muszą uzyskać pisemną zgodę osoby, której dane są przetwarzane).
Obowiązki wyznaczone administratorowi danych osobowych
Przedsiębiorca tworzący bazę danych osobowych staje się ich administratorem. Tym samym spoczywają na nim określone ustawą obowiązki i ponosi odpowiedzialność za przetwarzanie danych niezgodnie z ustawą o ochronie danych osobowych.
Podstawowe obowiązki administratora danych to:
1) spełnienie wskazanych w ustawie przesłanek legalizujących przetwarzanie danych osobowych,
2) obowiązek informacyjny związany z pozyskaniem danych,
3) obowiązek dochowania szczególnej staranności przy przetwarzaniu danych, w celu ochrony interesów osób, których dane dotyczą,
4) obowiązek zabezpieczenia danych,
5) obowiązek prowadzenia dokumentacji związanej z przetwarzaniem danych osobowych,
6) obowiązek zgłoszenia zbioru danych osobowych do rejestru zbiorów danych prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO), z wyłączeniem sytuacji przetwarzania danych w zbiorze zwolnionym z obowiązku rejestracji.
Posiadający dane osobowe podmiot gospodarczy (dalej: administrator danych) powinien zatem:
Krok 1. Sprawdzić, czy posiada je legalnie. Jeżeli nie, zniszczyć dane lub zadbać o ich legalizację.
Krok 2. Poinformować osoby, których dane osobowe posiada, o ich prawach, jeżeli wymagają tego przepisy.
Krok 3. Zabezpieczyć posiadane dane poprzez m.in. wykluczenie do nich dostępu osób nieupoważnionych. Obejmuje to przechowywanie dokumentów w zabezpieczonych miejscach.
Krok 4. Stworzyć dokumentację przetwarzania danych osobowych (składającą się m.in. z Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym).
Krok 5. Powołać Administratora Bezpieczeństwa Informacji (dalej: ABI) i zgłosić ten fakt do GIODO lub nie powoływać ABI i sprawdzić, czy posiadane zbiory danych osobowych podlegają rejestracji w GIODO.
W dalszej części publikacji podpowiadamy, co kryje się za poszczególnymi krokami.
1. Legalizacja przetwarzania danych osobowych
Administrator danych powinien być w stanie prawnie uzasadnić fakt przetwarzania przez siebie określonych danych osobowych. Często w tym celu konieczne jest prawidłowe uzyskanie zgody osoby, której dane są przetwarzane. Należy przy tym pamiętać, że "zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści" (art. 7 pkt 5 ustawy). Zgoda może być odwołana w każdym czasie. W ramce przedstawiamy wzór takiej zgody, która może stanowić np. element umowy o świadczenie usług księgowych.
Wzór. Zgoda na przetwarzanie danych osobowych dla celów świadczenia usług księgowych
To, czy w danym przypadku konieczne będzie uzyskanie zgody osoby, której dane są przetwarzane, zależy od tego, jakie dane będą przetwarzane i w jakim celu.
PRZYKŁAD
Sp. z o.o. zatrudnia 20 pracowników. Jako ich pracodawca nie potrzebuje odrębnej zgody na przetwarzanie ich danych osobowych. Wynika to z tego, że jest uprawniona do ich przetwarzania na podstawie art. 221 § 5 Kodeksu pracy. Dodatkowo przepisy ustawy o ochronie danych osobowych uznają za wystarczającą podstawę do przetwarzania danych "konieczność realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną, lub podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą" (art. 23 ust. 1 pkt 3 ustawy). To spółka ma jednak obowiązek wykazania, że przetwarzane przez nią dane są konieczne do realizacji umowy lub podjęcia działań mających zakończyć się jej zawarciem.
Pozostałe prawne podstawy przetwarzania danych osobowych to:
● konieczność zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
● konieczność realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Oznacza to m.in., że pozyskiwanie i przechowywanie danych klientów w celu sprzedaży nie wymaga zgody, ponieważ przetwarzane są w celu realizacji umowy. Jednak w przypadku np. wysyłania mailingu z informacjami o nowościach w asortymencie sklepu konieczne będzie uzyskanie dodatkowo zgody na otrzymywanie informacji handlowych drogą elektroniczną,
● konieczność wykonania określonych prawem zadań realizowanych dla dobra publicznego. Eksperci twierdzą, że przez "zadania realizowane dla dobra publicznego" - należy rozumieć zadania o charakterze użyteczności publicznej. Wśród nich można wskazać zadania wymienione w ustawie o samorządzie gminnym, np. edukację publiczną,
● konieczność wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, pod warunkiem że przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Przykładami takich prawnie usprawiedliwionych celów jest:
1) marketing bezpośredni własnych produktów lub usług administratora danych,
2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej
(art. 23 ust. 1 pkt 2-5 i ust. 4 ustawy).
2. Obowiązki informacyjne
Administrator danych osobowych jest zobowiązany do poinformowania osób, których dane przetwarza, o:
● adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
● celu zbierania danych, a w szczególności o znanych administratorowi danych osobowych w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
● prawie dostępu do treści swoich danych oraz ich poprawiania,
● dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej (art. 24 ust. 1 pkt 1-4 ustawy).
Bardzo praktyczne jest, by wymienione informacje były elementem zawieranych umów, regulaminów świadczenia usług lub zgód na przetwarzanie danych osobowych (zob. wzór zgody na przetwarzanie danych osobowych dla celów świadczenia usług księgowych).
PRZYKŁAD
Firma marketingowa nabyła bazę danych osobowych od innej firmy kończącej działalność. W tej sytuacji powinna powiadomić każdą osobę o tym, że przetwarza jej dane. Obowiązek ten wynika z art. 25 ust. 1 ustawy. Takie stanowisko zajął m.in. WSA w Warszawie w wyroku z 22 stycznia 2004 r. (sygn. akt II SA 2665/2002).
3. Obowiązek dochowania szczególnej staranności przy przetwarzaniu danych
Obowiązek ten oznacza, że administrator danych zapewnia, iż przetwarzanie przez niego danych osobowych jest zgodne z następującymi zasadami:
● legalności - przetwarzanie opiera się na jednej z podstaw wskazanych w ustawie o ochronie danych osobowych, odbywa się na zasadach określonych w tej ustawie, a także jest zgodne z postanowieniami innych ustaw (np. ustawy o rachunkowości, ustaw podatkowych, Kodeksu pracy),
● celowości - administrator zbiera dane osobowe dla wyraźnie oznaczonych, zgodnych z prawem celów,
● związania celem przetwarzania - zabronione jest przetwarzanie danych osobowych niezgodne z celem, dla którego zostały zebrane,
● merytorycznej poprawności - obowiązkiem administratora jest dbanie o to, by przetwarzane przez niego dane osobowe były prawdziwe i aktualne,
● adekwatności - zakres przetwarzanych danych osobowych musi być adekwatny do celu, w jakim są one przetwarzane; zabronione jest przetwarzanie danych osobowych w zakresie szerszym, niż jest to niezbędne dla realizacji celu przetwarzania,
● ograniczonego czasu przetwarzania - dane osobowe mogą być przetwarzane tylko przez czas niezbędny do realizacji celu ich przetwarzania; gdy cel ten wygasa, konieczne jest usunięcie danych (art. 26 ustawy).
Zapewnienie realizacji praw osób, których dane są przetwarzane. Administrator danych musi pamiętać, że osoby, których dane są przetwarzane, mają określone uprawnienia wymienione w art. 32-35 ustawy. Jest to prawo do kontroli przetwarzania danych osobowych. Prawo to można zrealizować poprzez wniesienie sprzeciwu wobec przetwarzania danych osobowych (art. 32 ust. 1 pkt 8 ustawy). Oznacza to możliwość wniesienia sprzeciwu wobec przetwarzania własnych danych osobowych. Prawo do wniesienia sprzeciwu nie przysługuje, gdy osoba wyraziła zgodę na przetwarzanie danych przez danego administratora oraz wtedy, gdy możliwość przetwarzania danych wynika z przepisów prawa. Należy pamiętać, że możliwe jest cofnięcie zgody na przetwarzanie danych w celach marketingowych. Z definicji zgody zawartej w art. 7 pkt 5 ustawy o ochronie danych osobowych wynika bowiem, że zgoda na przetwarzanie danych osobowych może być odwołana w każdym czasie. Niezastosowanie się do prawidłowo wniesionego sprzeciwu i dalsze przetwarzanie danych stanowi przestępstwo zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2 (art. 49 ust. 1 ustawy).
4. Obowiązek zabezpieczenia danych
Przetwarzający dane osobowe mają obowiązek odpowiedniego ich zabezpieczenia przed udostępnieniem osobom nieupoważnionym, zabraniem przez osoby nieuprawnione, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Aby zrealizować ten obowiązek, administrator danych powinien stosować środki techniczne i organizacyjne odpowiednie do kategorii przetwarzanych danych oraz występujących zagrożeń. Wykaz tych środków zawiera rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania tych danych. Sposób zabezpieczenia należy udokumentować w tzw. Polityce Bezpieczeństwa. Przedstawiamy przykład takiego udokumentowania.
Wzór. Wyciąg z Polityki Bezpieczeństwa
Powierzenie przetwarzania danych osobowych. Jednym z przejawów zabezpieczenia danych osobowych jest powierzenie ich przetwarzania wyłącznie osobom upoważnionym, zapoznanym z zasadami ochrony tych danych. Administrator danych musi pamiętać, że ich powierzanie osobom nieupoważnionym naraża go na sankcje karne, o których piszemy na końcu publikacji. Administrator danych, działając osobiście lub poprzez osoby upoważnione (jak Administrator Bezpieczeństwa Informacji), powinien zatem zadbać, by dostęp do danych miały tylko osoby pisemnie upoważnione. Przedstawiamy wzór takiego upoważnienia dla pracownika.
Wzór. Upoważnienie pracownika do przetwarzania danych osobowych
W ramach zachowania szczególnej staranności przy przetwarzaniu danych osobowych warto także zwrócić uwagę na sytuacje, w których powierzamy przetwarzanie zebranych przez nas danych osobowych podmiotom zewnętrznym (np. zlecamy usługi księgowe biuru rachunkowemu).
Takie powierzenie powinno odbywać się na podstawie umowy powierzenia, która:
● powinna mieć formę pisemną,
● określać zakres i cel przetwarzania danych (art. 31 ustawy).
Przetwarzający, któremu powierzono dane:
● nie może wykraczać poza oznaczony w umowie zakres oraz cel,
● musi mieć wdrożony system przetwarzania danych osobowych zgodny z art. 36-39a ustawy (w tym z rozporządzeniem do art. 39a wymagającym wdrożenia Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym, jeżeli dane są przetwarzane w systemie informatycznym).
Warto dodać, że nie ma obowiązku informowania osób, których dane dotyczą, o fakcie przekazania danych. Wynika to z tego, że przetwarzający dane na podstawie takiej umowy nie jest odbiorcą danych w rozumieniu art. 7 pkt 6 lit. d) ustawy.
5. Obowiązek prowadzenia dokumentacji przetwarzania danych osobowych
Jednym z najważniejszych obowiązków przetwarzających dane osobowe jest posiadanie odpowiedniej dokumentacji. Obowiązek ten wynika z art. 36 ust. 2 ustawy. Zakres dokumentacji określono w rozporządzeniu w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. W dokumentacji warto zawrzeć także wzory odpowiednich formularzy (regulaminów, upoważnień) niezbędnych do prawidłowej ochrony danych osobowych. Integralną częścią dokumentacji jest Polityka Bezpieczeństwa wraz z załącznikami oraz Instrukcja Zarządzania Systemem Informatycznym.
Obowiązek prowadzenia dokumentacji nie jest zależny od tego, czy zbiory danych osobowych podlegają rejestracji w GIODO. Zwolnienie z obowiązku zgłoszenia do rejestracji bazy danych osobowych (patrz pkt 6) nie jest bowiem równoznaczne ze zwolnieniem od obowiązku zabezpieczenia danych osobowych. Tym samym nawet w przypadku gdy jedynymi danymi osobowymi przetwarzanymi w przedsiębiorstwie są dane wyłączone spod obowiązku rejestracji (np. dane osobowe pracowników), będzie zachodziła konieczność prowadzenia dokumentacji.
5.1. Dokumentacja przetwarzania danych osobowych
Dokumentacja przetwarzania danych osobowych powinna zawierać:
1. Definicje niezbędne do zrozumienia ustawowych zasad ochrony danych osobowych.
2. Opis obowiązków administratora danych osobowych.
3. Opis przesłanek legalizujących przetwarzanie danych.
4. Dokumenty administratora danych osobowych (takie jak Polityka Bezpieczeństwa Przetwarzania Danych Osobowych i Instrukcja Zarządzania Systemem Informatycznym).
5. Oświadczenia na temat braku konieczności rejestracji danych osobowych (jeżeli brak jest takiej konieczności).
Można stwierdzić, że dokumentacja powinna stanowić rodzaj ogólnego dokumentu, z którym powinny być zapoznane wszystkie osoby upoważnione w przedsiębiorstwie do przetwarzania danych osobowych. Szczegółowe rozwiązania dotyczące zabezpieczenia danych osobowych zawierają dokumenty Polityki Bezpieczeństwa i Instrukcja Zarządzania Systemem Informatycznym.
5.2. Polityka Bezpieczeństwa Przetwarzania Danych Osobowych
Dokument Polityki Bezpieczeństwa opisuje zasady i procedury przetwarzania danych osobowych i ich zabezpieczenia przed nieuprawnionym dostępem. Na Politykę Bezpieczeństwa składają się następujące informacje:
1) wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe,
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
4) sposób przepływu danych pomiędzy poszczególnymi systemami,
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Bardzo ważną część polityki powinny stanowić załączniki, w których administrator ujmie wzory pism i ewidencji, jakimi posługuje się przy prowadzeniu dokumentacji przetwarzania danych osobowych. W ramce na kolejnej stronie przedstawiamy przykładowy wykaz załączników dla spółki, w której ustanowiono Administratora Bezpieczeństwa Informacji.
Wzór. Wykaz załączników do Polityki Bezpieczeństwa
5.3. Instrukcja Zarządzania Systemem Informatycznym
Instrukcję należy sporządzić zgodnie z rozporządzeniem w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Przy jej sporządzaniu należy kierować się treścią rozporządzenia, w którym wprost wymieniono, jakie zabezpieczenia informatyczne należy stosować. Konieczne może być też skorzystanie z konsultacji informatyka, obsługującego firmę.
Instrukcja powinna zawierać:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
3) procedury rozpoczęcia, zawieszania i zakończenia pracy przeznaczone dla użytkowników systemu,
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa wyżej,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
7) sposób realizacji wymogów dla każdej osoby, której dane osobowe są przetwarzane, poprzez możliwość odnotowania informacji o odbiorcach, którym dane osobowe zostały udostępnione, oraz dacie tego udostępnienia,
8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
6. Obowiązek zgłoszenia zbioru do rejestracji
Zbiory danych osobowych (zobacz ramka) powinny być zgłoszone do rejestru prowadzonego przez Głównego Inspektora Ochrony Danych Osobowych. Przepisy przewidują jednak wyjątki od tej zasady. Wyjątki od ogólnej zasady zgłaszania zbiorów danych osobowych do rejestracji GIODO zostały określone w art. 43 ust. 1 ustawy o ochronie danych osobowych.
Tabela. Przykładowe zbiory podlegające obowiązkowi zgłoszenia do rejestru GIODO
Przykładowe zbiory podlegające obowiązkowi zgłoszenia do rejestru GIODO: ● zbiory danych Klientów (zawierające dowolne dane teleadresowe), ● dane korespondencyjne Klientów, ● rejestry korespondencji, ● bazy konkursów i akcji mailingowych, ● rejestry wysyłkowe towarów, ● rejestry reklamacji, ● listy akcjonariuszy (jeśli są tam osoby fizyczne), ● rezerwacje imienne usług, ● wszelkie inne dane osobowe, które nie podlegają zwolnieniu. |
Samo zgłoszenie zbioru danych do rejestracji powinno zawierać m.in.:
● wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
● oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny REGON, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31 ustawy, lub wyznaczenia podmiotu, o którym mowa w art. 31a ustawy - oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
● cel przetwarzania danych,
● opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
● sposób zbierania oraz udostępniania danych,
● informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane (art. 41 ust. 1 ustawy).
Zgłoszenia zbioru danych należy dokonać na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. Nr 229, poz. 1536).
Zgłoszenie powinno być podpisane przez administratora danych (np. osobę fizyczną prowadzącą działalność gospodarczą jednoosobowo) lub inną osobę upoważnioną do reprezentowania wnioskodawcy. Zgłoszenie nie podlega opłacie skarbowej. Zgłoszenie można przesłać pocztą lub złożyć w Biurze Generalnego Inspektora Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa). Zgłoszenia można dokonać także drogą elektroniczną. Aplikacja umożliwiająca skuteczne dokonanie zgłoszenia drogą elektroniczną znajduje się na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych w systemie platforma e-giodo.
Warto także pamiętać, że administrator danych ma obowiązek zgłaszania GIODO każdej zmiany informacji zawartej w zgłoszeniu (art. 41 ust. 2 ustawy). Aktualizacji należy dokonać w terminie 30 dni od dnia dokonania zmiany.
Zwolnienie z obowiązku rejestracji danych. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych m.in.:
● przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
● dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
● przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
● przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
● powszechnie dostępnych,
● przetwarzanych w zakresie drobnych bieżących spraw życia codziennego
(pełen katalog danych zawiera art. 43 ust. 1 ustawy).
Z obowiązku rejestracji zbioru danych zwolnieni są także przedsiębiorcy, którzy powołali Administratora Bezpieczeństwa Informacji. O zasadach powoływania ABI piszemy w dalszej części opracowania.
PRZYKŁAD
Biuro rachunkowe ABC posiada kilka zbiorów danych osobowych:
1. Zbiory danych osobowych powierzonych mu przez klientów na podstawie umów powierzenia przetwarzania - w tym przypadku ewentualny obowiązek dokonania zgłoszenia określonego zbioru będzie ciążyć na kliencie biura rachunkowego jako administratorze danych, a nie na samym biurze.
2. Zbiory danych klientów korzystających z usług biura - biuro ABC w tym przypadku bezpośrednio jest administratorem danych. Jeżeli osoba prowadząca działalność biura ABC:
● posiada uprawnienia doradcy podatkowego - biuro jest zwolnione z obowiązku zgłaszania do GIODO (na podstawie art. 43 ust. 1 pkt 5 ustawy),
● nie posiada uprawnień doradcy podatkowego - nie musi zgłaszać zbiorów danych osobowych, których jest administratorem, jeżeli danych swoich klientów używa wyłącznie do wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej (na podstawie art. 43 ust. 1 pkt 8 ustawy).
PRZYKŁAD
Sklep internetowy posiada zbiór danych osobowych klientów. Jego zdaniem zbiór ten nie podlega zgłoszeniu do rejestru prowadzonego przez GIODO. Wynika to z tego, że zbiór ten służy sklepowi przede wszystkim do celów związanych z wystawieniem faktury lub rachunku. Tym samym, zdaniem sklepu, spełniona jest przesłanka wyłączenia określona w art. 43 ust. 1 pkt 8 ustawy. Niestety sklep internetowy jest w błędzie, bo zbierane dane służą także do innych celów, nie tylko wyłącznie do wystawiania faktur. Ponieważ dane zbiera się także w celu wysyłki towaru czy realizacji reklamacji, ta baza danych podlega zgłoszeniu do GIODO. Podobnie zgłoszeniu będzie podlegać także zbiór danych osób zapisanych na newsletter, jeżeli sklep prowadzi wysyłkę do osób zapisanych.
7. Powołanie Administratora Bezpieczeństwa Informacji
Zadaniem ABI jest nadzorowanie przestrzegania zasad ochrony ustalonych przez administratora danych w celu zapewnienia danym bezpieczeństwa. Przykładowe uprawnienia i obowiązki ABI w ujęciu typowym dla Polityki Bezpieczeństwa przedstawiamy w ramce na kolejnej stronie.
Wzór. Przykładowe uprawnienia i obowiązki ABI
Największą zaletą ABI jest brak konieczności zgłaszania zbiorów GIODO, z wyjątkiem danych wrażliwych (art. 43 ust. 1a ustawy). Administrator danych ma zatem obowiązek zgłoszenia zbioru do GIODO, chyba że:
1) wyznaczy ABI,
2) zgłosi go do rejestru ABI prowadzonego przez GIODO oraz
3) zapewnia ABI możliwość realizacji swoich czynności (art. 36a ust. 1).
Należy zaznaczyć, że w ocenie GIODO nie jest dopuszczalne, aby Administratorem Bezpieczeństwa Informacji był inny podmiot niż osoba fizyczna. Na ABI nie można więc wyznaczyć np. powiązanej spółki. Musi to być osoba fizyczna zidentyfikowana z imienia i nazwiska. Przy tym ABI nie musi być osoba zatrudniona u administratora danych, może to być np. pracownik innego podmiotu. Przepisy nie określają, w ramach jakiego stosunku prawnego ABI może wykonywać swoje obowiązki.
Wzór dokumentu powołującego ABI przedstawiamy w ramce.
Wzór. Dokument powołujący ABI
Administrator danych ma 30 dni od dnia powołania ABI na zgłoszenie ABI do rejestracji w GIODO. Zgłoszeń ABI należy dokonywać wyłącznie z użyciem formularzy zgłoszeń powołania i odwołania Administratora Bezpieczeństwa Informacji, których wzory stanowią załączniki do rozporządzenia Ministra Administracji i Cyfryzacji z 10 grudnia 2014 r. (Dz.U. z 2014 r., poz. 1934).
Należy jednak zauważyć, że rejestracja zbioru danych w GIODO, w przypadku gdy funkcje związane z ochroną danych będzie osobiście sprawował administrator danych (reprezentowany przez kierownika jednostki organizacyjnej - np. prezesa zarządu), może oznaczać mniej administracyjnych obciążeń niż wyznaczenie ABI wpisanego do rejestru. Dla administratora danych niepowoływanie ABI oznacza następujące korzyści:
● nie ma obowiązku zgłaszania powoływania i odwoływania ABI do GIODO,
● nie podlega kontroli ABI, który powinien w sprawozdaniu do GIODO wykazywać jego najdrobniejsze uchybienia,
● nie ma obowiązku prowadzenia wewnętrznego jawnego rejestru przetwarzanych zbiorów danych osobowych.
Zaletą powołania ABI jest brak konieczności rejestracji zbiorów do GIODO (chyba że przetwarzane są tzw. dane wrażliwe). By nie powoływać ABI, wystarczy dokonywać rejestracji zbiorów danych podlegających zgłoszeniu do GIODO.
PRZYKŁAD
W spółce z o.o. nie został wyznaczony ABI, ponieważ zgodnie z art. 36a ust. 1 ustawy powołanie ABI jest uprawnieniem, a nie obowiązkiem administratora danych. Przypomnijmy, że administratorem danych jest sp. z o.o. Funkcje ABI pełni w tym przypadku kierownik jednostki organizacyjnej jako osoba działająca w imieniu administratora danych. W tej sytuacji jest to prezes zarządu, czyli osoba stojąca na czele organu kierującego działaniami spółki.
Kary za uchybienia związane z ochroną danych osobowych
GIODO może nakładać na podmioty, które nie wykonują jego decyzji administracyjnych (np. decyzji nakazującej usunięcie wybranych naruszeń), grzywny w celu przymuszenia.
Grzywny egzekwowane są w trybie ustawy o postępowaniu egzekucyjnym w administracji. Zgodnie z art. 121 ustawy o postępowaniu egzekucyjnym w administracji wysokość grzywny wynosi:
● dla osób prawnych i jednostek nieposiadających osobowości prawnej - do 50 000 zł za każde uchybienie, ale nie więcej niż 200 000 zł w jednym postępowaniu egzekucyjnym,
● dla osób fizycznych - do 10 000 zł za każde uchybienie, ale nie więcej niż 50 000 zł w jednym postępowaniu egzekucyjnym.
Oprócz powyższych sankcji możliwych do nałożenia w trybie administracyjnym przedsiębiorcy grożą także kary za przestępstwa związane z przetwarzaniem danych osobowych. Wykaz tych kar przedstawiamy w tabeli.
Tabela. Sankcje za przestępstwa związane z przetwarzaniem danych osobowych
Przestępstwo (podstawa prawna) | Kara | Uwagi |
1 | 2 | 3 |
Przetwarzanie danych osobowych poza trybem określonym w ustawie (art. 49 ust. 1 i 2 ustawy). | Grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2 lub do lat 3, gdy przestępstwo dotyczy danych wrażliwych. | Musi to być umyślne przestępstwo. By uznać, że przetwarzanie danych odbywa się w trybie przewidzianym w ustawie, powinny być spełnione wymogi: ● w zakresie zabezpieczenia danych, ● uzyskania zgodnych z prawem przesłanek przetwarzania, ● prowadzenia dokumentacji. |
Udostępnienie danych osobowych lub umożliwienie dostępu do nich osobom nieupoważnionym (art. 51 ust. 1 i 2 ustawy). | Grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2 (nieumyślnie do roku). | Przestępstwo to może popełnić w szczególności osoba, której przysługują kompetencje decyzyjne odnośnie do zarządzania zbiorem, co nie wyklucza odpowiedzialności pracownika wykonującego polecenie służbowe w charakterze współdziałającego. |
Naruszenie, choćby nieumyślnie, obowiązku zabezpieczenia danych osobowych przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem (art. 52 ustawy). | Grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku. | Odpowiedzialności podlega jedynie administrator danych. |
Niezgłaszanie do rejestracji zbioru danych (art. 53 ustawy). | Grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku. | Karze podlega administrujący danymi niezgłaszający zbioru do rejestracji. Jest to przetwarzający dane osobowe, których obowiązek rejestracji nie jest wyłączony (zob. art. 43 ust. 1 ustawy). |
Niedopełnienie obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw (art. 54 ustawy). | Grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku. | Sankcja ta dotyczy także sytuacji, w której administrujący zbiorem ignoruje wniosek lub sprzeciw osoby, której dane osobowe są przetwarzane. |
Udaremnienie lub utrudnianie wykonania czynności kontrolnych inspektorowi danych osobowych (art. 54a ustawy). | Grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2. | Wszelkie działania, które inspektor będzie miał prawo uznać za utrudnianie kontroli, mogą skutkować powiadomieniem przez inspektora prokuratury, a w efekcie odpowiedzialnością karną. Przykładem może być niewpuszczenie inspektora do pomieszczeń, gdzie przechowywane są dane osobowe. |
PODSTAWA PRAWNA:
● art. 3, 6, 7, 23, 24, 27, 43, 54 i 54a ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych - j.t. Dz.U. z 2016 r., poz. 922
● § 1, 4, 6 i 7 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych - Dz.U. z 2004 r. Nr 100, poz. 1024
● § 1 rozporządzenia Ministra Administracji i Cyfryzacji z 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych - Dz.U. z 2015 r., poz. 719
● § 1 i 7 rozporządzenia Ministra Administracji i Cyfryzacji z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji - Dz.U. z 2015 r., poz. 745
Marek Smakuszewski
doradca podatkowy, właściciel kancelarii podatkowej
Sławomir Biliński
prawnik, redaktor "MONITORA księgowego"