Większość przedsiębiorców nie zdaje sobie sprawy ani z faktu, że przetwarza dane osobowe, ani z obowiązków jakie w związku z tym nakłada na nich ustawa. Nieprzestrzeganie przepisów może skutkować konsekwencjami karnymi.
Zgodnie z przepisami ustawy za dane osobowe uważa się wszelkie informacje dotyczące osoby fizycznej, które umożliwiają określenie tożsamości tej osoby. Pod tę kategorię podpadają m. in. takie dane jak: imię, nazwisko, adres zamieszkania, numer telefonu, adres poczty elektronicznej (e-mail) czy informacje o zamówionych usługach bądź produktach. Wymienione dane są gromadzone przez zdecydowaną większość przedsiębiorców, a szczególnie przez tych, którzy prowadzą działalność gospodarczą przy wykorzystaniu sieci internet.
Posiadanie tych informacji jest niezbędne z punktu widzenia prowadzenia działalności gospodarczej, jednakże należy pamiętać, że już samo zbieranie danych osobowych wymaga spełnienia obowiązków nałożonych przez ustawę. Wynika to z bardzo szeroko zakreślonej definicji przetwarzania danych. Pod tym pojęciem rozumie się jakiekolwiek operacje wykonywane na danych osobowych, w szczególności takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, zwłaszcza zaś te, które wykonuje się w ramach systemów informatycznych.
Przedsiębiorca przetwarzający dane staje się automatycznie ich administratorem, na którym spoczywa wiele obowiązków wynikających z ustawy o ochronie danych osobowych. Podkreślenia wymaga, iż w sposób szczególny traktowane są firmy działające w Internecie.
Zgodnie z art. 2 ust. 2. pkt 2 ww. ustawy stosuje się ją także do przetwarzania danych osobowych w systemach informatycznych, nawet w przypadku, gdy dane przetwarzane są poza zbiorem. Skutkiem tego uregulowania są dodatkowe obowiązki spoczywające na przedsiębiorcy funkcjonującym w Internecie.
Odpowiednia forma udzielenia zgody
Podstawą gromadzenia danych jest zgoda osoby, której dane dotyczą. Powinna ona zostać udzielona w odpowiedniej treści oraz nie może być domniemana ani dorozumiana. Zgoda na przetwarzanie danych osobowych musi być ponadto wyraźna, przy czym może być wyrażona w dowolny sposób i za pośrednictwem dowolnych mediów.
[ ( http://static1.money.pl/i/h/134/t97414.jpg ) ] (http://prawo.money.pl/aktualnosci/okiem-eksperta/artykul/przekazanie;danych;osobowych;-;udostepnienie;czy;powierzenie,211,0,626387.html) Przekazanie danych osobowych - udostępnienie czy powierzenie?
Nie dochowanie formy pisemnej może mieć znaczenie jedynie dowodowe. Zgoda na przetwarzanie danych może zostać cofnięta jak również być ograniczona warunkiem lub terminem, zawierać ograniczenia co do terytorium, podmiotu bądź przedmiotu bądź obejmować przetwarzanie danych również w przyszłości (jeżeli nie zmienia się cel przetwarzania danych).
Skutkiem cofnięcia zgody na przetwarzanie danych osobowych będzie natomiast brak możliwości powoływania się przez administratora danych na tą właśnie podstawę ich przetwarzania.
Warunki przetwarzania danych
Poza przypadkami uzyskania zgody na przetwarzanie danych, wykonywanie operacji na danych osobowych jest dopuszczalne również, gdy:
- jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa tj. w sytuacjach, w których istnieje odpowiedni przepisu prawa, który przyznaje podmiotowi przetwarzającemu dane uprawnienie lub nakłada na niego obowiązek a przetwarzanie danych jest niezbędne dla zrealizowania tego uprawnienia lub spełnienia obowiązku wynikającego z tego przepisu;
- jest to konieczne do realizacji umowy lub niezbędne do podjęcia działań przed zawarciem umowy (na żądanie osoby, której dane dotyczą);
- jest to niezbędne do wykonania określonych prawem zadań publicznych;
- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą, przy czym za prawnie usprawiedliwiony cel uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych czy też dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Ustawa o ochronie danych osobowych pozwala na przetwarzanie danych również, gdy przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie zgody jest (przynajmniej czasowo) niemożliwe, przy czym chodzi w tym wypadku o interesy o tak dużym znaczeniu jak: zdrowie, życie czy też istotne interesy majątkowe.
Za co odpowiada administrator?
Na przedsiębiorcy - administratorze danych ciąży wiele dodatkowych obowiązków, których pobieżny opis znajduje się poniżej.
Jako pierwszy należy wymienić obowiązek informacyjny wynikający z art. 24 i 25 analizowanej ustawy. Zgodnie z powyższymi przepisami administrator jest zobowiązany poinformować osobę, której dane dotyczą m. in. o adresie swojej siedziby i pełnej nazwie, celu zbierania danych oraz prawie dostępu do treści przetwarzanych danych. Ponadto przedsiębiorca powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane były przetwarzane zgodnie z prawem.
Następnym obowiązkiem administratora jest zastosowanie środków technicznych i organizacyjnych, które zapewnią odpowiednią ochronę przetwarzanych danych osobowych, a w szczególności zabezpieczą dane przed ich udostępnieniem osobom nieupoważnionym. W tym celu administrator wyznacza administratora bezpieczeństwa informacji, którego głównym zadaniem jest nadzorowanie przestrzegania zasad ochrony przetwarzanych danych.
[ ( http://static1.money.pl/i/h/211/t85459.jpg ) ] (http://msp.money.pl/wiadomosci/zarzadzanie/artykul/firmy;narazone;na;wycieki;i;zemste,157,0,761757.html) Firmy narażone na wycieki i zemstę
Dodatkowo przedsiębiorca jest zobowiązany prowadzić odpowiednią dokumentację, na którą składa się m. in. instrukcja zarządzania systemem informatycznym oraz polityka bezpieczeństwa.
Oprócz powyższego na administratora danych nałożonych jest wiele innych obowiązków z zakresu ochrony i kontroli, w tym prowadzenie ewidencji osób uprawnionych do przetwarzania danych, nadawanie odpowiednich upoważnień oraz nadzór nad tym jakie dane, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Istotnym obowiązkiem jest zgłoszenie zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO). Obecnie tego zgłoszenia można dokonać także za pośrednictwem sieci Internet. Wystarczy wypełnić i wysłać wniosek znajdujący się na stronie internetowej GIODO.
Nieprzestrzeganie powyższych obowiązków może mieć niekorzystne konsekwencje dla przedsiębiorcy i skutkować odpowiedzialnością cywilną, administracyjną lub karną.
Naruszenie przepisów o ochronie danych osobowych może prowadzić do naruszenia dóbr osobistych, a to z kolei skutkuje pociągnięciem podmiotu naruszającego do odpowiedzialności cywilnej.
W tej sytuacji, na podstawie art. 25 kodeksu cywilnego ten, kto dokonał naruszenia może zostać zobowiązany do dokonania czynności potrzebnych do usunięcia skutków naruszenia, zapłaty zadośćuczynienia pieniężnego albo odpowiedniej sumy pieniężnej na wskazany cel społeczny. Należy podkreślić, że w praktyce zdarza się, że sądy wydają wyroki opiewające na bardzo wysokie kwoty, dochodzące nawet do kilkudziesięciu tysięcy złotych.
Przedsiębiorca może również zostać pociągnięty do odpowiedzialności administracyjnej, w przypadku gdy w czasie kontroli przeprowadzonej przez inspektorów GIODO zostaną ujawnione nieprawidłowości dotyczące przestrzegania przepisów o ochronie danych osobowych. Generalny Inspektor Ochrony Danych Osobowych wydaje w takich sytuacjach decyzję administracyjną, w której nakazuje przywrócenie stanu zgodnego z prawem. W skrajnych przypadkach zastosowanie się do tego typu decyzji może prowadzić do konieczności wstrzymania, na pewien czas, prowadzonej działalności gospodarczej.
Ustawa o ochronie danych osobowych zawiera również szereg przepisów karnych, w których wskazuje znamiona czynów zabronionych odnoszących się do danych osobowych oraz kary grożące za te czyny. Najcięższe naruszenia mogą być podstawą do orzeczenia kar pozbawienia wolności nawet do 3 lat.
Jak wynika z powyższego, przedsiębiorcy przetwarzający dane osobowe są zobowiązani sprostać licznym obowiązkom, nałożonym na nich przez ustawę o ochronie danych osobowych.
Powinny o tym pamiętać nie tylko podmioty rozpoczynające działalność gospodarczą, ale także firmy, które już od dłuższego czasu funkcjonują na rynku. Spełnienie wymogów ustawowych zapewni przedsiębiorstwom nie tylko legalność działania, ale także ustrzeże przed wieloma nieprzyjemnościami, które mogą być następstwem nieprzestrzegania przepisów.
| Czytaj w Money.pl | |
|---|---|
| [ ( http://static1.money.pl/i/h/118/t98166.jpg ) ] (http://msp.money.pl/wiadomosci/kadry/artykul/jakich;danych;osobowych;moze;zazadac;szef,110,0,672878.html) | Jakich danych osobowych może zażądać szef? Sprawdź, o co można zapytać kandydata do pracy, a jakie wymogi naruszą już ustawę o ochronie danych osobowych. |
| [ ( http://static1.money.pl/i/h/211/t85459.jpg ) ] (http://msp.money.pl/wiadomosci/prawo/artykul/jak;legalnie;przetwarzac;dane;osobowe;w;sieci,36,0,765988.html) | Jak legalnie przetwarzać dane osobowe w sieci? Nawet adres e-mail może być daną osobową. Za naruszenie ustawy o ochronie danych grozi nawet do 3 lat więzienia. |
Autorka jest prawnikiem z Rosicki Purski Warulik Ecdf Kancelaria Prawna