czwartek, 24 października 2013

Kilka podstawowych danych o danych (osobowych).

Kto ma obowiązek chronić dane osobowe? Co do zasady każdy, kto takie dane osobowe przetwarza. Jednak nie każdy ma już obowiązek informować o tym fakcie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) i rejestrować powstały zbiór.
Ale zacznijmy od początku. Czym są dane osobowe? Kogo dotyczą dane osobowe? Czy osoba prawna ma dane osobowe? Odpowiedzi na te i wiele innych pytań dotyczących danych osobowych należy szukać w ustawie o ochronie danych osobowych (ustawa). Dane osobowe to nic innego, jak nasze imię, nazwisko, data urodzenia, numer PESEL, ale także nasz stan zdrowia, nałogi, preferencje seksualne, poglądy polityczne czy przekonania religijne, dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych. Pierwsza grupa wskazanych danych to niejako zwykłe, podstawowe dane osobowe, druga zaś nosi miano danych wrażliwych, co do przetwarzania których zostały przewidziane znaczne obostrzenia ustawowe. Dane osobowe są to więc wszelkie informacje, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; informacje, dzięki którym moglibyśmy wskazać konkretną osobę, moglibyśmy określić bezpośrednio lub pośrednio jej tożsamość, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne i nie wymagałoby to od nas nadmiernych środków, czasu czy kosztów. Jak łatwo zauważyć dane osobowe dotyczą tylko osób fizycznych, a nie spółek, szkół, banków itp.
Dane osobowe objęte są ochroną prawną w sytuacji, w której są przetwarzane. Przetwarzanie danych ustawa definiuje zaś jako jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Wszelkie więc tego typu operacje na wyżej opisanych danych, objęte są szczególnym reżimem prawnym i ochroną. Dodatkowo można powiedzieć, że ochrona dotyczy niejako operacji „komercyjnych, publicznych”, gdyż ustawa nie znajduje już zastosowania do zabiegów na danych dokonywanych przez osoby fizyczne, które przetwarzają dane wyłącznie w celach osobistych lub domowych.
Jeżeli więc prowadzimy firmę i chcemy stworzyć sobie bazę klientów, z ich adresami, nazwiskami, numerami telefonów itp., to musimy spełnić choć jedną z przesłanek legalnego przetwarzania danych. Legalne będzie zbieranie przez nas nazwisk, ich utrwalanie czy przechowywanie, tylko wtedy, jeśli przykładowo osoba, której dane dotyczą, wyrazi nam na takie przetwarzanie zgodę. Zgoda danej osoby zdaje się być najczęstszą formą legalnego przetwarzania danych osobowych. Jednakże warto wiedzieć, że przetwarzanie danych osobowych będzie legalne również w sytuacji, gdy co prawda brak jest zgody osoby zainteresowanej, ale przetwarzanie danych jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą albo też przetwarzanie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Przykładem takiego usprawiedliwionego celu jest marketing bezpośredni własnych produktów lub usług administratora danych lub dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Kiedy mamy już zebrane zgodnie z prawem dane osobowe, to pojawia się cały szereg obowiązków związanych z administrowaniem takimi danymi. Przede wszystkim administrator danych osobowych, czyli osoba odpowiedzialna za przetwarzane dane, jest obowiązany stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Ponadto jednym z obowiązków takiego administratora jest zgłoszenie powstałego zbioru danych do rejestracji GIODO, który jest centralnym organem do spraw ochrony danych osobowych. GIODO w procesie rejestracji bada, czy przetwarzanie danych było/jest zgodne z prawem i przewidzianymi w ustawie zasadami oraz czuwa nad wypełnianiem obowiązków przez administratorów. Jednak nie każdy administrator musi dokonać rejestracji stworzonego przez siebie zbioru danych do GIODO. Ustawa przewiduje w tym zakresie szereg wyłączeń. Powodowane jest to różnymi okolicznościami, przykładowo ochroną informacji niejawnych, czego wyjaśniać nie trzeba lub też wiązałoby się z koniecznością ciągłego zgłaszania zbiorów. W tym drugim przykładnie mowa m.in. o administratorach danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, czy też danych dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta. Innymi słowy podmiot prowadzący szpital i sporządzający kartoteki/ dokumentację pacjentów, czy też radca prawny prowadzący kancelarię prawniczą i posiadający imienną listę klientów z adresami, telefonami, e-mailami są zwolnieni z obowiązku rejestracji zbioru danych osobowych. Powyższe wynika z faktu, że niewątpliwie wiązałoby się to z ogromnymi uciążliwościami i w zasadzie z codzienną rejestracją/aktualizacją powstałego zbioru. Oczywiste jednak jest to, że choć prawnik czy SPZOZ nie ma obowiązku zgłaszania zbioru do GIODO, to jednak ciążą na nim wszelkie wymogi zapewnienia bezpieczeństwa przetwarzania takich danych, często danych wrażliwych, wymagających szczególnego „traktowania”.

Katarzyna Mikołajczyk
Aplikant Radcowski

Brak komentarzy:

Prześlij komentarz