Kto
ma obowiązek chronić dane osobowe? Co do zasady każdy, kto takie
dane osobowe przetwarza. Jednak nie każdy ma już obowiązek
informować o tym fakcie Generalnego Inspektora Ochrony Danych
Osobowych (GIODO) i rejestrować powstały zbiór.
Ale
zacznijmy od początku. Czym są dane osobowe? Kogo dotyczą dane
osobowe? Czy osoba prawna ma dane osobowe? Odpowiedzi na te i wiele
innych pytań dotyczących danych osobowych należy szukać w ustawie
o ochronie danych osobowych (ustawa). Dane osobowe to nic innego, jak
nasze imię, nazwisko, data urodzenia, numer PESEL, ale także nasz
stan zdrowia, nałogi, preferencje seksualne, poglądy polityczne czy
przekonania religijne, dane dotyczące skazań, orzeczeń o ukaraniu
i mandatów karnych. Pierwsza grupa wskazanych danych to niejako
zwykłe, podstawowe dane osobowe, druga zaś nosi miano danych
wrażliwych, co do przetwarzania których zostały przewidziane
znaczne obostrzenia ustawowe. Dane osobowe są to więc wszelkie
informacje, dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej; informacje, dzięki którym
moglibyśmy wskazać konkretną osobę, moglibyśmy określić
bezpośrednio lub pośrednio jej tożsamość, w szczególności
przez powołanie się na numer identyfikacyjny albo jeden lub kilka
specyficznych czynników określających jej cechy fizyczne,
fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne i nie
wymagałoby to od nas nadmiernych środków, czasu czy kosztów. Jak
łatwo zauważyć dane osobowe dotyczą tylko osób fizycznych, a nie
spółek, szkół, banków itp.
Dane
osobowe objęte są ochroną prawną w sytuacji, w której są
przetwarzane. Przetwarzanie danych ustawa definiuje zaś jako
jakiekolwiek operacje wykonywane na danych osobowych, takie jak
zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie,
udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w
systemach informatycznych. Wszelkie więc tego typu operacje na wyżej
opisanych danych, objęte są szczególnym reżimem prawnym i
ochroną. Dodatkowo można powiedzieć, że ochrona dotyczy niejako
operacji „komercyjnych, publicznych”, gdyż ustawa nie znajduje
już zastosowania do zabiegów na danych dokonywanych przez osoby
fizyczne, które przetwarzają dane wyłącznie w celach osobistych
lub domowych.
Jeżeli
więc prowadzimy firmę i chcemy stworzyć sobie bazę klientów, z
ich adresami, nazwiskami, numerami telefonów itp., to musimy spełnić
choć jedną z przesłanek legalnego przetwarzania danych. Legalne
będzie zbieranie przez nas nazwisk, ich utrwalanie czy
przechowywanie, tylko wtedy, jeśli przykładowo osoba, której dane
dotyczą, wyrazi nam na takie przetwarzanie zgodę. Zgoda danej osoby
zdaje się być najczęstszą formą legalnego przetwarzania danych
osobowych. Jednakże warto wiedzieć, że przetwarzanie danych
osobowych będzie legalne również w sytuacji, gdy co prawda brak
jest zgody osoby zainteresowanej, ale przetwarzanie danych jest
konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest
jej stroną lub gdy jest to niezbędne do podjęcia działań przed
zawarciem umowy na żądanie osoby, której dane dotyczą albo też
przetwarzanie jest niezbędne dla wypełnienia prawnie
usprawiedliwionych celów realizowanych przez administratorów danych
albo odbiorców danych, a przetwarzanie nie narusza praw i wolności
osoby, której dane dotyczą. Przykładem takiego usprawiedliwionego
celu jest marketing bezpośredni własnych produktów lub usług
administratora danych lub dochodzenie roszczeń z tytułu prowadzonej
działalności gospodarczej.
Kiedy
mamy już zebrane zgodnie z prawem dane osobowe, to pojawia się cały
szereg obowiązków związanych z administrowaniem takimi danymi.
Przede wszystkim administrator danych osobowych, czyli osoba
odpowiedzialna za przetwarzane dane, jest obowiązany stosować
środki techniczne i organizacyjne zapewniające ochronę
przetwarzanych danych osobowych odpowiednią do zagrożeń oraz
kategorii danych objętych ochroną. Ponadto jednym z obowiązków
takiego administratora jest zgłoszenie powstałego zbioru danych do
rejestracji GIODO, który jest centralnym organem do spraw ochrony
danych osobowych. GIODO w procesie rejestracji bada, czy
przetwarzanie danych było/jest zgodne z prawem i przewidzianymi w
ustawie zasadami oraz czuwa nad wypełnianiem obowiązków przez
administratorów. Jednak nie każdy administrator musi dokonać
rejestracji stworzonego przez siebie zbioru danych do GIODO. Ustawa
przewiduje w tym zakresie szereg wyłączeń. Powodowane jest to
różnymi okolicznościami, przykładowo ochroną informacji
niejawnych, czego wyjaśniać nie trzeba lub też wiązałoby się z
koniecznością ciągłego zgłaszania zbiorów. W tym drugim
przykładnie mowa m.in. o administratorach danych przetwarzanych w
związku z zatrudnieniem u nich, świadczeniem im usług na podstawie
umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych
lub uczących się, czy też danych dotyczących osób korzystających
z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy
prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego
rewidenta. Innymi słowy podmiot prowadzący szpital i sporządzający
kartoteki/ dokumentację pacjentów, czy też radca prawny prowadzący
kancelarię prawniczą i posiadający imienną listę klientów z
adresami, telefonami, e-mailami są zwolnieni z obowiązku
rejestracji zbioru danych osobowych. Powyższe wynika z faktu, że
niewątpliwie wiązałoby się to z ogromnymi uciążliwościami i w
zasadzie z codzienną rejestracją/aktualizacją powstałego zbioru.
Oczywiste jednak jest to, że choć prawnik czy SPZOZ nie ma
obowiązku zgłaszania zbioru do GIODO, to jednak ciążą na nim
wszelkie wymogi zapewnienia bezpieczeństwa przetwarzania takich
danych, często danych wrażliwych, wymagających szczególnego
„traktowania”.
Katarzyna Mikołajczyk
Aplikant Radcowski
Posty
