Obowiązki administratora danych osobowych – wybrane aspekty
Przedsiębiorca zobowiązany jest zapewnić bezpieczeństwo przetwarzanych przez niego danych osobowych. Wiąże się z tym wiele obowiązków. A ich nieprzestrzeganie może rodzić przykre konsekwencje, włącznie nawet z odpowiedzialnością karną.
Przetwarzanie danych osobowych jest dopuszczalne w wypadkach wskazanych w ustawie. Jako przykłady sytuacji, w których ustawa zezwala na przetwarzanie danych osobowych, można wskazać przypadki, gdy:
– osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych.
– jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.
– jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych albo dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Zbiór danych osobowych (czyli posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie) podlega zgłoszeniu do Generalnego Inspektora Danych Osobowych, chyba że ustawa zwalnia dany zbiór z obowiązku zgłoszenia.
Z obowiązku rejestracji zbioru danych zwolnieni są m. in. administratorzy danych:
– przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
– przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
– powszechnie dostępnych,
– przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
A zatem w przypadku przetwarzania danych kontrahentów wyłącznie w celu prowadzenia sprawozdawczości finansowej nie powstaje obowiązek zgłaszania zbioru danych. Jeżeli jednak dane są przetwarzane w szerszych celach, np. w celu utrzymywania stałych relacji z klientami i wysyłania im kartek świątecznych, zbór powinien zostać zarejestrowany w GIODO. Także zbiory danych przetwarzanych w celach marketingowych co do zasady podlegają zgłoszeniu do GIODO. W przypadku zbioru danych niewrażliwych przetwarzanie danych można rozpocząć z chwilą zgłoszenia zbioru (nie trzeba czekać na rejestrację przez GIODO). Zgłoszenie do GIODO nie podlega opłacie. Natomiast opłacie skarbowej w kwocie 17 zł podlega wydanie przez GIODO zaświadczenia o zarejestrowanie zbioru. Opłacie skarbowej w kwocie 17 zł podlega także złożenie pełnomocnictwa w postępowaniu przed GIODO.
W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator ma obowiązek spełnić wobec niej tzw. obowiązek informacyjnych. W jego ramach powinien on poinformować daną osobę o:
– adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku,
– celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
– prawie dostępu do treści swoich danych oraz ich poprawiania,
– dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do uzyskania szczegółowych informacji o zasadach przetwarzania danych osobowych (w zakresie wskazanym w ustawie). Osoba zainteresowana może skorzystać z przysługującego jej prawa do informacji nie częściej niż raz na 6 miesięcy. W przypadku zgłoszenia przez osobę zainteresowaną żądania udzielenia jej informacji administrator danych osobowych powinien udzielić odpowiedzi w ciągu 30 dni.
Administrator danych ma obowiązek prowadzić dokumentację opisującą sposób przetwarzania danych oraz stosowane środki środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Na taką dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
Administrator danych powinien wyznaczyć administratora bezpieczeństwa informacji.
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania.
Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
GIODO jest organem uprawnionym do przeprowadzania kontroli w zakresie przestrzegania obowiązków odpowiedniego przetwarzania danych osobowych. Kontrolę może przeprowadzić z własnej inicjatywy lub na skutek otrzymanego zawiadomienia lub wniosku. W przypadku złożenia wniosku o wszczęcie postępowania przez osobę powołującą się na nieprawidłowości w zakresie przetwarzania jej danych osobowych GIODO co do zasady będzie miał obowiązek wszcząć postępowanie wyjaśniające. Jeżeli wyniki kontroli ujawnią naruszenia, GIODO w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem. Ponadto w razie stwierdzenia, że doszło do popełnienia przestępstwa GIODO kieruje do organów ścigania zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie.
Nieprzestrzeganie niektórych obowiązków nałożonych ustawą o ochronie danych osobowych może rodzić odpowiedzialność karną, w szczególności:
a) kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
b) kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
c) kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
d) kto przetwarza w zbiorze dane osobowe niewrażliwe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.