O czym należy pamiętać przetwarzając dane osobowe klientów w firmie?

utworzone przez Ekspert DaneSklepu.pl | wrz 14, 2016 | GIODO sklep internetowy

Przedsiębiorcy prowadząc własną firmę, często nieświadomie, biorą udział w procesie przetwarzania danych osobowych. Ma to miejsce już w przypadku zawierania umów handlowych czy prowadzenia różnego typu działań marketingowych. Kilkakrotnie już nowelizowana Ustawa o ochronie danych osobowych z 1997 r. wprowadziła szereg obowiązków po stronie przedsiębiorców w zakresie przetwarzania danych osobowych.

Jak wyodrębnić zbiór danych osobowych?

Zbiory danych osobowych podlegają obowiązkowi zgłoszenia do Generalnego Inspektora Ochrony Danych Osobowych, czyli GIODO. Zanim przedsiębiorca wyodrębni poszczególne zbiory danych powinien pamiętać, że nie każde zestawienie danych osobowych będzie zbiorem.

Zbiór danych osobowych to, zgodnie z art. 7 pkt 1 ustawy o ochronie danych osobowych:
„każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.

Cechą wyróżniającą zbiór danych od innego zestawu danych będzie zatem struktura, czyli takie uporządkowanie, które daje możliwość wyszukania konkretnych danych według określonego kryterium.

Żeby jakikolwiek zestaw danych zaklasyfikować jako zbiór wystarczające jest kryterium umożliwiające odnalezienie danych osobowych w zestawie. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych.
Tylko będący zbiorem danych osobowych usystematyzowany zestaw danych powinien być zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, o ile nie zachodzi żadna z przesłanek określonych w art. 43 ustawy o ochronie danych osobowych zwalniająca administratorów danych z tego obowiązku.

Zgodnie z art. 43 ust. 1 ustawy z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:

1. objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę   życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,
   1. które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
2. przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
   1. przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
3. dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
4.  przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
5.  dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
6. tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
7. dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
8.  przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
9. powszechnie dostępnych,
10. przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
11. przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

Często przedsiębiorcom wydaje się, że nie podlegają obowiązkom regulowanym przez ustawę o ochronie danych osobowych z uwagi na wyłączenie z art. z art. 43 ust. 1 pkt 8 tj. gdy przetwarzają dane wyłącznie w celu wystawienia faktury lub rachunku.

Warto jednak pamiętać, że jeśli obok wspomnianego celu wykorzystuje się te dane osobowe np. dla celów marketingowych, realizacji umowy itp. to przedsiębiorca będzie musiał je zgłosić do GIODO.

Rejestracji zbioru danych osobowych dokonuje GIODO na wniosek przedsiębiorcy złożony przed przystąpieniem do ich przetwarzania.

Na szczęście nie wszystkie dane są objęte obowiązkiem rejestracji w GIODO.

Wyłączenie obejmuje np.:
dane znajdujące się u przedsiębiorcy, które są przetwarzane w związku z zatrudnieniem osób fizycznych, świadczeniem usług na podstawie umów cywilnoprawnych czy w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Nie podlegają również zgłoszeniu np. dane powszechnie dostępne lub przetwarzane w zakresie drobnych bieżących spraw życia codziennego.
Należy zwrócić szczególną uwagę na dane wrażliwe np. o stanie zdrowia – takie dane mogą być przetwarzane dopiero po zarejestrowaniu zbioru przez GIODO.
Obowiązek zgłoszenia do GIODO dotyczy wyłącznie rodzaju przetwarzanych danych np. e-mail, nazwisko, imię itp. a nie konkretnych danych – nie należy wysyłać imion i nazwisk Klientów.

Jak należy rozumieć przetwarzanie danych osobowych?

Przetwarzanie danych osobowych oznacza jakąkolwiek operację (czy też zestaw operacji) na danych osobowych, na przykład: gromadzenie, rejestracja, porządkowanie, przechowywanie, modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez przekazanie, rozpowszechnianie lub udostępnianie w inny sposób.

Zgłoszenia zbioru danych osobowych dokonuje się poprzez złożenie wypełnionego formularza. Wniosek można wysłać pocztą, złożyć osobiście w siedzibie urzędu w Warszawie lub szybciej – złożyć za pomocą specjalnej strony internetowej.

Czy zgłoszenie zbiorów do GIODO to wszystko?

Niestety nie. Ustawa wymaga sporządzenia pisemnej dokumentacji, która będzie określać sposób przetwarzania danych oraz opisywać środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.
Każda firma, w której przetwarzane są dane osobowe powinna mieć opracowaną i wdrożoną:

Politykę bezpieczeństwa danych osobowych, która opisuje zasady przetwarzania danych osobowych (w formie papierowej i elektronicznej) w organizacji

Instrukcję Zarządzania Systemem Informatycznym – to dokument bardziej szczegółowy i koncentrujący się na zapewnieniu bezpieczeństwa danych osobowych, przetwarzanych w infrastrukturze informatycznej firmy.
Zawartość tych dokumentów opisuje Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. – wskazują one minimum, które dokumentacja musi zawierać.

Kto może mieć dostęp do danych osobowych?

Przedsiębiorcy powinni pamiętać, że do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Upoważnienie takie powinno wskazywać imię i nazwisko osoby upoważnionej, datę nadania, datę ustania oraz zakres upoważnienia – nazwę zbioru danych.

Jakie są sankcje za nielegalne przetwarzanie danych osobowych?

Ustawa o ochronie danych osobowych za przetwarzanie danych osobowych niezgodnie z prawem przewiduje zarówno odpowiedzialność administracyjną i karną, która szczegółowo uregulowana została w art. 49–54a ustawy.
Takie stanowisko zajął również Naczelny Sąd Administracyjny, który w wyroku z 21 listopada 2002 r. (sygn. akt II SA 1682/01), stwierdził, że:

„W świetle ustawy naruszenie jej przepisów staje się źródłem odpowiedzialności administracyjnej, prowadzącej w istocie jedynie do obowiązku przywrócenia stanu zgodnego z prawem (art. 18) oraz odpowiedzialności karnej (art. 19, 49-54). Przy czym jedynie ten pierwszy rodzaj odpowiedzialności realizowany jest w drodze wydania decyzji administracyjnej”.

Tu warto podkreślić, iż wbrew obiegowej opinii, GIODO nie ma prawa do nakładania kar finansowych po stwierdzeniu uchybienia. Nakładanie jakichkolwiek kar administracyjnych musi być najpierw poprzedzone przeprowadzeniem przez organ do spraw ochrony danych osobowych właściwego postępowania administracyjnego, zakończonego wydaniem decyzji administracyjnej (np. nakazującej określone działanie), a następnie przeprowadzeniem administracyjnego postępowania egzekucyjnego, jeżeli mimo wydanej decyzji, zobowiązany podmiot jej nie wykona.

Innymi słowy, później nałożona grzywna służy wymuszeniu na kontrolowanym wykonania obowiązków o charakterze niepieniężnym.

Grzywna ta wynika z przepisów o postępowaniu egzekucyjnym w administracji art. 121 i może wynosić od 10 tys. zł dla osób fizycznych prowadzących działalność gospodarczą do 50 tys. zł dla osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej (w przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie może przekraczać odpowiednio 50 tys. zł oraz 200 tys. zł).

Odpowiedzialność karna zaś, jak i kara za naruszenie przepisów o ochronie danych osobowych jest orzekana po przeprowadzeniu postępowania karnego w konkretnej sprawie przez właściwe organy ścigania i wymiaru sprawiedliwości.

Podsumowanie

Przepisy nakładające obowiązki dotyczące danych osobowych mają zastosowanie do większości firm z uwagi na fakt, iż definicja danych osobowych obejmuje szeroki zakres informacji np. klienci sklepu internetowego, klienci otrzymujący newsletter, dostawcy itp.

Trzeba pamiętać, że poza wskazanymi w ustawie przypadkami, rejestracja zbioru danych osobowych jest zazwyczaj konieczna by dane te mogły być w ogóle legalnie przez firmę przetwarzane. Ustawa o ochronie danych osobowych wyraźnie stanowi, że administrator danych osobowych może rozpocząć ich przetwarzanie w zbiorze dopiero po zgłoszeniu tego zbioru do GIODO.

Przedsiębiorca, który ma obowiązek zgłoszenia zbioru danych osobowych a nie dopełni go, powinien liczyć się z koniecznością poniesienia przykrych konsekwencji takiego zaniechania w postaci grzywny, kary ograniczenia wolności czy pozbawienia wolności.