Porada prawna on-line

NAJNOWSZE ARTYKUŁY

Pojęcie danych osobowych

Wiele mówi się w ostatnim czasie o ochronie danych osobowych czy konieczności “zgłoszenia danych do GIODO”. W związku z tym wielu przedsiębiorców pod groźbą bardzo wysokich kar finansowych postanawia podjąć działania w celu uregulowania kwestii ochrony danych osobowych w swoich przedsiębiorstwach. Jakiekolwiek działania w tym zakresie powinny zostać jednak poprzedzone wyjaśnieniem czy są “dane osobowe”.

Najpoważniejsze zagrożenie, które będzie ciążyło nad przedsiębiorcami, niesie za sobą planowana na rok 2017 lub 2018 zmiana w przepisach europejskich, która pozwoli naszemu GIODO, a także równorzędnym organom w innych państwach członkowskich, nakładanie w trybie decyzji administracyjnej grzywien. Nie brzmi to źle do momentu zapoznania się z założeniami tego rozporządzenia – planowany zakres możliwych do orzeczenia grzywien to albo od 3 do 5% rocznego obrotu brutto lub od 0.5 do 100 mln euro. Pozycja GIODO zmieni się więc z organu, który jest raczej instytucją instrukcyjną i pomocniczą, na organ pokroju UOKiK, który posiada bardzo szerokie uprawnienia karno-kontrolne i posiada skuteczne narzędzia do walki z naruszeniami prawa. Dlatego też nad kwestią ochrony danych osobowych należy się bardzo poważnie zastanowić, a model przeciwdziałania naruszeniom najlepiej wdrożyć jak najszybciej.

Wielu przedsiębiorców popełnia zasadniczy błąd, bowiem budowanie systemu ochrony danych osobowych rozpoczyna od zgłoszenia zbiorów danych do GIODO. Podejście takie jest oczywiście usprawiedliwione przesłanką „świętego spokoju” – sprawia dobre wrażenie przed GIODO oraz Państwowej Inspekcji Pracy (która również może dokonywać kontroli ochrony danych na mocy porozumienia między tymi dwoma instytucjami) i wydaje się być wypełnieniem wszystkich obowiązków administracyjnych związanych z wymogami ustawy o ochronie danych osobowych. Nic bardziej mylnego!

Takie postawienie sprawy w zasadzie odwraca nam całą „piramidę” obowiązków i sprawia, że zgłoszone zostają zbiory niewłaściwie zidentyfikowane, zawierające dane osobowe być może niezgodnie z prawem zebrane, a z całą pewnością niedostatecznie chronione. Organy kontroli nie przywiązują aż tak wielkiej roli do kwestii zgłoszenia zbioru danych osobowych do GIODO jak to się wydaje wielu przedsiębiorcom. Zdają sobie bowiem sprawę, iż ważniejsze jest odpowiednie faktyczne zabezpieczenie danych. Aby jednak skutecznie chronić dane osobowe – konieczna jest ich uprzednia identyfikacja. Dlatego też niezbędna jest przede wszystkim wiedza na temat tego, czym dane osobowe są.

W ujęciu ustawowym dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Daną osobową jest więc każda informacja, która umożliwia identyfikację konkretnej osoby bez nadmiernych nakładów czasu lub kosztów. Jak widać definicja jest bardzo szeroka, ogólna, i może budzić pewne wątpliwości interpretacyjne.

Aby uzmysłowić sobie jak szeroki jest to katalog wystarczy kilka przykładów. Otóż daną osobową może być adres e-mail zawierający imię i nazwisko, wizerunek nagrany na kamerze monitoringu, tablica rejestracyjna pojazdu, numer i seria dowodu osobistego, numer telefonu a nawet pozornie nic nie znaczące zdanie (np. pierwszy prezydent Rzeczpospolitej Polskiej, aktualny mistrz świata w windsurfingu) czy dane wynikające z stosowania geolokalizacji (np. w przypadku gdy pracodawca montuje nadajniki GPS w aucie przekazanym pracownikowi do celu realizacji poleceń służbowych) albo nick używany do logowania się w systemie informatycznym.

Typowymi danymi osobowymi, przetwarzanymi w każdej niemal organizacji są przede wszystkim imiona i nazwiska, adresy zamieszkania, numery PESEL i NIP pracowników i kontrahentów. Nie ulega wątpliwości, że każdy przedsiębiorca ma do czynienia z danymi osobowymi w czasie wykonywania działalności gospodarczej. Już pierwsze działanie przedsiębiorcy, to jest rejestracja działalności gospodarczej, rozpoczyna przetwarzanie pierwszych danych osobowych tj. imion i nazwisk urzędników podpisanych na aktach poświadczających założenie działalności gospodarczej, nadaniu NIP, REGON, zaś kolejnymi krokami są zwykle zatrudnianie pracowników, podpisywanie umów, wystawianie i otrzymywanie faktur, otrzymywanie CV, wizytówek… przykłady można mnożyć praktycznie w nieskończoność. Co więcej, nawet, jeśli w toku dalszej analizy stwierdzone zostanie, iż konkretny zbiór danych nie wymaga zgłoszenia do GIODO z przyczyn określonych w art. 42 ustawy o ochronie danych osobowych, to będą one podlegały obowiązkowi ich bezwzględnego zabezpieczenia, zniszczenia lub anonimizacji po ich wykorzystaniu.

Oprócz wyżej wymienionych “typowych” danych osobowych ustawa wyróżnia także dane wrażliwe. Wymogi formalne ich pozyskiwania a także zasady bezpieczeństwa przetwarzania są różne. Dlatego też, mając na uwadze powyższe, konieczne jest poświęcenie dłuższej chwili na zastanowienie się nad tym, jakie konkretnie dane osobowe Państwo przetwarzają zanim podjęte zostaną działania zmierzające do ich ochrony. Jak widać powyżej – nie zawsze jest to oczywiste. Jakby tego było mało, nad wieloma zagadnieniami, takimi jak na przykład zakres ochrony danych zapisanych na dyskach monitoringu zakładowego, cały czas trwa dyskusja w środowisku prawniczym. Dlatego też przed podjęciem środków ochrony danych osobowych konieczna jest szczegółowa i zindywidualizowana analiza każdego aspektu ochrony danych na Państwa konkretnym przykładzie. Pozwoli to na uniknięcie dotkliwych sankcji prawnych obowiąz

MASZ PYTANIE?