Serwis o Finansach Przedsiębiorstw ANALIZA FINANSOWA

  • Increase font size
  • Default font size
  • Decrease font size
Email Drukuj

Jakie obowiązki wiążą się z przetwarzaniem danych osobowych w firmie?

Obowiązkiem, jaki przede wszystkim musi spełnić podmiot przetwarzający dane osobowe (inaczej mówiąc Administrator Danych Osobowych - czyli firma), jest legitymowanie się odpowiednią podstawą prawną, uzasadniającą sam fakt przetwarzania przez ten podmiot określonych danych osobowych.

Podstawową i najczęściej funkcjonującą podstawą jest prawidłowo uzyskana zgoda na przetwarzanie danych konkretnej osoby przez konkretny podmiot, w określonym celu (lub celach) - "zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści", podkreślenia wymaga również fakt, iż zgoda może być odwołana w każdym czasie.

Innymi ujętymi w art. 23 ust. 1 podstawami przetwarzania danych osobowych są: konieczność zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2), konieczność realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (art. 23 ust. 1 pkt 3), konieczność wykonania określonych prawem zadań realizowanych dla dobra publicznego, (art. 23 ust. 1 pkt 4), konieczność wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, pod warunkiem, że przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5). Jeżeli chodzi o podstawę przetwarzania oparta na "konieczności wypełnienia prawnie usprawiedliwionych celów" - istotną rzeczą jest fakt, że w art. 23 ust. 4 ustawy o ochronie danych osobowych znajdują się dwa przykłady wskazujące na to, w jaki sposób interpretować można "prawnie usprawiedliwiony cel" - ustawa rozumie przez to w szczególności "marketing bezpośredni własnych produktów lub usług administratora danych" oraz "dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej" - jest to wyliczenie przykładowe, na co wskazuje posłużenie się przed nim sformułowaniem "w szczególności" - oznacza to że nie jest wykluczone inne rozumienie zwrotu "prawnie usprawiedliwiony cel", jednak dopuszczalność zakwalifikowania innych sytuacji jako "prawnie usprawiedliwiony cel" będzie w każdym przypadku oceniana w odniesieniu do indywidualnych okoliczności towarzyszących określonej sytuacji.

Art. 24 przewiduje wymagania w stosunku do Administratora Danych Osobowych (może nim być przedsiębiorca przetwarzający dane klientów, kontrahentów, pracowników lub współpracowników) w sytuacji, kiedy uzyskuje on dane osobowe od osoby, której one dotyczą - jest to standardowa, najczęściej występująca w praktyce sytuacja, a obowiązki przewidziane w wyżej wymienionym przepisie mają charakter informacyjny - nie należy ich jednak lekceważyć, ponieważ niezastosowanie się do ich dyspozycji stanowi przestępstwo z art. 54 ustawy o ochronie danych zagrożone karą grzywny, ograniczenia wolności, lub pozbawienia wolności do roku. Do obowiązków informacyjnych przewidzianych w art. 24 ustawy o ochronie danych osobowych należą: poinformowanie o adresie swojej siedziby i pełnej nazwie, a w przypadku, gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku (art. 24 ust. 1 pkt 1), poinformowanie o celu zbierania danych, a w szczególności o znanych Administratorowi Danych Osobowych w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych (art. 24 ust. 1 pkt 2), poinformowanie o prawie dostępu do treści swoich danych oraz ich poprawiania (art. 24 ust. 1 pkt 3), poinformowanie o dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej (art. 24 ust. 1 pkt 4).

Art. 25 ustawy o ochronie danych osobowych określa obowiązki w przypadku "zbierania danych osobowych nie od osoby, której dotyczą", z uwagi jednak na fakt, iż jest to dość rzadko spotykana w praktyce sytuacja - nie zostanie ona omówiona w niniejszym opracowaniu, należy jednak pamiętać, iż w przypadku zajścia takiej niestandardowej sytuacji, należy wypełnić wymagania ustanowione w wyżej wymienionym przepisie.

Art. 26 ustawy o ochronie danych osobowych przewiduje obowiązek dołożenia przez Administratora Danych Osobowych szczególnej staranności, w celu ochrony interesów osób, których dane dotyczą. Wśród przykładowego wyliczenia obowiązków, szczególna pozycję zajmuje obowiązek zastosowania się do ograniczenia czasowego przetwarzania danych, najczęściej granicą czasowej dopuszczalności przetwarzania danych będzie moment, w którym umowa (zawarta np. pomiędzy przedsiębiorcą a klientem) zostanie wykonana - nie wyklucza to jednak zupełnie dopuszczalności dalszego przetwarzania takich danych, będzie wtedy jednak musiała zostać spełniona przynajmniej jedna z ustawowych przesłanek na to zezwalających. Taką przesłanką może być ujęta w art. 23 ust. 1 pkt 2 konieczność realizacji uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (przez co można rozumieć np. art. 74 ustawy o rachunkowości, gdzie ujęto obowiązek przechowywania dokumentów księgowych przez okres co najmniej 5 lat po wygaśnięciu zobowiązania). Przesłankę zezwalającą na przetwarzanie danych osobowych po upłynięciu pierwotnego okresu przetwarzania może także stanowić ujęta w art. 23 ust. 1 pkt 5 niezbędność do realizacji prawnie usprawiedliwionych celów (np. marketing bezpośredni własnych produktów lub usług) pod warunkiem, że nie narusza to praw i wolności osoby, której dane dotyczą, a osoba taka zostanie poinformowana o zmianie celu przetwarzania. Należy jednak pamiętać, że tak orzecznictwie, jak i doktrynie istnieje spór, co do prawidłowej interpretacji art. 26 i nie można wykluczyć zakwestionowania wyżej przedstawionej interpretacji przez GIODO lub sądy administracyjne.

Art. 27 ustawy o ochronie danych osobowych odnosi się do sytuacji, w której przetwarzane są tzw. "dane wrażliwe", przez co należy rozumieć: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. W przypadku, gdy wyżej wymienione dane nie są przetwarzane, nie istnieje obowiązek stosowania się do postanowień art. 27.

Art. 31 ustawy o ochronie danych osobowych zawiera bardzo istotną z praktycznego punktu widzenia regulację dotyczącą umowy powierzenia przetwarzania danych osobowych.

Regulacja ujęta w tym przepisie ma o tyle istotne znaczenie, że może dotyczyć wielu codziennych sytuacji (np. zlecenie usług księgowych biuru rachunkowemu), a odpowiedzialność za zgodne z prawem powierzenie danych spoczywać będzie na podmiocie będącym administratorem danych - zatem, w przypadku inspekcji we współpracującym z określonym przedsiębiorstwem biurem rachunkowym odpowiedzialność tak karna, jak i administracyjna spoczywać będzie na podmiocie powierzającym - co jednak nie wyklucza pociągnięcia przez powierzającego do odpowiedzialności na podstawie zawartej umowy podmiotu, któremu powierzono przetwarzanie danych osobowych. Art. 31 określa minimalne wymagania, jakie musi spełniać umowa powierzenia przetwarzania danych osobowych, umowa musi mieć formę pisemną oraz określać zakres i cel przetwarzania a podmiot przetwarzający, któremu powierzono dane nie może wykraczać poza oznaczony w umowie zakres oraz cel. Kolejną istotną rzeczą związaną z umową powierzenia przetwarzania danych osobowych jest fakt, że podmiot, któremu na mocy takiej umowy powierza się przetwarzanie danych osobowych musi mieć wdrożony system przetwarzania danych osobowych zgodny z art. 36 - 39a (w tym z rozporządzeniem do art. 39a wymagającym wdrożenia Polityki Bezpieczeństwa, oraz Instrukcji Zarządzania Systemem Informatycznym, jeżeli dane są przetwarzane w systemie informatycznym). Pewnym ułatwieniem, jeżeli chodzi o powierzenie przetwarzania danych jest fakt, że nie istnieje obowiązek informowania osób, których dane dotyczą, o fakcie przekazania danych - podmiot przetwarzający dane na podstawie takiej umowy nie jest bowiem odbiorcą danych w rozumieniu art. 7 pkt 6 lit. d ustawy o ochronie danych osobowych.

Rozdział 4 ustawy o ochronie danych osobowych, w art. 32 - 35 reguluje uprawnienia osób, których dane są przetwarzane, osoby takie mają prawo do kontroli przetwarzanych danych na ich temat. Co jest warte podkreślenia, w art. 32 ust. 1 pkt 8 zostało przyznane osobom, których na są przetwarzane prawo do wniesienia sprzeciwu, a nie zastosowanie się do prawidłowo wniesionego sprzeciwu i dalsze przetwarzanie danych stanowi przestępstwo określone w art. 49 zagrożone karą grzywny, ograniczenia wolności, albo pozbawienia wolności do lat 2.

Rozdział 5 ustawy o ochronie danych osobowych, w art. 36 - 39a reguluje obowiązki Administratora Danych Osobowych w zakresie zabezpieczenia danych osobowych. Do najważniejszych jego postanowień należy obowiązek zastosowania odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności, zabezpieczenia przetwarzanych danych osobowych przed dostępem do nich osób nieuprawnionych, ich zmianą, utratą, uszkodzeniem lub zniszczeniem. Art. 36 ust. 2 stanowi, że Administrator Danych Osobowych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne, które służyć mają ochronie danych osobowych, do tego przepisu bezpośrednio odnosi się art. 39a ustawiający ustawową podstawę do rozporządzenia określającego sposób prowadzenia tej dokumentacji.

Oprócz powyższych wymagań, w rozdziale 5 wyszczególniono obowiązek wyznaczenia Administratora Bezpieczeństwa Informacji (którym musi być konkretna osoba fizyczna) odpowiadającego za przestrzeganie zasad ochrony danych obowiązujących w danej jednostce organizacyjnej. Wymóg wyznaczania Administratora Bezpieczeństwa Informacji nie obowiązuje jedynie w sytuacji, gdy Administrator Danych Osobowych osobiście wykonuje czynności związane z nadzorowaniem zasad przestrzegania ochrony danych osobowych (w każdym jednak przypadku, musi to być konkretna osoba fizyczna). W tym samym rozdziale zastrzeżono, iż do przetwarzania danych osobowych mogą zostać dopuszczone jedynie osoby dysponujące upoważnieniem nadanym przez Administratora Danych Osobowych (jeżeli wyznaczono Administratora Bezpieczeństwa informacji, to może on nadać upoważnienie, powinno to jednak wynikać wprost z zakresu jego obowiązków).

W art. 38 nałożony został na Administratora Danych Osobowych obowiązek zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Odrębnie określony został w art. 39 obowiązek prowadzenia ewidencji osób, którym nadano upoważnienie do przetwarzania danych osobowych.

Rozdział 6 ustawy o ochronie danych osobowych, w art. 40-46a, odnosi się do obowiązku rejestracji zbiorów danych osobowych, oprócz formalnych wymagań związanych ze zgłoszeniem zbioru do rejestracji istotne postanowienia zawiera art. 43 ust.1 pkt 1-11 gdzie zawarto katalog wyłączeń spod obowiązku zgłoszenia zbioru danych osobowych do rejestracji. Na uwagę z praktycznego punktu widzenia zasługuje art. 43 ust.1 pkt 4, na podstawie którego zbiór danych osobowych osób zatrudnionych jest wyłączony spod obowiązku zgłoszenia do rejestracji. Należy jednak mieć na uwadze, że zwolnienie z obowiązku zgłoszenia do rejestracji nie jest równoznaczne ze zwolnieniem od obowiązku zabezpieczenia danych osobowych, zgodnie z postanowieniami rozdziału 5 ustawy o ochronie danych osobowych - zatem nawet w przypadku, gdy jedynymi danymi osobowymi przetwarzanymi w przedsiębiorstwie są dane wyłączone spod obowiązku rejestracji (np. dane osobowe pracowników) będzie zachodziła konieczność wdrożenia dokumentacji, o jakiej mowa w rozporządzeniu wykonawczym do art. 39a ustawy o ochronie danych osobowych (Polityka Bezpieczeństwa oraz Instrukcja Zarządzania Systemem Informatycznym w przypadku, gdy dane przetwarzane są w systemie informatycznym).

Art. 43 ust. 1 ustawy o ochronie danych osobowych

(zawierający katalog danych wyłączonych spod obowiązku rejestracji)

1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:

1) zawierających informacje niejawne,

1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,

2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,

2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej,

2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej

Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;

2c) przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej,

3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,

4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,

5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,

6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,

7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,

8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,

9) powszechnie dostępnych,

10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,

11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

(")

Źródło:
RBDO.PL
Rejestracja Baz Danych Osobowych
www.rbdo.pl
 
Reklama