Problematyka prawidłowej ochrony danych osobowych wraz z rozwojem nowoczesnych technologii staje się coraz większym wyzwaniem także dla przedsiębiorców, którzy przechowują i przetwarzają dane osobowe klientów. Oprócz faktycznej dbałości o bezpieczeństwo danych klientów należy także przestrzegać regulacji prawnych w tym zakresie, które ulegają dość częstym zmianom. Problematykę danych osobowych regulują także przepisy wspólnotowe. Trzeba też zauważyć, iż w ostatnich latach znacznie wzrosła świadomość klientów w zakresie danych osobowych i ich ochrony.
Podstawowym aktem prawnym regulującym problematykę danych osobowych jest ustawa o ochronie danych osobowych. Jednak poza nią istnieją także inne regulacje, w tym w szczególności przepisy wspólnotowe, które szczegółowo regulują sposób postępowania z danymi osobowymi oraz zasady ich ochrony i przechowywania. W niniejszym opracowaniu poruszone są w szczególności problemy dotyczące ochrony danych osobowych najistotniejsze z punktu widzenia przedsiębiorców. Należy pamiętać, że organem, który czuwa nad należytym przestrzeganiem ustawy, jest Generalny Inspektor Ochrony Danych Osobowych (GIODO), który może przeprowadzić kontrolę przedsiębiorcy i nakazać określone działania. Może też nałożyć na administratora danych sankcje.
Chociaż pojęcie danych osobowych jest powszechnie znane, to poza imieniem i nazwiskiem wiele osób ma problemy ze wskazaniem, jakie dane należą jeszcze do tego kręgu. Definicję danych osobowych zawiera art. 6 ustawy i odnosi się on do wszelkich informacji dotyczących zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przy czym możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2 ustawy). Przywołane przepisy są mało precyzyjne. Wynika to z faktu, że pojęcie danych osobowych nie ma charakteru zamkniętego katalogu. Dlatego ocena, czy konkretne informacje mogą stanowić dane osobowe, zależy od okoliczności faktycznych. Niewątpliwie jednak do danych osobowych przechowywanych przez większość przedsiębiorców zaliczyć można m.in. imię i nazwisko, adres, numer telefonu, adres poczty elektronicznej, numer PESEL czy datę urodzenia klientów. Jednak w zależności od okoliczności może być to np. adres IP komputera czy numer rejestracyjny pojazdu.
Analizując przepisy dotyczące danych osobowych warto zaznajomić się z pojęciem administratora danych. Jest to organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych. Podmiot ten jest odpowiedzialny za przestrzeganie przepisów o ochronie danych osobowych.
Głównym założeniem ochrony danych osobowych jest uprawnienie każdego człowieka do ochrony dotyczących go danych osobowych, dlatego przetwarzanie tych danych możliwe jest jedynie na zasadach określonych w ustawie. Przy czym, jak wynika z treści jej art. 5, jeżeli przepisy odrębnych ustaw przewidują dalej idącą ochronę niż przepisy ustawy o ochronie danych osobowych, to znajdują one zastosowanie.
Dopuszczalność przetwarzania danych osobowych uregulowana w art. 23 ustawy jest podstawowym przepisem także dla przedsiębiorców, którzy wykorzystują dane klientów (patrz ramka). Pojęcie przetwarzania danych osobowych odnosi się natomiast do jakichkolwiek operacji wykonywanych na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza tych, które wykonuje się w systemach informatycznych. Przy czym ustawę stosuję się zarówno do przetwarzania danych w systemach informatycznych, jak i w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych (art. 2 ust. 2 pkt 1 ustawy).
W przypadku przedsiębiorców czy biur rachunkowych w praktyce zgodne z prawem przetwarzanie danych osobowych klientów odbywa się na podstawie zgody osoby, której dane dotyczą. Ustawa dopuszcza także przetwarzanie danych osobowych na podstawie art. 23 ust. 1 pkt 5, jeżeli jest to niezbędne do wypełniania prawnie usprawiedliwionych celów, do których zalicza się marketing bezpośredni własnych produktów lub usług administratora danych, bądź dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Stosowanie tego przepisu wywołuje wątpliwości w praktyce. Jak wskazał Naczelny Sąd Administracyjny w wyroku z dnia 13 lutego 2014 r., sygn. akt I OSK 1641/12, w przypadku przetwarzania danych osobowych przez administratora danych, bez zgody osoby, której te dane dotyczą, w pierwszej kolejności konieczne jest ustalenie i rozważenie, czy spełniona jest ustawowa przesłanka szczegółowa uzasadniająca przetwarzanie danych bez zgody osoby, której dane dotyczą. Powołanie się na prawnie usprawiedliwiony cel administratora danych osobowych nie jest jednak sposobem na obejście przepisów dotyczących przetwarzania danych osobowych. Jak bowiem wskazał WSA w Warszawie w wyroku z dnia 19 listopada 2013 r., sygn. akt II SA/Wa 1241/13, "Przetwarzanie danych nie może opierać się jedynie na przesłance prawnie usprawiedliwionego celu realizowanego przez administratora danych, wymagane jest bowiem, by było ono podyktowane niezbędnością i nie naruszało praw i wolności osoby, której dane dotyczą".
Ustawy nie stosuje się do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych.
W praktyce bardzo często dochodzi do sytuacji, gdy przedsiębiorcy chcąc zabezpieczyć się przed interwencją GIODO przygotowując formularze i wzory umów czy treści zamieszczane na ich stronach internetowych wymagają od klientów wyrażenia zgody na przetwarzanie ich danych osobowych. Często zdarza się, że brak zaznaczenia stosownego "okienka" uniemożliwia np. zawarcie umowy czy złożenie zamówienia. Takie działanie jest nie tylko niepoprawne i może spotkać się z reakcją GIODO, ale także niepotrzebne. Jak bowiem wynika z art. 23 ust. 1 pkt 3 ustawy, jedną z przesłanek do przetwarzania danych osobowych jest konieczność ich przetwarzania w związku z realizacją umowy lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Zatem fakt zawarcia umowy lub przygotowania do jej zawarcia wynikającego z inicjatywy klienta uzasadnia zgodne z prawem przetwarzanie jego danych osobowych bez konieczności uzyskania dodatkowej zgody. Zgoda taka będzie natomiast potrzebna, jeżeli administrator danych oprócz wykonania umowy będzie chciał przetwarzać dane klienta w innym celu.
Z uwagi na fakt, iż zgoda na przetwarzanie danych osobowych uzyskana od osoby, której one dotyczą, daje możliwość zgodnego z prawem przetwarzania danych, należy zwrócić uwagę na sposób, w jaki zgoda może być wyrażona. Nie może mieć ona charakteru domniemanego czy dorozumianego. Jak bowiem wskazał NSA w wyroku z dnia 4 kwietnia 2003 r., sygn. akt II SA 2135/02, "Zgoda na przekazywanie danych musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania".
Jest to oświadczenie woli danej osoby, którego treścią jest zgoda na przetwarzanie danych osobowych. Może być ona odwołana w każdym czasie. Zgoda na przekazywanie danych musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania. Czynności takiej nie konwaliduje późniejsze poinformowanie o treści regulaminu, ani możliwość zgłoszenia zastrzeżeń wobec pewnych form przetwarzania danych (wyrok NSA z dnia 4 kwietnia 2003 r., sygn. akt II SA 2135/2002).
Od 1 stycznia 2015 r. weszła w życie istotna reforma w zakresie przepisów związanych z ochroną danych osobowych. Do ustawy dodane zostały bowiem przepisy dotyczące administratora bezpieczeństwa informacji (ABI). Jego powołanie nie jest obowiązkowe, jak bowiem wynika z art. 36a ustawy, administrator danych osobowych może (ale nie musi) powołać ABI. Powołanie ABI daje administratorowi możliwość przerzucenia na tę osobę większości obowiązków związanych z realizacją przepisów ustawy. Często wiąże się jednak z koniecznością nie tylko zatrudnienia nowego, najczęściej zewnętrznego podmiotu, ale także z zapłatą za jego usługi bądź pracę. Do zadań ABI należy m.in. sprawdzanie zgodności przetwarzania danych osobowych w firmie z przepisami o ochronie danych osobowych, czy prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.
ABI może zostać jedynie osoba, która spełnia kryteria określone w art. 36a ust. 5 ustawy. Podlega on bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań. Należy pamiętać, że powołanie ABI jest uprawnieniem, a nie obowiązkiem administratora danych osobowych. W przypadku podjęcia decyzji o niepowołaniu ABI jego zadania wykonuje sam administrator danych, przy czym nie jest on obowiązany do sporządzania sprawozdania i prowadzenia wewnętrznego rejestru zbiorów danych przetwarzanych przez administratora danych, o którym mowa w art. 36b ustawy. Wielu przedsiębiorców decydując się na powołanie ABI powierza jego obowiązki jednemu z pracowników. Takie działanie jest, co do zasady, zgodne z prawem. Jednak jak wynika z art. 36a ust. 4 ustawy, administrator danych może powierzyć ABI wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, do których powołany jest ABI i określonych w art. 26a ust. 2 ustawy.
Decydując się na wariant z ABI należy nie tylko dokonać jego powołania, ale także dopełnić obowiązku jego rejestracji do GIODO przy użyciu zgłoszenia stanowiącego załącznik do rozporządzenia Ministra Administracji i Cyfryzacji w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. z 2014 r. poz. 1934).
Nie da się jednoznacznie odpowiedzieć na pytanie, czy z punktu widzenia prowadzenia działalności gospodarczej bardziej korzystne jest powołanie ABI, czy też nie. Zależy to od wielu czynników, jak chociażby sposób zarządzania firmą czy specyfika branży. Konsekwencją niepowołania ABI jest jednak konieczność wykonywania jego obowiązków przez administratora danych osobowych. Dodatkowo administrator zobowiązany jest zgłosić do rejestracji Generalnemu Inspektorowi zbiory danych osobowych. Obowiązek taki wynika z art. 40 ustawy. Konieczność zgłoszenia zbioru danych nie dotyczy sytuacji określonych w art. 43 ust. 1 i art. 43 ust. 1a ustawy, w praktyce przypadki te rzadko jednak dotyczą przedsiębiorców. Brak powołania ABI, a jednocześnie nierealizowanie obowiązków ustawowych w zakresie przepisów o ochronie danych osobowych może powodować przykre konsekwencje w przypadku kontroli GIODO.
Korzystanie z nowoczesnych technologii i szybkość wymiany danych powoduje, że w ciągu ostatnich kilku lat przepisy dotyczące ochrony danych osobowych ulegają dynamicznym zmianom. W dniu 27 kwietnia 2016 r. Parlament Europejski i Rada uchwaliły Rozporządzenie numer 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (...). Rozporządzenie to wprowadza wiele istotnych zmian w zakresie ochrony danych osobowych osób fizycznych i obowiązków z tym związanych. Będzie ono miało zastosowanie od dnia 25 maja 2018 r., a wynikające z niego regulacje będziemy szczegółowo opisywać na łamach GP.
Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
|
Podstawa prawna
Ustawa z dnia 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922)
|