Ochrona danych osobowych - przedsiębiorco nie zapominaj się!

Przedsiębiorcy często nawet nie zdają sobie sprawy, że prowadząc działalność internetową, budując relację z klientami poprzez mailing czy newslettery lub też używając w firmie nowoczesnych telefonów służbowych, które wykorzystywane są jako narzędzie marketingowe, mają do czynienia z gromadzeniem danych osobowych podlegających ustawowej ochronie. Prowadzący działalność gospodarczą powinni wiedzieć, kiedy stają się posiadaczami zbiorów danych osobowych, jak powinni z nimi postępować oraz kiedy zobowiązani są podjąć szczególne kroki w celu ich ochrony Jak powinna realizować się ochrona danych osobowych w firmie? Odpowiadamy!.

Zbiór danych osobowych a ochrona danych osobowych

Ustawa z dnia  29.08.1997 r. o ochronie danych osobowych nakazuje zarejestrować zbiór danych u Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Według ustawy poprzez zbiór danych rozumie się “każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”. Zatem zbiór danych może powstać bardzo łatwo i szybko, co powoduje, że przedsiębiorca nie zawsze jest świadomy jego posiadania.

Przykład 1. Sklep internetowy

Prowadząc sprzedaż za pośrednictwem Internetu pozyskuje się dane osobowe klientów. Zwykle dane nie są przechowywane pojedynczo, a w utworzonej dla tych celów bazie. To już może być podstawą do uznania, że firma przechowuje i przetwarza dane osobowe w związku z czym podlega procedurze zgłoszenia bazy u GIODO.

Przykład 2. Mailing i newslettery

Jeżeli przedsiębiorca buduje relacje z klientami i utrzymuje z nimi kontakt za pomocą listów przesyłanych pocztą elektroniczną, również może się okazać, że ma do czynienia z przetwarzaniem danych osobowych. Jeżeli bowiem obok adresów e-mail zbierane są również inne dane dotyczące np. imion i nazwisk, wieku, miejsca zamieszkania, powinno zadbać się o zgodę na ich rejestrowanie i przetwarzanie, gdyż stanowią one zbiór danych osobowych.

Przykład 3. Telefon komórkowy jako nośnik danych osobowych

Nowoczesne telefony komórkowe posiadające dostęp do Internetu, a więc i poczty e-mail, czy też często nawiązujące połączenie z wewnętrzną siecią informatyczną firmy, na których przechowywane są dane kontrahentów, z których pracownicy korzystają w celach np. prowadzonych akcji marketingowych, również mogą być uznane jako nośnik podlegający ochronie danych osobowych. Pomimo tego, że obecnie zgłoszenia o danych osobowych podlegających GIODO dotyczą zwykle baz danych zawartych na dyskach komputerów przenośnych bądź zapisanych w sieciach informatycznych, to z uwagi na szybki rozwój technologii może się okazać, iż obowiązkowej ochronie będą podlegać również i dane przechowywane w telefonie komórkowym, szczególnie tym technicznie zaawansowanym.

Wyjątkiem wśród zbiorów danych, które nie podlegają rejestracji w GIODO, są te przetwarzane m.in.:

  • wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
  • w związku z zatrudnieniem u przedsiębiorców, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się.

Nie podlegają zgłoszeniu również bazy danych powszechnie dostępnych.

Ochrona danych osobowych a rejestracja zbioru u GIODO

Rejestracji zbiorów danych u GIODO można dokonać elektronicznie za pośrednictwem strony egiodo.giodo.gov.pl. Z przesyłki on-line mogą skorzystać jednocześnie przedsiębiorcy posługujący się aktywnym podpisem elektronicznym, jak również ci, którzy go nie posiadają. Ta druga grupa powinna jednak dodatkowo przesłać formularz w wersji tradycyjnej - papierowej z podpisem upoważnionej osoby.

Zgłoszenie zbiorów danych powinno zawierać:

1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,

2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31 lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,

3) cel przetwarzania danych,

3a) opis kategorii osób, których dane dotyczą oraz zakres przetwarzanych danych,

4) sposób zbierania oraz udostępniania danych,

4a) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,

5) opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39,

6) informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a,

7) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Dodatkowo administrator bazy danych powinien zadbać o zabezpieczenie przechowywanych danych, zapewnić kontrolę nad ich przetwarzaniem, a także zobowiązany jest prowadzić ewidencję osób, które zostały upoważnione do ich przetwarzania.