Poradnik Przedsiębiorcy

Ochrona danych osobowych - przedsiębiorco nie zapominaj się!

Przedsiębiorcy często nawet nie zdają sobie sprawy, że prowadząc działalność internetową, budując relację z klientami poprzez mailing czy newslettery lub też używając w firmie nowoczesnych telefonów służbowych, które wykorzystywane są jako narzędzie marketingowe, mają do czynienia z gromadzeniem danych osobowych podlegających ustawowej ochronie. Prowadzący działalność gospodarczą powinni wiedzieć, kiedy stają się posiadaczami zbiorów danych osobowych, jak powinni z nimi postępować oraz kiedy zobowiązani są podjąć szczególne kroki w celu ich ochrony Jak powinna realizować się ochrona danych osobowych w firmie? Odpowiadamy!.

Zbiór danych osobowych a ochrona danych osobowych

Ustawa z dnia  29.08.1997 r. o ochronie danych osobowych nakazuje zarejestrować zbiór danych u Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Według ustawy poprzez zbiór danych rozumie się “każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”. Zatem zbiór danych może powstać bardzo łatwo i szybko, co powoduje, że przedsiębiorca nie zawsze jest świadomy jego posiadania.

Przykład 1. Sklep internetowy

Prowadząc sprzedaż za pośrednictwem Internetu pozyskuje się dane osobowe klientów. Zwykle dane nie są przechowywane pojedynczo, a w utworzonej dla tych celów bazie. To już może być podstawą do uznania, że firma przechowuje i przetwarza dane osobowe w związku z czym podlega procedurze zgłoszenia bazy u GIODO.

Przykład 2. Mailing i newslettery

Jeżeli przedsiębiorca buduje relacje z klientami i utrzymuje z nimi kontakt za pomocą listów przesyłanych pocztą elektroniczną, również może się okazać, że ma do czynienia z przetwarzaniem danych osobowych. Jeżeli bowiem obok adresów e-mail zbierane są również inne dane dotyczące np. imion i nazwisk, wieku, miejsca zamieszkania, powinno zadbać się o zgodę na ich rejestrowanie i przetwarzanie, gdyż stanowią one zbiór danych osobowych.

Przykład 3. Telefon komórkowy jako nośnik danych osobowych


Nowoczesne telefony komórkowe posiadające dostęp do Internetu, a więc i poczty e-mail, czy też często nawiązujące połączenie z wewnętrzną siecią informatyczną firmy, na których przechowywane są dane kontrahentów, z których pracownicy korzystają w celach np. prowadzonych akcji marketingowych, również mogą być uznane jako nośnik podlegający ochronie danych osobowych. Pomimo tego, że obecnie zgłoszenia o danych osobowych podlegających GIODO dotyczą zwykle baz danych zawartych na dyskach komputerów przenośnych bądź zapisanych w sieciach informatycznych, to z uwagi na szybki rozwój technologii może się okazać, iż obowiązkowej ochronie będą podlegać również i dane przechowywane w telefonie komórkowym, szczególnie tym technicznie zaawansowanym.

Wyjątkiem wśród zbiorów danych, które nie podlegają rejestracji w GIODO, są te przetwarzane m.in.:

  • wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
  • w związku z zatrudnieniem u przedsiębiorców, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się.

Nie podlegają zgłoszeniu również bazy danych powszechnie dostępnych.

Ochrona danych osobowych a rejestracja zbioru u GIODO

Rejestracji zbiorów danych u GIODO można dokonać elektronicznie za pośrednictwem strony egiodo.giodo.gov.pl. Z przesyłki on-line mogą skorzystać jednocześnie przedsiębiorcy posługujący się aktywnym podpisem elektronicznym, jak również ci, którzy go nie posiadają. Ta druga grupa powinna jednak dodatkowo przesłać formularz w wersji tradycyjnej - papierowej z podpisem upoważnionej osoby.

Zgłoszenie zbiorów danych powinno zawierać:

1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,

2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31 lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,

3) cel przetwarzania danych,

3a) opis kategorii osób, których dane dotyczą oraz zakres przetwarzanych danych,

4) sposób zbierania oraz udostępniania danych,

4a) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,

5) opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39,

6) informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a (zabezpieczenie danych),

7) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Dodatkowo administrator bazy danych powinien zadbać o zabezpieczenie przechowywanych danych, zapewnić kontrolę nad ich przetwarzaniem, a także zobowiązany jest prowadzić ewidencję osób, które zostały upoważnione do ich przetwarzania.

Powiadom klienta

Na administratorze zbioru danych osobowych ciąży również obowiązek powiadomienia osoby, której dane są przetwarzane o:

  • adresie swojej siedziby i pełnej nazwie, a w przypadku, gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
  • celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
  • prawie dostępu do treści swoich danych oraz ich poprawiania,
  • dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Obowiązku informowania o powyższych kwestiach nie stosuje się, jeżeli przepisy innej ustawy zezwalają na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania oraz w sytuacji, gdy osoba posiada już informacje, o których mowa w ustawie

W przypadku zbierania danych osobowych nie od osoby, której one dotyczą poza wymienionymi wyżej treściami (pierwsze 3 punkty) należy dodatkowo poinformować tę osobę o źródle danych oraz uprawnieniach, takich jak:

  • prawo do wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację,
  • prawo do wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych

- w przypadkach, gdy jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego oraz gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Administrator powinien zadbać o potwierdzenie, że dana osoba zapoznała się z powyższymi informacjami i wyraża na przetwarzanie danych zgodę.

Obowiązku powiadamiania o zbieraniu danych, nie od osoby, której te dane dotyczą, nie stosuje się, jeżeli:

  • przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą,
  • dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania,
  • dane są przetwarzane przez administratora, którym jest organ państwowy, samorządowy lub podmiot niepubliczny realizujący zadania publiczne,
  • osoba, której dane dotyczą, posiada informacje, o których mowa była wyżej.

Każdy z przedsiębiorców powinien zapoznać się z przepisami, o których mowa w ustawie o ochronie danych osobowych. Jeżeli bowiem w ramach prowadzonej przez niego działalności przechowywane są i przetwarzane zbiory danych podlegające wg ustawy rejestracji u GIODO, a przedsiębiorca nie wywiąże się z obowiązków na nim spoczywających, dopuszcza się czynu zabronionego i w konsekwencji może zostać za to surowo ukarany.