Do biura GIODO napływa morze wniosków o zarejstrowanie zbiorów. W 2013 r. wpłynęło ich 28 tys. podaje w dzisiejszym wydaniu Rzeczpospolita. Dalej informuje, iż są plany zmiany przepisów, tak by nie trzeba było zgłaszać do GIODO wszystkich zbiorów a jedynie zbiory zawierające dane wrażliwe.

W aktualnym stanie prawnym zasadą jest, ze każdy przedsiębiorca przetwarzający dane w zbiorach ma obowiązek je zgłosić poza przypadakami szczegółowo wymienionymi w ustawie.

Ilość wpływających wniosków świadczy, iż sama procedura zgłszania nie przysparza administratorom większych problemów. Jednakże sam GIODO ma wątpliwości czy samo zgłaszanie zbiorów zwiększa bezpieczeństwo danych. Niemcy zlikwidowali ten obowiązek już kilka lat temu.

Przepisy rozporządzenia unijnego dotyczącego ochrony danych osobowych, które aktualnie jest procedowane w organach Unii Europejskiej również przyniesie zmiany w zakresie rejestracji zbiorów.

Zniesienie urzędowego obowiązku rejestracji zbiorów nie oznacza zniesienia tego obowiązku w ogóle. Proponuje się bowiem żeby przedsiębiorcy sami prowadzili rejestry zbiorów, które posiadają. Swego rodzaju rejestr powinna zawierać polityka bezpieczeństwa. Wymagany juz dzisiaj przepisami prawa dokument, w którym wykazane muszą być wszystkie zbiory własne i przetwarzane adminsitratora danych.

W firmie, która posiada wspomnianą dokumentację adminsitrator danych  czy wyznaczony przez niego ABI nie będzie miał problemów z wprowadzeniem wspomnianego rejestru.

Patrząc na przytoczone wyżej liczby zaczynam rozumieć już nastawienie niektórych przedsiębiorców, które sprowadza się mniej więcej do tego „najwazniejsze żeby zgłosić”. Całość obowiązków związanych z ochroną danych osobowych w przedsiębiorstwie kojarzona jest przez nich z najbardziej popularnym obowiązkiem zgloszenia do GIODO.

A tymczasem zgłoszenie zbioru do GIODO wieńczy dzieło i tak naprawdę kończy bywa, że długi proces badania stanu zgodności prawnej w zakresie ochrony danych osobowych. W zakres tego badania wchodzić może wiele obszarów a sam proces być pracochłonny i wymgający wprowadzenia w organizacji szeregu zmian choćby takich jak zakupienie do biura szaf zamykanych na klucz lub na kod.

W świetle powyższego samo zgłoszenie zbioru do GIODO jest takim przysłowiowym wierzchołkiem góry lodowej a często przedsiębiorcom wydaje się, iż jest to naważniejszy i jedyny obowiązek związany z ochroną danych osobowych.

Dzisiaj w Rzeczpospolitej ukazał się artykuł pt. „Prawnicy słabo chronią dane osobowe„, w którym GIODO po raz kolejny przywołuje tę grupę zawodową, jako nie nazbyt biegłą w temacie ochrony danych osobowych.

Jednocześnie GIODO rozwiewa krążący wśród prawników mit jakoby regulacje prawne dotyczące ochrony danych osobowych ich nie dotyczyły. Tajemnica zawodowa radcowska i adwokacka ma zapewniać danym dalej idącą ochronę i polega na tym, że bez zgody osoby, której dane dotyczą radca czy adwokat nikomu nie ma prawa udostępniać danych osobowych. W wyjątkowych przypadkach tylko sąd może prawnika zwolnić z tej tajemnicy.

W pozostałym zakresie należy stosować regulacje prawne dotyczące ochrony danych osobowych. Kancelaria radców prawnych powinna więc mieć podstawowe dokumenty, jeślii przetwarza dane w systemach informatycznych takie jak politykę bezpieczenstwa oraz instrukcję zarządzania systemem informatycznym.

Z pracy biura GIODO wynika też, że zdarzają się nie tak znowu rzadko, skargi na Kancelarie w związku z naruszeniem ustawy o ochronie danych osobowych. GIODO w reakcji na skargę zmuszony więc jest do wszczęcia postępowania administracyjnego, które może co prawda wykazać bezzsadność skargi z jednej strony, ale z drugiej ujawnić inne braki, na które GIODO zareagować będzie musiał.

Nie taki diabeł straszny jak go malują. Temat ochrony danych osobowych jest rzeczywiście trochę po macoszemu traktowany przez prawników tak samo,podobnie  jak przez innych przedsiębiorców tylko w odróżnieniu od tych ostatnich prawnicy na pewno, gdy z tematem się juz zmierzą poradzą sobie z jego załatwieniem.

Cenzura w internecie

 

Nie tak dawno pisałam, iż  w wyroku TSUE z 13 maja 2014 r. Trybunał uznał, iż operator wyszukiwarki internetowej (np. Google) jest administratorem danych osobowych, które pojawiają się w wynikach wyszukiwania w postaci linków do stron osób trzecich, na których publikowane są informacje o nas.

Nawet jeśli informacje o nas zostały opublikowane na stronach osób trzecich, rozsianych po internecie, to Google prezentując te informacje jako listę wyników tworzy swego rodzaju profil informacji o osobie. W związku z tym został uznany przez TS jako niezależny administrator danych osobowych, do którego należy stosować regulacje unijne w zakresie ochrony danych osobowych.

Na skutek wspomnianego wyroku mozna domagać się usunięcia z wyników wyszukiwania informacji o nas. Chętnych nie brakuje, do operatorów wyszukiwarek lawinowo napływają wnioski od osób domagających sie usunięcia linków do wielu stron i artykułów.

Operatorzy mają obowiązek wniosek przyjąć i rozpatrzeć. Mogą oczywiście odmówić jego uwzględnienia, jednakże w takim przypadku zainteresowanemu przysługuje skarga do GIODO, który bedzie musiał sprawę rozpatrzyć i wydać decyzję.

Dylematów w sprawie nie brakuje. Prawo odmowy przez operatora uwzględnienia wniosku, gdyby miało być naruszone dobro osobiste nie rozwiewa a można rzec z całą pewnością dylematy te potęguje.

Z jednej strony zwyciężło prawo do prywatności jednostki. Wartość, która w sposób zrozumiały zasługuje na ochronę. Z drugiej strony powstaje ryzyko wybielania i wypaczania przeszłości jednostek.

Sprawa z pewnością będzie przedmiotem debat i analiz tak doktryny prawniczej jak i organów ochrony danych osobowych i miejmy nadzieję uda się wypracować rozsądny model postępowania.

Jednym z istotnych zagadnień z zakresu ochrony danych osobowych, ze zrozumieniem którego borykają się przedsiębiorcy jest zbiór danych osobowych.

Zbiór danych osobowych to w świetle tegoż prawa uporządkowany zestaw danych o charakterze osobowym, posiadający własną strukturę, w którym dane są dostępne według określonych kryteriów.

Praktyka pokazuje, iż identyfikacja zbiorów danych osobowych przysparza wciąż niemało problemów. Przedsiębiorcy najchętniej wszystkie dane osobowe, które w związku ze swoją działalnością przetwarzają, wrzuciliby do jednego worka.

Identyfikując zbiory należy jednak pamiętać, że dla realizacji różnych celów konieczne będzie przetwarzanie danych osobowych w różnych zakresach, a to oznacza, że zgłoszenie zbioru do rejestracji dotyczy nie jednego, lecz kilku zbiorów prowadzonych w różnych celach.

Na przykład baza klientów sklepu internetowego przetwarzanych w różnych celach, jak np. realizacji zamówień, marketingu, prowadzenia bazy umów cywilnoprawnych,nie może zostać zgłoszona do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych jako jeden zbiór danych osobowych.

W stosunku do każdego zbioru musimy też rozważyć legalność przetwarzania danych czyli rozpoznać podstawę prawną przetwarzania danych w zbiorze. Kolejnym obowiązkiem administratora danych będzie poinformowanie osoby, której dane są przetwarzane w zbiorze o tym, kto jest administratorem danych, w jakich celu dane są przetwarzane, czy dane są udostępniane oraz, że podanie danych jest dobrowolne i osoba ma prawo dostępu do danych.

No i oczywiście każdy zbiór powinien być zgodnie z przepisami prawa zabezpieczony a administrator w swojej organizacji musi posiadać podstawowe dokumenty związane z przetwarzaniem danych osobowych takie jak politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym.

Na koniec warto wspomnieć o zbiorze danych osobowych znanym większości przedsiębiorców jest baza Newsletter. Jednak obserwując strony internetowe łatwo można dojść do przekonania, iż pozyskiwanie danych do tego zbioru rzadko odbywa się z uwzględnieniem obowiązków prawa.

Za pośrednictwem formularza zapisu na newsletter rozpoczyna się proces zbierania danych osobowych. Osoba, której dane są pozyskiwane w ten sposób powinna w tym momencie uzyskać wszystkie niezbędne informacje kto i w jakim celu będzie przetwarzał jej dane osobowe, czy dane będą udostępniane oraz, że podanie danych jest dobrowolne a ona ma prawo dostępu do swoich danych.

Ponadto  jeśli za pośrednictwem newslettera przesyłane są oferty, reklamy czy jakiekolwiek informacje handlowe mające na celu zachęcenie odbiorcy do skorzystania z usług, konieczna jest wówczas wyraźna zgoda osoby na przesyłanie tego rodzaju komunikacji. W przeciwnym razie wysyłane komunikaty mogą narazić się na zarzut wysyłania sankcjonowanej przez prawo zakazanej informacji handlowej.

Nie jednego sam tytuł niniejszego wpisu zapewne odstrasza. Jednakże sytuacja opisana w tytule nie należy do rzadkości. Problem tylko w tym, że mało kto kojarzy ją ze swoim przypadkiem.

Na przykład firma Jana Nowaka prowadząca niewielką działalność gospodarczą potrzebuje promocji w internecie. Szuka firmy informatycznej i zamawia stworzenie firmowej strony internetowej. Strona musi mieć adres czyli domenę, ale co najważniejsze potrzebuje serwera, który będzie podłączony do sieci i będzie służył do utrzymywania strony.

W typowej sytuacji Jan Nowak skupia się na biznesie. Zależy mu więc na profesjonalnej stronie, która przysparzałaby mu nowych klientów. Pamięta też o kosztach więc wybierając firmę świadczącą usługi hostingu nie zawsze zbada jakość świadczonych w tym zakresie usług. Często nie zweryfikuje, gdzie zlokalizowane są serwery przechowywujące jego dane.

Usługi hostingu polegają na udostępnieniu usługobiorcy czyli naszemu Janowi Nowakowi powierzchni serwera w celu przechowywania na nim danych, utrzymywania stron internetowych, systemów informatycznych. W sytuacjach nieco bardziej skomplikowanych Jan Nowak kupi gotową aplikację na przykad do obsługiwania księgowości jego firmy i kontrahentów. Dostęp do aplikacji uzyska przez wyszukiwarkę internetową wraz z hostingiem, który często świadczony jest przez inny podmiot niż ten, który sprzedaje aplikację.

Sytuacja, w której dane powierzone do przetwarzania są powierzane dalej innym podmiotom zwana jest podpowierzaniem i ma miejsce w obrocie internetowym dość często. Mało kto jednak rozpoznaje ją i jest jej świadomy. Świadomość bowiem w zakresie nowych technologii jest tak samo kulejąca jak w kwestii ochrony danych osobowych.

W sytuacji, gdy Jan Nowak umieścił dane swoich kontrahentów w dostępnej przez wyszukiwarkę aplikacji internetowej jako administrator danych osobowych powierzył ich przetwarzanie usługodawcy udostępniającym mu te aplikację. Dane osobowe wyszły poza firmę Jana Nowaka, zostaly wyprowadzone na zewnątrz, powierzone firmie, która udostepnia usługę i infrastrukturę informatyczną. Jednakże korzysta ona również z podwykonawców na przyklad w zakresie zapewnienia odpowiedniej  infrastruktury.

Z perspektywy Jana Nowaka dane jego firmy zostały powierzone do przetwarzania i podpowierzone, gdyż usługodawca korzysta z serwerów podmiotu zewnętrzengo.

W doktrynie prawniczej dopuszcza się możliwość podpowierzenia danych osobowych, jednak pod pewnymi ściśle określonymi warunkami. Warunkiem takim będzie wymóg zgody administratora danych czyli Jana Nowaka na posłużenie się przez przetwarzającego podwykonawcą.

Umocowanie dla podpowierzenia danych osobowych powinno wynikać w sposób wyraźny z umowy pomiędzy administratorem a przetwarzającym. Firma, której podzlecono przetwarzanie danych może przetwarzać dane wyłącznie w takim zakresie i celu, jaki wynika z umowy powierzenia.

Na koniec należy podkreślić, że powierzającego obciąża odpowiedzialność za działania i zaniechania podwykonawcy, ktorym posługuje sie dla wykonania obowiązków wynikających z zawartej pomiędzy nim a administratorem umowy.

W związku z powyższym wszyscy zainteresowani powinni być zainteresowani we wlaściwym zabezpieczeniu wzajemnych relacji, gdyż każdego uczestnika tego procesu obciąża odpowiedzialność administracyjna, cywilna bądż karna.

 

Administrator danych osobowych może samodzielnie przetwarzać dane osobowe, może też powierzyć wykonywanie czynności na danych innemu podmiotowi.

W praktyce zdarza się coraz częściej, że administratorzy danych korzystają z usług wielu podmiotów przetwarzająych dane w ich imieniu. Powszechna też staje się sytuacja, w której administratorzy danych powierzają dane przetwarzającym (procesorom) a ci korzystają z podwykonawców. Tworzy się tym samym swoisty łańcuch powiązań w ramach operacji na danych osobowych.

Prawo dopuszcza powierzenie innemu podmiotowi przetwarzanie danych. Bardzo często dotyczy to sytuacji, w których administrator przedsiębiorca zleca wykonanie określonych usług na zewnątrz. Dotyczy to bardzo często usług w zakresie księgowości, IT czy marketingu. Przedmiotem takich usług są określone operacje na danych osobowych. Oczywistym więc jest, że przedsiębiorca musi w celu prawidłowego wykonania usługi udostępnić rownież dane osobowe. Prawo dopuszcza taką możliwość, jednakże stawia pewne warunki, które muszą być spełnione w takich sytuacjach.

Dla zgodnego z prawem przekazania w ramach zleconych usług danych osobowych adminsitrator danych musi zawrzeć z usługodawcą stosowną umowę na piśmie. Umowa taka powinna określać w jakim zakresie i w jakim celu dane zostaną powierzone. Nie ma przeszkód, aby regulacje te były zawarte w samej umowie o świadczenie usługi.

Konstrukcja opisana powyżej jest konstrukcją najprostszą. Dwa podmioty administrator i przetwarzający, jedna umowa regulująca ich wzajemne prawa i obowiązki w zakresie przetwarzania danych.

Tak, jak napisałam na wstępie ten model jest już coraz rzadszy. W obrocie pojawiają się łańcuchy podmiotów uczestniczących w procesie świadczenia usług. Ma to miejsca wowczas, gdy na przykład zawieramy umowę z jednym podmiotem, a on nie wykonuje części usług osobiście tylko używa do tych celów podwykonawców.

Powstaje sytuacja, w której adminsitrator danych traci kontrolę na danymi, które powierzył lub ta odpowiedzialność rozmywa się w łańuchu podmiotów świadczących usługę.

Sytuacja, w której podmiot, któremu powierzono przetwarzanie danych dalej powierza ich przetwarzanie innemu podmiotowi lub podmiotom jest nazwana podpowierzeniem, któremu szczegółowo zostanie poświęcony kolejny wpis na blogu.

Przetwarzanie danych osobowych

Zgodnie z ustawą o ochronie danych osobowych przetwarzanie danych osobowych to jakiekolwiek operacje na danych takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Jak widać ustawa zakreśla bardzo szeroki zakres czynności faktycznych, które można w jej świetle zakwalifikować, jako przetwarzanie danych osobowych. Oznacza to, że podmiot przetwarzający dane, czyli dokonujący na danych takich czynności, jak wymienione powyżej podlega zasadom oraz rygorom ustalonym dla przetwarzania danych w odpowiednich przepisach prawnych w szczególności ustawie o ochronie danych osobowych.

Każda, więc operacja na danych osobowych począwszy od pozyskiwania danych osobowych przy pomocy wszelkiego rodzaju formularzy kontaktowych, wyskakujących okienek typu pop-up, newsletterów czy pozyskiwanych danych w kontakcie bezpośrednim jest przetwarzaniem danych osobowych.

I jest to pierwszy i bardzo ważny moment, aby przetwarzanie danych poddać zasadom określonym w ustawie. Jest to o tyle ważne, że baza danych osobowych pozyskiwana w sposób prawidłowy od początku nie będzie wymagała jakiegoś szczególnego postępowania naprawczego, które czasami może być dla właściciela bazy bolesne w skutkach.

Zwłaszcza przetwarzanie danych w systemach informatycznych wymaga od administratora podjęcia szeregu czynnościwa tym posiadania polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym. Są to podstawowe dokumenty, które każdy administrator danych osobowych przetwarzający dane w systemach informatycznych posiadać powinien.

Tak, więc pamiętajmy, że jeśli wykorzystujemy w swojej działalności gospodarczej dane osobowe inaczej mówiąc przetwarzamy te dane stajemy się administratorem tych danych odpowiedzialnym za przetwarzanie ich zgodnie z prawem.

 Pamiętajmy, aby zasady te wcielać od pierwszej czynności przetwarzania zaoszczędzi to, bowiem przykrych niespodzianek w przyszłości, gdy baza liczyła będzie już setki lub tysiące klientów. Zwłaszcza należy pamiętać o tym w przededniu wprowadzenia nowego prawa unijnego, które w całej Unii Europejskiej wprowadzi jednolity reżim ochrony danych osobowych.

 W kwestii ochrony danych osobowych przedsiębiorcy często mają problemy na poziomie bardzo ogólnych pojęć i kwalifikacji czy regulacje dotyczący ochrony danych osobowych dotyczą ich czy może jeszcze nie.

 Jednym z podstawowych a jednocześnie kluczowych pojęć z zakresu ochrony danych osobowych jest oczywiście administrator danych osobowych.

 W procesie przetwarzania danych osobowych bardzo ważną kwestią jest określenie, jaką rolę podmiot pełni czy administratora czy może przetwarzającego dane na zlecenie osoby trzeciej.

 Czy jestem administratorem zastanawia się przedsiębiorca będący osobą fizyczną, czy jestem administratorem zastanawia się spółka prawa handlowego.

 Administratorem danych osobowych wykorzystywanych w zakresie działalności prowadzonej przez przedsiębiorcę jest, co do zasady, sam przedsiębiorca. Administratorem takich danych jest w szczególności spółka z ograniczoną odpowiedzialnością, spółka akcyjna, spółka jawna czy też spółka komandytowa. Tak więc administratorem danych jest sama spółka prawa handlowego, nie zaś jej organy, osoby zasiadające w organach tej spółki lub pełniące w niej funkcje kierownicze.

W przypadku osoby prowadzącej działalność gospodarczą pozostaje ona administratorem danych niezależnie od tego, czy wyznaczy pracownika odpowiedzialnego za przetwarzanie danych osobowych (tzw. administratora bezpieczeństwa informacji).

 Administrator danych osobowych to bardzo istotna rola w procesie przetwarzania danych ze względu na przymiot decydowania o danych ale także na szereg obowiązków do wypełnienia których zobowiązują administratora przepisy prawa.

 Nie w każdym jednak przypadku określenie swojej roli w stosunku do przetwarzanych danych osobowych jest jasne i oczywiste. Nie rzadko w obrocie gospodarczym można spotkać sytuacje, gdy pojęcia i role ulegają pomieszaniu. Nie obywa się w takich przypadkach bez konsekwencji prawnych.

 Na koniec należy wyraźnie zaznaczyć, iż wskazówką dla rozróżnienia ról w procesie przetwarzania danych jest między innymi to czy podmiot przetwarza dane dla osiągnięcia własnych celów i korzyści czy też dla korzyści i celów osoby trzeciej.

Placówki medyczne mogą prowadzić dokumentację medyczną pacjentów w formie papierowej do końca lipca 2017 r. Potwierdza to, uchwalona przez Sejm, nowelizacja ustawy o systemie informacji w ochronie zdrowia.

O trzy lata wydłużono termin na wprowadzenie dokumentacji medycznej wyłącznie w formie elektronicznej. Dotychczas obowiązujące nakładały na podmioty medyczne obowiązek prowadzenia dokumentacji medycznej wyłącznie w formule elektronicznej  od 1 sierpnia tego roku. Po nowelizacji do 1 sierpnia 2017 r. będzie możliwe prowadzenie dokumentacji w formie papierowej lub elektronicznej.

Argumentami za nowelizacją było także to, że bardzo wielu lekarzy praktykujących prywatnie, jest nieprzygotowanych do wyeliminowania dokumentacji w formie papierowej i przejścia wyłącznie na formę elektroniczną, dlatego zasadnym jest wydłużenie okresu przejściowego.

Obowiązek prowadzenia elektronicznej dokumentacji medycznej jest częścią systemu informatyzacji ochrony zdrowia; zakłada on także wprowadzenie elektronicznych kart pacjenta, e-recept i e-skierowań.

 

W ramach Projektu Partnerskiego Leonardo da Vinci „Zwiększanie świadomości w zakresie ochrony danych osobowych wśród pracowników zatrudnionych w krajach Unii Europejskiej organy ochrony danych z Polski, Czech, Bułgarii i Chorwacji opracowały publikację „Ochrona prywatności w miejscu pracy”. Przewodnik dla pracowników”.

Poniżej zamieszczam kilka cennych zaleceń publikacji przydatnych w procesie rekrutacyjnym.

 1. Unikaj umieszczania w swoim CV danych zbędnych w procesie rekrutacji.

2. Pamiętaj, że masz prawo odmowić podania potencjalnemu pracodawcy żądanych przez niego danych, jeżeli brak jest przepisow prawnych zobowiązujących cię do ich ujawnienia.

3. Udziel wyraźnej zgody na przetwarzanie danych jeżeli:

1) chcesz, aby twoje dane były przetwarzane w ramach przyszłych rekrutacji,

2) korzystasz z usług agencji zatrudnienia,

3) z własnej inicjatywy ujawniasz potencjalnemu pracodawcy dane szczegolnie chronione.

4. Pamiętaj, że w każdym czasie możesz wycofać swoją zgodę na przetwarzanie danych osobowych!

5. Upewnij się, że posiadasz pełne informacje o sposobie i celach przetwarzania danych przez określony podmiot, zanim udostępnisz mu swoje dane osobowe.

6. Szukając pracy poprzez Internet, korzystaj wyłącznie ze sprawdzonych i zaufanych stron

7. Pomyśl o bezpieczeństwie swoich danych zanim zamieścisz CV w Internecie – CV wprowadzone raz do Internetu będzie w nim dostępne, nawet jeżeli usuniesz je ze strony internetowej, na ktorej zostało pierwotnie zamieszczone!