Ochrona danych osobowych w czym rzecz

Temat ochrony danych osobowych to specyficzny temat, albo traktowany z należytą powagą, na równi z innymi tematami, które podmiot musi w swojej organizacji uporządkować, albo temat zapomniany, zakurzony, wyparty.

Dlaczego tak się dzieje. W dużej mierze jak to w życiu bywa przyczyną tego drugiego podejścia jest brak świadomości i zrozumienia tematu czym ta ochrona danych osobowych jest, czy faktycznie nas dotyczy a jeśli już to dlaczego chronić ją w taki dziwny sposób tworzyć polityki i dokumentacje.

Prawdę mówiąc jako prawnik praktykujący w tej dziedzinie prawa nie dziwię się tym różnym podejściom, bo już wszystko przerabiałam więc wiem jak to wygląda, jednak jest to na tyle ciekawy temat, że chciałbym nieco bardziej szczegółowo go omówić.

Pierwsze podejście oparte na nieznajomości tematu. Podejście to dotyczy większości podmiotów. Wyjątkiem będą duże organizacje, przetwarzające tysiące danych osobowych, mające dostęp do wyspecjalizowanych prawników, którzy zgodnie z prawem zabezpieczają ten obszar. Reszta znajduje się w uśpieniu lub w letargu. Nikt za bardzo nie wie o co tak naprawdę z tymi danymi chodzi poza tym, że trzeba je chronić. Jednak poświęcanie na to czasu, pieniędzy, tworzenie dokumentacji, wprowadzanie polityk czy wyznaczanie odpowiednich osób uważane jest za grubą przesadę i wypierane jest z katalogu obowiązków do wykonania.

Dlaczego się temu nie dziwię. Obserwuję też nastawienie moich znajomych prawników, którzy również niechętnie podchodzą do tematu i źródło niechęci jest to samo. Ba z informacji płynących z GIODO wynika, że grupa zawodowa jaką są prawnicy bardzo słabo wypada, jeśli chodzi o zabezpieczenie obszaru danych osobowych. Często słyszę od swoich kolegów, że to taki dziwny temat, jakaś abstrakcja, w którą nikomu za bardzo nie chce się wnikać. Ba to samo nastawienie widoczne jest bardzo często u większości klientów. Niekiedy nawet na blogu słyszę komentarze, że to są  takie ogólniki.

Były GIODO w odpowiedzi na podobne argumenty powiedział kiedyś, że prawo ochrony danych osobowych jest prawem kontekstowym i w każdym przypadku ważny jest kontekst stosowania przepisów o ochronie danych osobowych. Sama ustawa o ochronie danych osobowych jest ustawą ogólną to znaczy regulującą zasady przetwarzania, prawa i obowiązki dotyczące tego przetwarzania dotyczące wszystkich możliwych sposobów przetwarzania. Oznacza to, że ta ustawa o ochronie danych osobowych obowiązuje w firmie handlowej, usługowej, branży internetowej, bankowości, spółdzielniach, ochronie zdrowia, oświacie itd.

Jednak należy pamiętać, że pomimo stosowania tych samych przepisów wyniki w każdej branży będą inne, gdyż każda branża na swój właściwy dla siebie sposób przetwarza dane, w oparciu o różne podstawy, w różnych celach. Inaczej przetwarzanie wygląda w szpitalu a inaczej w banku, inny jest cel przetwarzania danych przez urzędy a inny przez portale internetowe. Oznacza to, że w każdym indywidualnym przypadku należy dokonać subsumpcji – przyporządkowania danego stanu faktycznego pod ogólną normę prawa ochrony danych osobowych, co nie zawsze jest takie łatwe.

W świetle powyższych rozważań, gdy widzę wzory dokumentacji przetwarzania danych osobowych dla firm, szkół, instytucji razem to wiem, że zakup takiego wzoru nic pomoże. Będzie to ogólny wzór, bez zakwalifikowania go do konkretnych stanów faktycznych a dokonanie takiej kwalifikacji jest rzeczą najtrudniejszą. Aby wzór spełnił swoją rolę a pieniądze wydane nie były stracone może to być wyłącznie wzór dedykowany danej branży.

Opisałam powyżej tylko jeden aspekt niezrozumienia tematu ochrony danych osobowych, co oczywiście ma wpływ na niechętne podejście do zagadnień. Jest to temat dotyczący braku świadomości prawnego aspektu ochrony danych osobowych. O niechęci do porządkowania spraw ochrony danych osobowych, która ma swoje głębsze korzenie, bo tkwiące w niezrozumieniu samego sensu takiej ochrony oraz w sposób przewidziany prawem napiszę następnym razem.

Zdecydowana większość z nas korzysta z mediów społecznościowych to fakt. Króluje oczywiście Facebook.  Portal społecznościowy to platforma komunikacyjna on-line umożliwiająca osobom przystępowanie  lub tworzenie sieci użytkowników o wspólnych upodobaniach, umożliwia wymianę informacji pomiędzy nimi oraz “tworzenie sieci kontaktów towarzyskich”.

 Funkcjonowanie portali społecznościowych i kwalifikacja prawna różnych zagadnień oraz problemów prawnych z nimi związana jest dla prawników, nie tylko w naszym kraju nie lada wyzwaniem.

W niniejszym artykule zajmę się omówieniem problematyki prawnej dotyczącej kolizji dwóch praw, które często na portalach społecznościowych się z sobą ścierają. Z jednej strony jest to prawo do wolności słowa, pozyskiwania i rozpowszechniania informacji,  a z drugiej prawo do prywatności, ochrony czci i dobrego imienia.

Zgodnie z Konstytucją  RP każdemu zapewnia się wolność wyrażania swoich poglądów oraz pozyskiwania i rozpowszechniania informacji. Poprzez komunikację w ramach portali społecznościowych użytkownicy  realizują więc to konstytucyjne prawo do wyrażania swoich poglądów, pozyskiwania i rozpowszechniania informacji

Zgodnie z Konstytucją każdy ma też prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. W ten sposób zostało sformułowane konstytucyjne podmiotowe prawo każdej jednostki do ochrony życia prywatnego.

Z jednej strony mamy więc konstytucyjnie zagwarantowaną  wolność wyrażania swoich poglądów oraz pozyskiwania i rozpowszechniania informacji   a z drugiej konstytucyjne prawo każdej osoby do ochrony życia prywatnego. Korzystanie z wolności słowa na Facbooku lub innym tego typu portalu może w niektórych sytuacjach wchodzi w kolizję z prawem do prywatności.

Które z konstytucyjnie gwarantowanych praw jest ważniejsze, czy możemy do woli korzystać z wolności wyrażania własnych poglądów, opinii, informacji również o innych czy może jednak hamulcem dla naszej wolności powinno być poszanowanie prywatności osoby, której informacje dotyczą.

W kwestii powyższej kolizji wypowiadał się Trybunał Konstytucyjny, który doceniając w pełni znaczenie wolności słowa podkreślił , że ochrona czci i dobrego imienia ma nad tą wolnością prymat.

Trybunał uznał, że cześć, dobre imię i prywatność, mogą zasługiwać na pierwszeństwo w kolizji z wolnością słowa oraz wolnością prasy i innych środków społecznego przekazu, a w konsekwencji prowadzić do ich ograniczenia.

Ograniczenia mogą polegać na stanowieniu norm prawnych mających na celu ochronę dobrego imienia przed „samowolnymi” atakami na to dobre imię.

W świetle powyższych teoretycznych rozważań należy ocenić, że wymiana informacji na portalach społecznościowych takich jak Facebook mająca umocowanie w konstytucyjnie gwarantowanej wolności słowa i prawie do informacji może i powinna uwzględniać prawo jednostki do ochrony życia prywatnego, czci oraz dobrego imienia.

W przypadku więc, gdy informacje udostępniane na FB godzą w sposób samowolny w dobre imię innych osób, osoby te mogą skorzystać z dostępnych środków prawnych w celu obrony tych praw. Sprawcy naruszeń mogą zostać pociągnięci przede wszystkim do odpowiedzialności cywilnej, ale także karnej a czasami też administracyjnej.

Naruszenie dobrego imienia, nieuprawniona ingerencja w życie prywatne czy wreszcie zniesławienie  w świetle prawa zawsze uzasadnia ochronę prawną.

Kończąc chcę podkreślić, że korzystając z FB i podobnych portali należy wystrzegać się nieuprawnionej ingerencji w życie prywatne innych osób, choćby to były osoby, które znamy. Przykładem, że o tej podstawowej zasadzie dość często się zapomina dowodzi powszechna praktyka publikowania zdjęć znajomych czy ich dzieci, najczęściej bez ich wyraźnej zgody. To, że wiele osób tak robi i że są to wspólne zdjęcia nie usprawiedliwia takich praktyk.

Z tego powodu, jeśli zamierzamy upubliczniać informacje dotyczące życia prywatnego, rodzinnego innej osoby, znajomego, zawsze zapytajmy o zgodę na tego rodzaju publikację.

Ktoś mógłby powiedzieć, że te rozważania o prywatności dotyczące serwisów społecznościowych wydają się jakby nie na miejscu, bo przecież ilość i jakość informacji udostępnianych choćby na FB  dowodzi, iż prywatność w takim serwisie niewielką ma wartość.

Jednak moim zdaniem wrażenie takie jest pozorne, gdyż jeśli przyjrzymy się bliżej wymianie informacji na FB, to widzimy, że informacje te są kontrolowane a zasadą jest, że z reguły jest to przekaz, że jesteśmy piękni, zdrowi, bogaci, szczęśliwi, mądrzy, bez kompleksów, z poczuciem humoru itd.

Taka kontrola przekazu świadczy, że ciągle zależy nam na ochronie dobrego imienia, pewnych faktów z życia prywatnego, które chcemy zostawić wyłącznie dla siebie, co dowodzi, że prawo do prywatności jest ciągle żywe i aktualne.

Na stronach GIODO możemy przeczytać informację, iż zakończył się trilog czyli ostatni etap uzgadniania przez instytucje UE tekstu rozporządzenia unijnego w sprawie ochrony danych osobowych. Głosowanie nad przyjęciem rozporządzenia odbędzie się na wiosnę.

GIODO wyraziła się, iż osiągnięcie porozumienia przez instytucje UE oznacza historyczny moment dla ochrony danych osobowych. Trudno się z nią nie zgodzić. To rozporządzenie to wielka reforma, która będzie wymagała też solidnych przygotowań do niej w porządkach prawnych poszczególnych państw. Prace w tym zakresie z pewnością już są planowane i lada moment ruszą. Wbrew pozorom nawet przy tak długim, jak określone, vacatio legis, czasu jest mało patrząc na rozmiar zmian.

Dla przedsiębiorców skończy się era bagatelizowania spraw ochrony danych osobowych, traktowania ich z reguły po macoszemu. Ochrona danych osobowych poprzez sankcje za naruszenie przepisów, w postaci bardzo dolegliwych kar finansowych, stanie się tematem zasługującym na poważne traktowanie.

I nie cieszy mnie, że przedsiębiorcom przybędzie obowiązków do wypełnienia, bo przecież i tak mają ich nadmiar. Sama jestem przedsiębiorcą i rozumiem to. Jednak obserwując beztroskę i lekceważenie, czasami zupełnie jawne ochrony danych myślę, że podniesienie rangi zagadnienia jest stanem pożądanym.

Jak zawsze na początku i tutaj będzie opór, jednak z czasem przyzwyczaimy się do nowego stanu, który wymagał będzie zachowania  odpowiednich standardów w celu zapewnienia zgodności przetwarzania danych osobowych.

W dobie globalnej gospodarki cyfrowej, galopującego rozwoju nowych technologii przynoszących coraz to nowe i bardziej wyrafinowane sposoby przetwarzania naszych danych osobowych, określenie ram prawnych dla tego przetwarzania stało się  niezbędne.

Sądzę, że i ABI będą mieli więcej pracy, ale też może i więcej zrozumienia dla wykonywanych przez nich obowiązków, czego oczywiście tak z okazji Nowego Roku wszystkim ABI życzę.

Przejęcie klienteli firmy

Baza danych klientów to zestaw danych identyfikujących klientów danej firmy czyli nazwa firmy, jej adres czy dane kontaktowe. W bazie znajdziemy też informacje dotyczące szczegółów  przeprowadzanych transakcji takich jak przedmiot transakcji, wartość transakcji, ilość transakcji i inne.

Baza danych klientów będzie zawierała szereg danych gromadzonych przez firmy przez lata swojej działalności. Do bazy klientów wysyłane są informacje dotyczące nowych produktów, oferty promocyjne czy specjalne dla stałych klientów. Baza klientów pozwala na budowanie lojalności poprzez uczestnictwo w specjalnie organizowanych w tym celu programach. Wreszcie bazy danych osobowych  są cennym aktywem każdej firmy.

Czy warto więc swoją bazę klientów chronić. Czy Ty chronisz swoją bazę a może w ferworze codziennych zabiegów o sprawy bieżące, wyższe obroty w firmie, podnoszenie standardów obsługi klientów zapominasz o sprawach, które wydają Ci się oczywiste, aż tak oczywiste, że łatwo się o nich zapomina.

Nie tak dawno rozmawiałam z osobą z branży kosmetycznej, gdzie częstą sytuacją bywają różne konfiguracje współpracy w ramach działalności kosmetycznej. Nie jest rzadkością, gdy właścicielka salonu kosmetycznego podnajmuje lokal innej firmie o tym samym profilu. Firmy współpracują też merytorycznie zastępując się w potrzebie. Wszystko układa się dobrze, ale jak zwykle do czasu. Pewnego dnia Pani, której lokal podnajęto odchodzi a przy tym zabiera dużą część klientek głównego salonu.

Piszę o salonie, ale podobne sytuacje mają miejsce także w innych branżach, prawniczej, handlowej, usługowej. Nie jest żadnym odkryciem, że nasi pracownicy, współpracownicy mogą stać się konkurentami naszej firmy i w praktyce często tak właśnie się dzieje.

Przypominam sobie rozmowę z prezesem pewnej firmy, który  żalił się, że jego firma wychowała kilka konkurencyjnych firm. Z jednej strony jest to normalna kolej rzeczy, prawo nie zakazuje zakładania firm o podobnym lub takim samym profilu, co dotychczasowy pracodawca czy zleceniodawca. Mamy konstytucyjnie zagwarantowane prawo do wykonywania wybranego zawodu czy swobodę działalności gospodarczej. Czy oznacza to jednak, że wszystkie chwyty są dozwolone i można beztrosko wspinać się na cudzych plecach budując własną firmę.

Pracownicy czy współpracownicy odchodząc ze swoich dotychczasowych firm zabierają to, co najcenniejsze, a więc to, czego się nauczyli czyli doświadczenie zawodowe i bazując na nim zakładają własne firmy. Jednak z reguły problem polega na tym, że oprócz cennego doświadczenia z firm wypływają dane osobowe i kontaktowe klientów, cenniki i inne cenne informacje.

No właśnie cenne informacje firmy. Jak sugeruje tytuł artykułu oraz jego treść cenną informacją firmy na pewno będą informacje dotyczące bazy danych klientów, ale przecież nie tylko. Firma posiada wiele cennych informacji, które stanowią tajemnicę jej przedsiębiorstwa. Z uwagi na tematykę bloga zajmę się omówieniem tajemnicy przedsiębiorstwa, którą stanowią dane osobowe klientów znajdujące się w bazach firmy.

W następnych wpisach spojrzymy na dane osobowe nie z perspektywy obowiązków, które firma musi spełnić, aby te dane chronić ale z perspektywy interesu firmy zainteresowanej ochroną danych osobowych swoich klientów, bo okazuje się, że na jednym ogniu można upiec dwie pieczenie.

Po raz kolejny przekonałam się, że ochrona danych osobowych nie jedno ma imię. W sytuacjach dla mnie zaskakujących przypominam sobie słowa byłego GIODO Wojciecha R. Wiewiórowskiego, który powtarza, iż prawo ochrony danych osobowych jest prawem kontekstowym, co oznacza, że w kwalifikacji prawnej faktów istotnych z punktu widzenia tego prawa, często kluczowy jest kontekst.

Tym razem kontekst jest bardzo przyjemny, bo związany z branżą beauty. Okazuje się, że kontekst ten obfituje w bogactwo stanów faktycznych, których kwalifikacja w świetle prawa ochrony danych osobowych nie zawsze jest oczywista. Okazuje się bowiem, że współczesne, profesjonalne salony piękna z szerokim wachlarzem oferowanych usług przetwarzają szereg danych wrażliwych. Przetwarzanie takich danych co do zasady jest zakazane.

Podmioty lecznicze, które udzielają świadczeń zdrowotnych posiadają bogate ustawodawstwo, dające podstawy do przetwarzania wrażliwych danych osobowych. Przepisy te regulują kwestie tajemnicy zawodowej związanej z udzielaniem świadczeń zdrowotnych, określają zasady udzielania zgód na zabiegi medyczne a także szczegółowo określają obowiązki w zakresie dokumentacji medycznej.

Branża beauty nie posiada takich regulacji a w przypadku niedopełnienia warunków legalnego przetwarzania danych osobowych narażona jest na wiele negatywnych konsekewencji prawnych. Z tego właśnie powodu świadomość prawna w zakresie obowiązującego prawa w celu zapewnienia bezpieczeństwu danych i własnej działalności jest tak istotna.

O rygorach przetwarzania danych wrażliwych, środkach prawnych zapewniających bezpieczeństwo w tym zakresie będę mówić na szkoleniu w Warszawie. Wszystkich zainteresowanych tą branżą a także tematem legalnego przetwarzania danych wrażliwych zapraszam do wzięcia w nim udziału.

Do napisania tego artykułu skłoniły mnie poaudytowe refleksje dotyczące stanu wiedzy osób upoważnionych do przetwarzania danych osobowych, teoretycznie więc zapoznanych z zasadami dotyczącymi przetwarzania danych osobowych.

Okazuje się, że zwykle osoby upoważnione do przetwarzania danych z reguły dysponują jakimś minimum wiedzy w zakresie obowiązku zabezpieczenia danych czy nieudostępniania ich osobom nieupoważnionym. Jednak rzadko potrafią poprawnie odpowiedzieć np. na pytanie na jakiej podstawie przetwarzane są dane osobowe w ich organizacji. Pojawiają się stwierdzenia, że na podstawie ustawy o ochronie danych osobowych lub na podstawie zgody podmiotu danych w sytuacji, gdy takiej zgody brak.

Zdaję sobie sprawę, że są to rozważania teoretyczne i wymagają podstaw wiedzy w zakresie przepisów o ochronie danych osobowych, bo przesłanki przetwarzania danych wskazane są właśnie w ustawie o ochronie danych osobowych, nie oznacza to jednak, że sama ustawa jest taką podstawą.

Piszę o tym, bo z mojej perspektywy prawnika, który specjalizuje się w prawie ochrony danych osobowych pytanie o podstawy przetwarzania danych osobowych jest kwestią zasadniczą. Wie o tym każdy ABI, który zaczyna proces sprawdzenia. Na  początku poza stwierdzeniem, że organizacja przetwarza dane osobowe należy ustalić w oparciu o jakie podstawy prawne to przetwarzanie się opiera. Następnie sprawdzamy kolejne zagadnienia.

W praktyce osoby upoważnione do przetwarzania danych osobowych mają wiedzę np. o zasadzie „czystego biurka” czy obowiązku wylogowania się z systemu, jednak nie mają pojęcia na jakiej to podstawie mają prawo do przetwarzania danych osobowych w swoich codziennych czynnościach.

W imieniu swojego pracodawcy zawierają np. setki umów, które implikują wiele czynności związanych z przetwarzaniem danych osobowych w związku z wykonaniem tejże umowy, jednak rzadko wpadają na trop, że to ta umowa jest podstawą przetwarzania danych osobowych. Obnaża to brak podstawowej wiedzy z zakresu ochrony danych osobowych. Nie dziwi mnie to  aż tak bardzo biorąc pod uwagę ogólną niską świadomość w tym obszarze.

Pragnę tylko wskazać administratorom bezpieczeństwa informacji, którzy są odpowiedzialni za zapewnianie zapoznania osób upoważnionych do przetwarzania danych z przepisami o pewnych fundamentalnych zasadach, które należy wpajać od początku, z tego powodu, że jest to wiedza elementarna, którą osoby przetwarzające dane osobowe powinny posiadać.

ABI powinien mieć wsparcie

Ostatnia nowelizacja ustawy o ochronie danych osobowych wyśrubowała wymagania wobec ABI. Rozbudowany katalog zadań doprecyzowanych w przepisach wykonawczych dowodzi, iż ustawodawca chce by była to osoba o wiedzy eksperckiej. Taki kierunek będzie się utrzymywał, bowiem przepisy procedowanego właśnie w organach Unii rozporządzenia w sprawie ochrony danych osobowych, utrzymają ten kierunek.

Jednak większość administratorów danych nie przyjmuje tego do wiadomości. Mamy wskutek tego sytuacje, że obowiązki ABI są traktowane jako dodatkowe, wykonywane niejako przy okazji wykonywania innych, tych właściwych i ważniejszych obowiązków. W niedużych organizacjach to się może nawet sprawdzić, jednak w większych czy takich, gdzie przetwarzanie danych osobowych jest kluczową sferą działalności, nie powinno to mieć miejsca.

ABI radzą sobie jak mogą, adaptują się do nowych regulacji, dokształcają, szukają dobrych źródeł wiedzy czy czasami też konkretnego wsparcia. Jednak fakty są takie, że często ABI pozostawieni są samym sobie, że administratorzy danych nie zapewniają im należytego wsparcia.

Zgłaszają się do mnie ABI, którzy takiej właśnie pomocy szukają i wspólnie razem udaje się nam stworzyć dobre, pożyteczne rozwiązania, tak potrzebne w natłoku obowiązków służbowych ABI a także wobec presji czasu a także wymagań przełożonych. Czasami takie właśnie dobre praktyki są nieodzowne, aby tym wszystkim obowiązkom sprostać a jednocześnie wywiązać się z nich należycie. I to właśnie dzięki ABI, z którymi mam przyjemność współpracować poznaję jakie ABI mają potrzeby i jakie praktyczne rozwiązania mogą tym potrzebom sprostać.

Poradnik ABI nowy numer już dostępny

Nowy numer Poradnika ABI jest już dostępny.

W nowym numerze szczegółowo omawiana jest kwestia powierzenia danych do przetwarzania. Instytucja powierzenia nabiera coraz większego znaczenia. Jest to związane z powszechnym zlecaniem różnych usług na zewnątrz.

Wiele małych, ale i większych przedsiębiorców decyduje się korzystać z usług firm zewnętrznych i cedować na nie cześć swoich obowiązków. Najczęściej zlecana na zewnątrz jest obsługa księgowo-kadrowa, wsparcie IT, marketing, ale i inne.

Z tymi typowymi usługami związana jest konieczność powierzenia danych osobowych swoich klientów, pracowników czy kontrahentów. Coraz większa świadomość w sferze ochrony danych osobowych sprawia, że przedsiębiorcy szukają informacji na temat powierzenia, które byłoby zgodne z prawem.

Temu zagadnieniu więc nowy poradnik poświęca wiele miejsca. Omawiane są szczegółowe przypadki powierzenia takie jak powierzenie danych przez wspólnotę mieszkaniową, powierzenie w celach windykacyjnych, powierzenie w przypadku hostingu.

Omawiam też kwestię podpowierzenia czyli sytuacji, w której to główny procesor dla realizacji zleconych mu usług korzysta z podwykonawców czyli podpowierzających. Zagadnienie to jest o tyle trudne, że nie zostało uregulowane wprost w przepisach prawa ochrony danych osobowych. Należy więc dokonać oceny i kwalifikacji prawnej tego rozwiązania w oparciu o przepisy obowiązujące, co może być trudne dla osób nie posiadających wykształcenia prawniczego.

No i na koniec rzecz, która niedługo stanie się, w sferze ochrony danych osobowych, najważniejsza a więc reforma ochrony danych osobowych. Omawiam pierwsze instytucje, które legły u podstaw nowego prawa takie jak podejście oparte na ryzyku, ocena wpływu na ochronę danych czy pseudonimizację.

Szczegółowy spis treści nowego numeru  i warunki nabycia znajdziesz Tutaj.

Rozporządzenie unijne w sprawie ochrony danych osobowych osób fizycznych weszło w fazę trilogu, co oznacza, że doszło do ostatniego etapu legislacyjnego, który lada moment powinien zakończyć się przyjęciem ostatecznego tekstu.

Przyjęcie rozporządzenia rozpocznie dyskusję nad nim, gdyż część wprowadzanych rozwiązań nie występuje w dotychczasowym systemie prawa ochrony danych osobowych.

Dzisiaj chciałabym wspomnieć o podejściu opartym na ryzyku. Aktualnie polska ustawa o ochronie danych osobowych nie zna takiego podejścia i wszystkich administratorów danych osobowych traktuje równo to znaczy nakłada na nich takie same obowiązki. Większość małych administratorów danych osobowych uważa, iż obowiązki te są przesadą w stosunku do skali ich działalności.

Każdy administrator danych osobowych powinien przetwarzać dane z poszanowaniem wszystkich zasad ustalonych w przepisach prawa, zapewnić odpowiednie środki techniczne oraz organizacyjne w celu zabezpieczenia danych przed nieupoważnionym dostępem, prowadzić szczegółową dokumentację przetwarzania danych osobowych.

Obowiązków jest sporo, dodatkowo realizacja tych wszystkich obowiązków w sposób zgodny z prawem nie jest zadaniem łatwym, jeśli nie posiada się specjalistycznej wiedzy w zakresie ochrony danych osobowych. Wszystko to oraz dodatkowo brak właściwie brak sankcji za niestosowanie zasad powoduje, iż większość małych administratorów w swojej działalności w zasadzie nie uwzględnia prawa ochrony danych osobowych.

Rozporządzenie ustanawia mechanizmy mające na celu różnicowanie ryzyka związanego z przetwarzaniem danych osobowych przez poszczególnych administratorów danych osobowych. Jednym z takich mechanizmów jest podejście oparte na ryzyku czyli risc based approach.

Koncepcja risk based approach sprowadza się do uzależnienia zakresu obowiązków nałożonych na administratora danych od specyfiki przetwarzania danych w organizacji tego administratora oraz od ryzyka, jakie może wiązać się z ewentualnym naruszeniem bezpieczeństwa danych.

Koncepcja, która ma być ułatwieniem dla małych i średnich administratorów danych osobowych jednocześnie jest obowiązkiem dla tych właśnie administratorów przeprowadzenia takiej wstępnej analizy ryzyka. Biorąc jednak pod uwagę, że przeprowadzenie takiej analizy wymaga specjalistycznej wiedzy,  wykonanie tego obowiązku bez wsparcia specjalistów, może być po prostu niemożliwe.

Spółdzielnie mieszkaniowe to administratorzy danych przetwarzający zazwyczaj bardzo duże ilości danych osobowych w związku ze swoją działalnością statutową. Głównym celem działania spółdzielni mieszkaniowej jest zaspakajanie potrzeb mieszkaniowych jej członków przez dostarczanie członkom samodzielnych lokali mieszkalnych lub domów jednorodzinnych, a także lokali o innym przeznaczeniu.

W Spółdzielni znajdują się dane osobowe członków Spółdzielni, osób niebędących członkami, którym przysługuje tytuł prawny do lokalu znajdującego się w zasobach Spółdzielni, dane osobowe najemców, osób zajmujących lokal bez tytułu prawnego, dane osobowe kontrahentów, dane osobowe pracowników czy też inne jeszcze dane. Są to min.:

  • dane  identyfikacyjne takie jak imię, nazwisko, numer pesel, adres zamieszkania, numer telefonu, adres e-mail,
  • informacje dotyczące tytułu prawnego do lokalu (określenie rodzaju prawa do lokalu)
  • informacje związane z rozliczaniem kosztów związanych z eksploatacją i utrzymaniem lokalu oraz nieruchomości wspólnych,
  • informacje związane z windykacją należności (m.in. wykaz zadłużeń, analiza dłużnika, wezwania do zapłaty, naliczanie odsetek) i inne.

Spółdzielnia przetwarza dane osobowe w zbiorach w szczególności przy pomocy dedykowanych systemów informatycznych. Jako administrator danych spółdzielnia jest podmiotem odpowiedzialnym za przetwarzanie danych zgodnie z przepisami o ochronie danych osobowych.

Ważną kwestią jest obowiązek zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych czyli obowiązek ich przeszkolenia. Jest to o tyle ważne, że od osób upoważnionych odbierane są oświadczenia o zachowaniu tajemnicy i zapoznaniu z zasadami ochrony danych osobowych wraz z pouczeniem o odpowiedzialności w przypadku niedochowania tajemnicy.

Osoby upoważnione do przetwarzania powinny więc dysponować wiedzą na temat zasad ochrony danych osobowych w spółdzielni. Zapoznanie osób upoważnionych może nastąpić w ramach wewnętrznie prowadzonych szkoleń, przez udostępnienie szkoleń e-learningowych czy dedykowanych spółdzielniom poradników.

W celu spełnienia obowiązku w zakresie zapoznania osób upoważnionych z zasadami ochrony danych zachęcam do zapoznania się z ofertą poradnika „Ochrona danych osobowych w spółdzielniach mieszkaniowych”, który w prosty i przejrzysty sposób omawia wszystkie najważniejsze zagadnienia z zakresu prawa ochrony danych osobowych z odniesieniem do branży spółdzielczej.

Szczegółowa oferta tutaj.