Ochrona Danych Osobowych – Poradnik

Nowy poradnik dla ABI uwzględniający nowe obowiązki i prkatyczne porady jak je poprawnie wypełnić. Szczegóły znajdziesz tutaj.

ABC kontroli  przetwarzania danych osobowych

 Aktualnie w obrocie gospodarczym trudno wyobrazić sobie firmę, która nie przetwarza (gromadzi, przechowuje, zmienia, usuwa) danych osobowych. Większość firm zbiera dane osobowe, gdyż  albo zawiera umowy z klientami albo w celu wystawienia im rachunku czy faktury. Niezależnie od tego firmy często budują bazy klientów w celach marketingu produktów i usług własnych lub innych firm. W zasadzie w każdym przypadku, gdy w jakikolwiek sposób przetwarzamy (zbieramy) dane osobowe osób fizycznych powinniśmy się zastanowić czy spełniamy w tym zakresie wymogi Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej Ustawa lub OchrDanOsobU). Ustawa ta zawiera szereg uregulowań, których spełnienie jest niezbędne, aby można było legalnie przetwarzać dane osobowe, bez narażenia się na ryzyko uchybienia przepisom w/w Ustawy i ewentualne przewidziane przez nią sankcje.  Organem kontrolującym przestrzeganie przez przedsiębiorców Ustawy o ochronie danych osobowych jest Generalny Inspektor Danych Osobowych (GIODO).   Obowiązujące przepisy wyposażają Generalnego Inspektora Danych Osobowych w szerokie uprawnienia kontrolne jak również władcze w zakresie ochrony danych osobowych.

 W następstwie przeprowadzanych kontroli GIODO jest uprawniony do wydawania decyzji administracyjnych nakazujących przywrócenie stanu zgodnego z prawem, ale też do składania zawiadomień do organów ścigania o pełnieniu przestępstw wymienionych w OchrDanOsobU a związanych z uchybieniami w zakresie przetwarzania danych osobowych.

 

DEFINICJE

1. DANE OSOBOWE – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.  UWAGA – numer  telefonu, adres e-mail, nr IP też mogą być uznane za dane osobowe.

2. ADMINISTRATOR DANYCH OSOBOWYCH –  Administratorem takich danych jest w szczególności spółka prawa handlowego, ale także osoba fizyczna jeśli tylko przetwarza dane osobowe. Tak więc administratorem danych jest sama spółka prawa handlowego, nie zaś jej organy, osoby zasiadające w organach tej spółki lub pełniące w niej funkcje kierownicze. W przypadku osoby prowadzącej działalność gospodarczą pozostaje to ona administratorem danych.

3. ZBIÓR DANYCH OSOBOWYCH – każdy  zestaw danych o charakterze osobowym, dostępnym według określonych kryteriów. Stosownie zatem do tej definicji za zbiór danych można uznać wszelkie materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe, prowadzone w sposób tradycyjny w formie zestawień, wykazów jak również w systemach informatycznych. Z reguły zbiór danych podlega rejestracji, chyba, że Ustawa zwalnia go z tego obowiązku.

4. PRACODAWCA jako ADMINSTRATOR DANYCH – KAŻDY pracodawca jest administratorem danych zatrudnianych przez siebie pracowników i zobowiązany jest do ochrony i przetwarzania danych zgodnie z kodeksem pracy oraz ustawą o ochronie danych osobowych tj. prowadzenia ewidencji pracowników upoważnionych do przetwarzania danych, zebezpieczenia danych przed osobami nieuprawnionymi, posiadania polityki bezpieczenstwa i instrukcji zarządzania systemem  informatycznym.

5. ADMINISTRATOR również PRACODAWCA zlecający firmie zewnętrznej prowadzenie obsługi księgowej ma również obowiązek zawarcia z nią umowy powierzenia przetwarzania danych osobowych. Umowa taka musi zawierać odpowiednie klazule dotyczące powierzenia danych tak, aby zabezpieczyć interesy Administratora danych.

6. Kontrola GIODO – kontrolowanie przez inspektorów biura GIODO przestrzegania przepisów Ustawy o ochronie danych osobowych w zakresie wszystkich wymogów zgodnego z prawem przetwarzania danych osobowych osób fizycznych.

7. ODPOWIEDZIALNOŚĆ KARNA – Za naruszenie przepisów OchrnDanOsobU przewidziana jest odpowiedzialność karna czyli uchybienia w zakresie respektowania przepisów w/w ustawy wypełniające znamiona przestępstw są ścigane przez policję. Odpowiedzialność ponoszą osoby fizyczne a nie firmy!

I. CO KONTROLUJE GIODO

W największym skrócie można powiedzieć, iż przedmiotem kontroli jest po prostu przestrzeganie przepisów o ochronie danych osobowych.

II. KTO KONTROLUJE

        1. Kontrolę przeprowadzają inspektorzy w zespołach kontrolnych   składających się najczęściej z dwóch osób – prawnika i     informatyka.

       2. Czynności kontrolne „na miejscu” są dokonywane w siedzibie kontrolowanego podmiotu oraz w innych miejscach (np.    jednostkach organizacyjnych) wskazanych jako obszar przetwarzania danych osobowych.

III. KOGO KONTROLUJE GIODO

1. Kontroli GIODO podlegają podmioty tak publiczne jak również prywatne.

2. Kontrola przetwarzania danych osobowych obejmuje wszystkich administratorów, zarówno administratorów danych podlegających obowiązkowi zgłoszenia zbioru do rejestracji, jak też administratorów danych, którzy z mocy ustawy są z obowiązku rejestracji zwolnieni na przykład pracodawców. Ponadto, zauważyć należy, że gdy administrator danych sam nie przetwarza danych, lecz zleca to innemu podmiotowi (zleceniobiorcy) w drodze umowy zawartej na piśmie wówczas kontroli podlega również ten podmiot (zleceniobiorca).

IV. ZAKRES KONTROLI

1. Podczas kontroli przestrzegania przepisów o ochronie danych osobowych inspektor zwraca szczególną uwagę na następujące kwestie:

  • przesłanki legalności przetwarzania danych – podmiot kontrolowany powinien wykazać co najmniej jedną z przesłanek legalności przetwarzania np. podstawą przetwarzania danych jest zgoda osoby, której one dotyczą – inspektor żąda udokumentowania zgody; dowodem może być oświadczenie na piśmie, nagranie bądź inny nośnik informacji dokumentujący wyrażoną zgodę. Gdy z kolei są niezbędne do realizacji umowy, której osoba jest stroną – inspektor żąda przedstawienia treści tej umowy;
  • zakres i cel przetwarzania danych – kontrolowany podmiot jest obowiązany podać kategorie osób (np. pracownicy, klienci, uczniowie, członkowie) oraz kategorie przetwarzanych danych i ich zakres (dane tzw. zwykłe – np. imię, nazwisko, adres zamieszkania, data urodzenia, stan cywilny; dane szczególnie chronione i ich zakres – np. stan zdrowia, nałogi, pochodzenie rasowe, poglądy polityczne, religijne, a także wskazać cel, w jakim dane przetwarza (np. marketingowy, podatkowy, archiwalny);
  • merytoryczna poprawność – kontrolowany podmiot jest obowiązany wykazać merytoryczną poprawność, np. poprzez okazanie dokumentów, które potwierdzają poprawną pisownię kwestionowanego imienia, nazwiska czy daty urodzenia danej osoby;
  • obowiązek informacyjny – inspektor sprawdza, w jaki sposób jest on realizowany, tj. czy zakres informacji uwzględnia określone przepisami ustawy elementy, a ponadto czy poinformowanie ma indywidualny charakter i czy informacje zostały przedstawione w sposób zrozumiały dla odbiorcy;
  • zgłoszenie zbioru do rejestracji – inspektor sprawdza, czy prowadzone przez podmiot kontrolowany zbiory danych podlegają obowiązkowi rejestracji. Jeśli obowiązek rejestracji zaistniał i dokonano zgłoszenia zbiorów do rejestracji – badana jest bardzo szczegółowo treść wypełnionego formularza zgłoszenia;
  • powierzenie przetwarzania danych osobowych – inspektor sprawdza, czy umowa powierzenia została sporządzona na piśmie, a następnie szczegółowo bada jej treść; Ponadto, może być przeprowadzona kontrola podmiotu, któremu zlecono przetwarzanie danych;
  • zabezpieczenie danych – jednym z podstawowych celów kontroli jest sprawdzenie zgodności przetwarzania danych z przepisami o ochronie danych osobowych związanymi z bezpieczeństwem danych. Inspektor ocenia, czy administrator danych zastosował środki techniczne i organizacyjne zapewniające ochronę danych osobowych a w szczególności czy w odpowiedni sposób zabezpieczył dane przed ich udostępnieniem osobom nieupoważnionym.

2. W toku kontroli ustala się, czy:

  • wszystkie osoby biorące udział w procesie przetwarzania danych, tj. uczestniczące w jakichkolwiek operacjach wykonywanych na danych osobowych, takich jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie – posiadają upoważnienie nadane przez administratora danych;
  • kontrolowany podmiot prowadzi ewidencję osób upoważnionych do przetwarzania danych, zawierającą: imię i nazwisko osoby upoważnionej, datę nadania upoważnienia, datę ustania upoważnienia, zakres upoważnienia, identyfikator, jeżeli dane przetwarzane są w systemie informatycznym;
  • osoby upoważnione do przetwarzania danych zachowują te dane oraz sposób ich zabezpieczenia w tajemnicy;
  • administrator danych wyznaczył administratora bezpieczeństwa informacji nadzorującego przestrzeganie zasad ochrony, chyba że sam sprawuje nadzór.

3. Ocenę bezpieczeństwa rozpoczyna inspektor od analizy dokumentów określających politykę bezpieczeństwa kontrolowanego podmiotu w zakresie ochrony fizycznej obiektów, kontroli dostępu do poszczególnych systemów informatycznych i usług sieciowych oraz w zakresie ochrony zasobów informatycznych przed nieuprawnionym dostępem, przejęciem lub zniszczeniem przy użyciu szkodliwego oprogramowania i narzędzi (tzw. wirusy, robaki, konie trojańskie, rootkity itp.).

V. UPRAWNIENIA INSPEKTORA

1. Zasady Kontroli:

  • kontrole, przeprowadzane przez inspektorów upoważnionych przez Generalnego Inspektora lub jego zastępcę, są zazwyczaj zapowiadane z kilkudniowym wyprzedzeniem.
  • podmioty, które mają być poddane kontroli, informowane są w pierwszej kolejności telefonicznie, a następnie na piśmie (faksem) przedstawiany jest ogólny przedmiot kontroli, termin dokonania czynności oraz prośba o przygotowanie dokumentacji dotyczącej przetwarzania danych.
  • inspektorzy przeprowadzają czynności kontrolne w godzinach od 6.00 do 22.00. W praktyce zazwyczaj umawiają się z kontrolowanym w godzinach pracy, np. między godz. 8.00 a 16.00.
  • przed podjęciem jakichkolwiek czynności kontrolujący Inspektorzy obowiązani są okazać legitymację służbową inspektora biura GIODO oraz upoważnienie imienne do kontroli,
  • przed podjęciem czynności kontrolnych inspektorzy Biura GIODO zgłaszają swoją obecność kontrolowanemu. Inspektor ma prawo wstępu na teren kontrolowanego oraz do pomieszczeń, w których zlokalizowany jest zbiór danych oraz pomieszczeń, w których przetwarzane są dane poza zbiorem,
  • Inspektor może zażądać złożenia pisemnych lub ustnych wyjaśnień w kwestiach objętych kontrolą zarówno od podmiotu kontrolowanego, jak i od wszystkich osób, które wykonują na rzecz tego podmiotu jakiekolwiek operacje na danych osobowych, m.in. takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, zwłaszcza operacje w systemach informatycznych,
  • kontrolujący inspektor decyduje o tym, które osoby okażą się niezbędne, aby wyjaśnić stan faktyczny. Zasadą jest, że w pierwszej kolejności wyjaśnienia składa administrator danych, który opisuje poszczególne etapy procesu przetwarzania danych. Następnie informacje przekazują pozostałe osoby biorące bezpośredni udział w tym procesie oraz administrator bezpieczeństwa informacji nadzorujący ochronę danych.
  • Inspektor ma prawo wzywać i przesłuchiwać osoby w związku z przeprowadzaną kontrolą. Może to być każda osoba, która posiada określoną wiedzę na temat okoliczności mających istotne znaczenie dla rozstrzygnięcia sprawy,
  • Inspektor żąda przedstawienia dokumentacji, której opracowanie jest obowiązkowe, tj. polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz ewidencji osób upoważnionych do przetwarzania danych,
  • Inspektor ma także prawo sporządzania kopii wskazanych dokumentów, niezbędnych dla celów kontroli,   Inspektor przeprowadzający kontrolę jest zobowiązany do przestrzegania uprawnień, które przysługują kontrolowanemu podmiotowi. Po okazaniu dokumentów uprawniających do czynności kontrol­nych inspektor powinien zapoznać kontrolowanego z jego prawami i obowiązkami. W szczególności inspektor ma obowiązek poinformować, w jaki sposób kontrolowany może domagać się np. wniesienia uwag, zastrzeżeń, poprawek i sprostowań do protokołu kontroli. Inspektor w żadnym wypadku nie może przekraczać zakresu upoważnienia udzielonego przez Generalnego Inspektora – nie może domagać się okazania dokumentów lub podawać informacji o okolicznościach, które nie mają związku z przedmiotem kontroli, np. dotyczących sytuacji finansowej.

VI. DOKUMENTOWANIE KONTROLI

1. Poszczególne czynności kontrolne są dokumentowane w protokole kontroli oraz załącznikach.

2. Protokół kontroli jest sporządzany w dwóch jednobrzmiących egzemplarzach, z których jeden doręcza się kontrolowanemu podmiotowi lub osobie przez niego upoważnionej.

3. Drugi egzemplarz pozostaje w aktach kontroli. Kontrolowany ma prawo wnieść na piśmie umotywowane zastrzeżenia i uwagi – zarówno do treści, jak i do ustaleń zawartych w protokole. Inspektor jest obowiązany rozpatrzyć złożone zastrzeżenia i uwagi oraz ustosunkować się do nich. O sposobie rozpatrzenia zastrzeżeń i uwag kontrolowany podmiot informowany jest na piśmie.

4. Na podstawie zebranego w toku kontroli materiału dowodowego inspektor przedstawia wnioski z kontroli. Jeżeli na podstawie wyników kontroli inspektor stwierdzi naruszenie przepisów o ochronie danych osobowych, występuje do Generalnego Inspektora o zastosowanie środków określonych w OchrDanOsobU.

VII. UPRAWNIENIA POKONTROLNE

1. Na podstawie wyników kontroli następuje wszczęcie postępowania administracyjnego:

  • zawiadomienie o wszczęciu postępowania przesyłane jest kontrolowanemu podmiotowi,
  • kontrolowany podmiot jest informowany o prawie złożenia dodatkowych wyjaśnień i o prawie przesłania uzupełniających dowodów (np. dokumentów lub wydruków z systemu informatycznego), potwierdzających usunięcie stwierdzonych uchybień,
  • jednocześnie jest określony termin, w jakim może nastąpić realizacja tego prawa,
  • w sytuacji, gdy kontrolowany nie skorzysta z przysługującego mu uprawnienia, decyzja kończąca postępowanie zostanie wydana na podstawie materiału dowodowego zebranego w toku kontroli, o czym również kontrolowany podmiot jest informowany.

2. W wyniku przeprowadzonej kontroli Generalny Inspektor wydaje decyzje:

  • nakazujące przywrócenie stanu zgodnego z prawem, jeżeli zostały naruszone przepisy o ochronie danych osobowych,
  • umarzające postępowanie jako bezprzedmiotowe, jeżeli postępowanie administracyjne zostało wszczęte w wyniku stwierdzonych w toku kontroli uchybień, a w trakcie postępowania kontrolowany podmiot je usunął i przywrócił stan zgodny z prawem.

3. Jeżeli kontrolowany podmiot kwestionuje skierowaną do niego decyzję, może zwrócić się do Generalnego Inspektora z wnioskiem o ponowne rozpatrzenie sprawy.

4. Na decyzję Generalnego Inspektora wydaną w przedmiocie wniosku o ponowne rozpatrzenie sprawy przysługuje kontrolowanemu skarga do sądu administracyjnego.

5. Na podstawie ustaleń kontroli inspektor może skierować do wskazanego podmiotu wniosek, zawierający m.in. wskazanie osób, wobec których żąda wszczęcia postępowania dyscyplinarnego.

6. Jednocześnie przedstawia zebrane w trakcie kontroli dowody świadczące o winie tych osób i żąda w oznaczonym terminie przedstawienia rozstrzygnięcia.

7.  Jeżeli wyniki kontroli będą wskazywać, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej wyczerpuje znamiona przestępstwa określonego w OchrDanOsobU, wówczas Generalny Inspektor Ochrony Danych Osobowych  jest obowiązany skierować zawiadomienie o popełnieniu przestępstwa do organu powołanego do ścigania przestępstw.

8. Do zawiadomienia dołącza zgromadzone w toku czynności kontrolnych dowody dokumentujące podejrzenie popełnienia wskazanego czynu zabronionego. Materiał dowodowy, będący podstawą skierowania zawiadomienia, jest zatem pozyskiwany przez inspektorów w wyniku bezpośredniej i szczegółowej kontroli podmiotu przetwarzającego dane osobowe.

VIII. ODPOWIEDZIALNOŚĆ KARNA

1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega: grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Jeżeli czyn określony w zdaniu pierwszym dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

2. Nowelizacja OchrDanOsobU wprowadziła nowy przepis art. 54a, przewidujący odpowiedzialność karną za udaremnianie lub utrudnianie inspektorom wykonania czynności kontrolnych. Występki tego rodzaju zagrożone są grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat 2.

{ 0 komentarze… dodaj teraz swój }

Dodaj komentarz