Nie ma ucieczki przed GIODO…

Okazuje się, że są firmy, które chcą zapłacić za to, aby pomóc im uciec przed GIODO przynajmniej mnie zdarzyło się otrzymać takie dość niecodzienne zapytanie. Zasadniczo otrzymuję zlecenia, aby pomóc firmie osiągnąć stan zgodności z GIODO, ale żeby uciec to już rzadziej.

Z reguły ucieczka przed GIODO to takie “siedzenie cicho” i udawanie, że prawo ochrony danych osobowych nas nie dotyczy, kiedyś się tym zajmiemy, ale aktualnie są ważniejsze rzeczy do załatwienia. Podmioty, które podejmują zorganizowaną ucieczkę przed GIODO jest zdecydowana mniejszość, ale zdarzają się i takie.

Przykład z ostatniego szkolenia dla branży kosmetycznej jest taki, że więcej chętnych chciało szkolić się z pielęgnacji paznokci niż z aspektów prawnych uświadomionej zgody lub ochrony danych osobowych i tajemnicy przedsiębiorstwa.

Zapominamy, że dobrze wykonana usługa to nie tylko dosłownie rozumiany zabieg fryzjerski, kosmetyczny czy inny, ale to także dbanie o informacje o klientach, informacjach często wrażliwych. Pamiętajmy, ze prawo do prywatności jest prawem podstawowym jednostki. Przetwarzanie danych osobowych o osobach fizycznych powinno być zgodne z przepisami o ochronie danych osobowych.

Jednakże sfera ochrony danych osobowych w dalszym ciągu pozostaje  słabo zabezpieczona i stąd być może zlecenie dla mnie, aby w ogóle uwolnić się od GIODO np. poprzez założenie firmy w kraju, który nie posiada odpowiednich z zakresu ochrony danych osobowych regulacji prawnych a jednocześnie będzie poza jurysdykcją przepisów krajowych oraz unijnych.

Pomysł nie jest, aż tak naiwny bowiem w świetle aktualnych przepisów dominującą w prawie ochrony danych osobowych w UE jest zasada podlegania przepisom Państwa właściwego dla siedziby administratora danych osobowych. Jest to rozwiązanie od pewnego czasu bardzo krytykowane, gdyż poza jurysdykcją GIODO pozostają na przykład takie organizacje jak Google czy Facebook, których przetwarzanie danych osobowych nie zawsze podoba się europejskim organom ochrony danych osobowych.

Najnowszej Rozporządzenie unijne w sprawie ochrony danych osobowych odchodzi od zasady podlegania prawu właściwemu dla państwa siedziby administratora danych. Istotnym novum będzie objęcie nową regulacją również tych administratorów danych osobowych, te firmy, które mając siedzibę poza UE świadczą usługi dla jej obywateli.

Z tego też powodu reasumując można powiedzieć, iż nie ma ucieczki przed GIODO (jeśli firma świadczy usługi w UE lub dla jej obywateli) i zamiast tracić czas i pieniądze na poszukiwanie wątpliwych rozwiązań w świetle nadchodzących zmian, skupić się raczej należy na dostosowaniu swojej działalności do stanu zgodności z obowiązującym prawem.

Klient nasz Pan – kontrola GIODO

Każdy przedsiębiorca hołduje tej maksymie. O klienta trzeba zabiegać, dbać, chuchać i dmuchać. Robić wszystko co możliwe, aby niezadowolonych klientów było jak najmniej a najlepiej wcale.

W jaki sposób na gruncie ochrony danych osobowych może zaszkodzić przedsiębiorcy niezadowolony klient. A no na przykład w taki, że poskarży się do Generalnego Inspektora Ochrony Danych Osobowych, że jego prawa zostały naruszone.

Co w takiej sytuacji może zrobić GIODO. GIODO może wiele, jednak na pewno nie może, poza zupełnymi wyjątkami, skargi zbagatelizować. Jako organ musi zareagować. Standardowo więc wszczyna postępowanie administracyjne, aby zbadać zasadność skargi naszego klienta.

Bywa, że klienci nie do końca mają rację, bywa, że ich skargi nie są w świetle prawa nieuzasadnione. Mądry GIODO wszystko to zbada, ustali i orzeknie co do istoty sprawy. W przypadku skargi nieuzasadnionej odmówi naszemu klientowi ochrony.

Ale ale niestety nie jest tak łatwo bo, gdy GIODO już wejdzie na kontrolę i badając przedmiot skargi zauważy jakieś inne, niezwiązane z nim uchybienie to niestety wytknie je używając odpowiednich środków prawnych.

Tak więc niezadowolony klient, który idzie ze skargą do GIODO może zaszkodzić nawet, jeśli mamy przekonanie o  niezasadaności jego skargi. Bowiem dla GIODO będzie to okazja, aby prześwietlić organizację pod kątem respektowania obowiązków w zakresie ochrony danych osobowych.

Wobec powyższego trzeba czynić wszystko, aby klienci byli zadowoleni ale również, aby organizacja chroniła w należyty sposób dane osobowe tak, żeby nawet, gdy GIODO się zjawi mieć pewność, że nie znajdzie niczego, co mogłóby nam wytknąć.

Grzywna w celu przymuszenia

Począwszy od marca 2011 r. GIODO uzyskał status organu egzekucyjnego, co oznacza, iż posiada obecnie środki prawne, aby skutecznie egzekwować wydawane przez siebie decyzje.
Przez kilkanaście lat obowiązywania przepisów ustawy o ochronie danych osobowych Generalny Inspektor nie miał tego rodzaju uprawnień, a co za tym idzie, nie mógł doprowadzać do przymusowego wykonania obowiązków (nakazów) nałożonych w wydanych przez siebie decyzjach.

Typowym środkiem, który może być obecnie stosowany przez Generalnego Inspektora w celu egzekwowania wydanych przez siebie decyzji, jest grzywna w celu przymuszenia.

Grzywna w celu przymuszenia może być nakładana kilkakrotnie, przy czym każdorazowo nałożona grzywna nie może przekraczać 10 tys. zł, a w stosunku do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej – 50 tys. zł, natomiast grzywny nakładane wielokrotnie nie mogą łącznie przekroczyć 50 tys. zł, a w stosunku do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej – 200 tys. zł.

Zbiór danych osobowych

Zgodnie z OchrDanOsobU przez zbiór danych – rozumie się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Tyle mówi ustawa jednakże sprawa niestety nie jest łatwa ani oczywista i w praktyce na tle zaprezentowanej wyżej definicji jawi się szereg problemów i wątpliwości interpretacyjnych.

Każdy zestaw danych osobowych, który umożliwia dostęp do poszczególnych danych przez jakiekolwiek kryterium (nie tylko osobowe), jest zbiorem danych w rozumieniu ustawy. Alfabetyczne ułożenie danych osobowych według nazwiska lub nazwiska i imienia pozwala na szybkie odnalezienie informacji o osobie bez potrzeby przeglądania całego zestawu, jednakże nie jest to kryterium decydujące do zakwalifikowania danego zestawu, jako zbioru.

Naczelny Sąd Administracyjny rozpatrując spór dotyczący kwalifikacji raportów ze zdarzeń na trasie Stacji Techniczno-Postojowej oraz linii metra, sporządzanych przez pracowników Służby Ochrony Metra uznał, iż z treści OchrDanOsobU nie wynika, że dane osobowe mają być w definiowanym “zbiorze danych” danymi podstawowymi (osobowymi). Nie wynika również, że kryterium dostępu do tych danych mają być dane identyfikacyjne (imię, nazwisko, adres “PESEL”). Oznacza to, iż za zbiór należy uznać zestaw danych osobowych dostępnych według jakiegokolwiek kryterium. Rozbieżności interpretacyjne pojawiają się na tle liczby kryteriów, według których dostępne są dane w zestawie. W zależności od tego, czy uznamy za cechę konieczną zbioru posłużenie się, co najmniej dwoma kryteriami umożliwiającymi dostęp do znajdujących się w zbiorze danych, czy też wymagania ograniczymy do jednego kryterium – różny będzie przedmiotowy zakres m.in. obowiązku rejestracyjnego (art. 40 u.o.d.o.), informacyjnego (art. 32 u.o.d.o.), a także odpowiedzialności karnej.

Zdaniem Generalnego Inspektora Danych Osobowych nie jest istotna liczba oraz rodzaj kryteriów i już jedno kryterium wystarczy by zakwalifikować dany zestaw, jako zbiór danych w rozumieniu OchrDanOsobU. Ponadto Generalny Inspektor Ochrony Danych Osobowych uznaje, iż “Wszelkie materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe, są zbiorem danych osobowych w rozumieniu art. 7 pkt 1 ustawy“. W opinii tej widać wyraźnie, iż Generalny Inspektor utożsamia pojęcie zbioru danych z takimi zestawieniami jak np akta sądowe.

Grzywna w celu przymuszenia

Począwszy od marca 2011 r. GIODO uzyskał status organu egzekucyjnego, co oznacza, iż posiada obecnie środki prawne, aby skutecznie egzekwować wydawane przez siebie decyzje.
Przez kilkanaście lat obowiązywania przepisów ustawy o ochronie danych osobowych Generalny Inspektor nie miał tego rodzaju uprawnień, a co za tym idzie, nie mógł doprowadzać do przymusowego wykonania obowiązków (nakazów) nałożonych w wydanych przez siebie decyzjach.

Typowym środkiem, który może być obecnie stosowany przez Generalnego Inspektora w celu egzekwowania wydanych przez siebie decyzji, jest grzywna w celu przymuszenia.

Grzywna w celu przymuszenia może być nakładana kilkakrotnie, przy czym każdorazowo nałożona grzywna nie może przekraczać 10 tys. zł, a w stosunku do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej – 50 tys. zł, natomiast grzywny nakładane wielokrotnie nie mogą łącznie przekroczyć 50 tys. zł, a w stosunku do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej – 200 tys. zł.

Tags: GIODO kontrola, ochrona danych osobowych

GIODO sprawdzi jak przetwarzasz dane

Mimo, że ustawa o ochronie danych osobowych obowiązuje już kilkanaście lat myślę, że nawet obecnie, niektórzy przedsiębiorcy nie do końca zdają sobie sprawę, że ich również może ona dotyczyć. W tym artykule chciałabym poruszyć kwestię kontroli przedsiębiorcy przez inspektorów Głównego Inspektora Ochrony Danych Osobowych.

 W czasach obecnych trudno wyobrazić mi sobie przedsiębiorcę, którego regulacja dotycząca ochrony danych osobowych by nie dotyczyła, a to z prostego powodu, iż budowanie przez przedsiębiorców baz klientów, stałe pozyskiwania klientów lojalnych stało się normą w działalności większości przedsiębiorców, co powoduje, iż zbieranie i przetwarzanie tychże danych osobowych jest dla w/w celów konieczne, a więc w efekcie przedsiębiorcy wchodzą w krąg podmiotów objętych zakresem kontroli GIODO.

GIODO kontroluje przestrzeganie przepisów ochrony danych osobowych w zakresie przetwarzania i zabezpieczenia danych. Kontrole odbywają się w sposób wcześniej zapowiedziany i przeprowadzane są przez inspektorów, którzy z ramienia GIODO wyposażeni są w specjalnej upoważnienie imienne do przeprowadzenia danej kontroli. Każdy inspektor powinien wylegitymować się stosowną legitymacją służbową inspektora biura GIODO. Inspektor w zakresie swojego upoważnienia ma szerokie kompetencje i uprawnienia władcze, gdyż może żądać od każdej osoby, która ma wiedzę złożenia stosownych wyjaśnień, przedstawienie dokumentacji, której opracowanie jest obowiązkowe tj. polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz ewidencji osób upoważnionych do przetwarzania danych.

Poszczególne czynności kontrolne są dokumentowane w protokole kontroli oraz załącznikach.

W wyniku przeprowadzonej kontroli Generalny Inspektor wydaje decyzję: nakazujące przywrócenie stanu zgodnego z prawem, jeżeli stwierdzi naruszenie przepisów o ochronie danych osobowych, umarzające postępowanie, jeśli w toku kontroli kontrolowany usunął uchybienia i postępowanie takie stało się bezprzedmiotowe.

Co istotne w wyniku przeprowadzonej kontroli może zostać skierowane zawiadomienie o popełnieniu przestępstwa do organu powołanego do ścigania przestępstw w stosunku do osoby fizycznej, której można postawić zarzut w zakresie stwierdzonych w toku kontroli uchybień. Jest to o tyle groźne, iż konkretna osoba fizyczna na przykład kierownik firmy lub inna, wyznaczona do zadań ochrony danych w firmie, osoba może zostać w następstwie takiej kontroli pociągnięta do odpowiedzialności karnej, osobistej.

Jeszcze słów kilka o nowościach, które, w omawianym zakresie, zostały wprowadzone przez nowelizację ustawy  w roku ubiegłym. Wprowadzono do ustawy nowy przepis karny, który penalizuje udaremnianie lub utrudnianie inspektorom wykonywania czynności kontrolnych. Występki tego rodzaju zagrożone są grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat 2.

I ostatnia rzecz, na którą, przy tej okazji warto zwrócić są uprawnienia egzekucyjne GIODO. Jak dotychczas GIODO nie należał do organów egzekucyjnych i jako taki nie miał uprawnień do egzekwowania wydawanych przez siebie decyzji przy pomocy przewidzianych specjalnie w tym celu środków prawnych, obecnie GIODO będzie uprawniony do stosowania na przykład grzywny w celu przymuszenia .
Są to istotne zmiany mające poprawić efektywność wydawanych decyzji, zmiany te mają bezpośredni wpływ na sferę praw i obowiązków podmiotów kontrolowanych, które powinny być takowych uprawnień GIODO świadome.