Mam już wypełniony wniosek…

Często dzwonią lub piszą do mnie klienci z informacją, że napisali zgłoszenie do GIODO i potrzebują jeszcze tylko dokumentacji wymaganej prawem tj. przede wszystkim polityki bezpieczeństwa danych.

Sytuacja taka przydarzyła mi się kilkukrotnie i wprawiła nie powiem w pewną konsternację żeby nie powiedzieć osłupienie.

Chodzi bowiem o to, że zgłoszenie zbiorów do GIODO tak naprawdę kończy cały proces badania zgodności w zakresie spełniania wymogów prawnych dotyczących przetwarzania danych osobowych. Jest to jakby ostatni znaczący punkt w całym procesie badania zgodności.

Jeśli ktoś prosi mnie o pomoc po wypełnieniu wniosku to zastanawiam się jak tu pomóc i czy moja pomoc w ogóle jest potrzebna.

Obserwuję ciągle, że kwestia zabezpieczenia danych osobowych w firmie traktowana jest rzeczywiście jako kolejny przykry obowiązek administracyjny. Większość przedsiębiorców najchętniej ograniczyłaby się do wypełnienia dokumentów, włożenia do segregatora i wyciągnięcia na wypadek kontroli GIODO. Korzystają więc z różnych krążących w sieci wzorów.

Zgadzam się, że małych przedsiębiorców rzeczywiście kwestia ta może przerastać i odsuwają jej uporządkowanie. Jednakże firmy przetwarzające duże ilości danych osobowych, których działalność gospodarcza z tym przetwarzaniem ściśle jest związana, działające od lat na rynku i mające setki czy tysiące danych w swojej bazie powinny potraktować sprawę poważniej, co oznacza zapewnienie odpowiedniej adekwatnej do wymogów prawa ochrony.

Zapis na newsletter – zapis do zbioru

Jednym z istotnych zagadnień z zakresu ochrony danych osobowych, ze zrozumieniem którego borykają się przedsiębiorcy jest zbiór danych osobowych.

Zbiór danych osobowych to w świetle tegoż prawa uporządkowany zestaw danych o charakterze osobowym, posiadający własną strukturę, w którym dane są dostępne według określonych kryteriów.

Praktyka pokazuje, iż identyfikacja zbiorów danych osobowych przysparza wciąż niemało problemów. Przedsiębiorcy najchętniej wszystkie dane osobowe, które w związku ze swoją działalnością przetwarzają, wrzuciliby do jednego worka.

Identyfikując zbiory należy jednak pamiętać, że dla realizacji różnych celów konieczne będzie przetwarzanie danych osobowych w różnych zakresach, a to oznacza, że zgłoszenie zbioru do rejestracji dotyczy nie jednego, lecz kilku zbiorów prowadzonych w różnych celach.

Na przykład baza klientów sklepu internetowego przetwarzanych w różnych celach, jak np. realizacji zamówień, marketingu, prowadzenia bazy umów cywilnoprawnych,nie może zostać zgłoszona do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych jako jeden zbiór danych osobowych.

W stosunku do każdego zbioru musimy też rozważyć legalność przetwarzania danych czyli rozpoznać podstawę prawną przetwarzania danych w zbiorze. Kolejnym obowiązkiem administratora danych będzie poinformowanie osoby, której dane są przetwarzane w zbiorze o tym, kto jest administratorem danych, w jakich celu dane są przetwarzane, czy dane są udostępniane oraz, że podanie danych jest dobrowolne i osoba ma prawo dostępu do danych.

No i oczywiście każdy zbiór powinien być zgodnie z przepisami prawa zabezpieczony a administrator w swojej organizacji musi posiadać podstawowe dokumenty związane z przetwarzaniem danych osobowych takie jak politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym.

Na koniec warto wspomnieć o zbiorze danych osobowych znanym większości przedsiębiorców jest baza Newsletter. Jednak obserwując strony internetowe łatwo można dojść do przekonania, iż pozyskiwanie danych do tego zbioru rzadko odbywa się z uwzględnieniem obowiązków prawa.

Za pośrednictwem formularza zapisu na newsletter rozpoczyna się proces zbierania danych osobowych. Osoba, której dane są pozyskiwane w ten sposób powinna w tym momencie uzyskać wszystkie niezbędne informacje kto i w jakim celu będzie przetwarzał jej dane osobowe, czy dane będą udostępniane oraz, że podanie danych jest dobrowolne a ona ma prawo dostępu do swoich danych.

Ponadto  jeśli za pośrednictwem newslettera przesyłane są oferty, reklamy czy jakiekolwiek informacje handlowe mające na celu zachęcenie odbiorcy do skorzystania z usług, konieczna jest wówczas wyraźna zgoda osoby na przesyłanie tego rodzaju komunikacji. W przeciwnym razie wysyłane komunikaty mogą narazić się na zarzut wysyłania sankcjonowanej przez prawo zakazanej informacji handlowej.

Przetwarzanie danych osobowych

Zgodnie z ustawą o ochronie danych osobowych przetwarzanie danych osobowych to jakiekolwiek operacje na danych takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Jak widać ustawa zakreśla bardzo szeroki zakres czynności faktycznych, które można w jej świetle zakwalifikować, jako przetwarzanie danych osobowych. Oznacza to, że podmiot przetwarzający dane, czyli dokonujący na danych takich czynności, jak wymienione powyżej podlega zasadom oraz rygorom ustalonym dla przetwarzania danych w odpowiednich przepisach prawnych w szczególności ustawie o ochronie danych osobowych.

Każda, więc operacja na danych osobowych począwszy od pozyskiwania danych osobowych przy pomocy wszelkiego rodzaju formularzy kontaktowych, wyskakujących okienek typu pop-up, newsletterów czy pozyskiwanych danych w kontakcie bezpośrednim jest przetwarzaniem danych osobowych.

I jest to pierwszy i bardzo ważny moment, aby przetwarzanie danych poddać zasadom określonym w ustawie. Jest to o tyle ważne, że baza danych osobowych pozyskiwana w sposób prawidłowy od początku nie będzie wymagała jakiegoś szczególnego postępowania naprawczego, które czasami może być dla właściciela bazy bolesne w skutkach.

Zwłaszcza przetwarzanie danych w systemach informatycznych wymaga od administratora podjęcia szeregu czynnościwa tym posiadania polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym. Są to podstawowe dokumenty, które każdy administrator danych osobowych przetwarzający dane w systemach informatycznych posiadać powinien.

Tak, więc pamiętajmy, że jeśli wykorzystujemy w swojej działalności gospodarczej dane osobowe inaczej mówiąc przetwarzamy te dane stajemy się administratorem tych danych odpowiedzialnym za przetwarzanie ich zgodnie z prawem.

 Pamiętajmy, aby zasady te wcielać od pierwszej czynności przetwarzania zaoszczędzi to, bowiem przykrych niespodzianek w przyszłości, gdy baza liczyła będzie już setki lub tysiące klientów. Zwłaszcza należy pamiętać o tym w przededniu wprowadzenia nowego prawa unijnego, które w całej Unii Europejskiej wprowadzi jednolity reżim ochrony danych osobowych.

Dane osobowe w teorii i praktyce

Na początek informacja szokująca. Nie ma pełnej, precyzyjnej informacji, co jest danymi osobowymi. Ustawa mówi, że za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Czy imie i nazwisko to są takie informacje. Na przykład Jan Kowalski lub Jan Nowak? Wydaje się, że nie, gdyż w Polsce i imię to i nazwisko  jest na tyle powszechne, że trudno byłoby powiązać te dane z jakąś konkretną, możliwą do zidentyfikowania osobą.  Jednak sprawa się komplikuje, gdy mamy bardzo rzadkie, oryginalne, nietuzinkowe  imię i nazwisko, które może identyfikować jedną, jedyną osobę w Polsce lub na świecie. Wówczas już takie imię i nazwisko będziemy musieli uznać w świetle ustawy za dane osobowe podlegające jej pełnej ochronie.

O czym musimy pamiętać myśląc o pojęciu danych osobowych. Na przykład o tym, że nie tylko dane identyfikujące osobę fizyczną są danymi osobowymi. Cały bowiem zestaw danych, przypisany do możliwej do zidentyfikowania osoby fizycznej są to dane osobowe.

W związku z powyższym, aby stworzyć sobie pełny obraz danych osobowych, do których być może mamy dostęp trzeba wziąć pod uwagę cały kontekst przetwarzania danych z uwzględnieniem faktu wszystkich zbiorów danych, do jakich mamy dostęp.

Na przykład była taka ciekawa sprawa, że na stronie internetowej jednej z uczelni wywieszono wyniki sesji egzaminacyjnej przyporządkowane do numerów indeksów. Wydawało się, iż poprzez zastąpienie danych identyfikacyjnych pseudonimami dane osobowe zostały należycie zabezpieczone przed dostępem osób nieupoważnionych. Jednakże okazuje się, że na tej samej stronie znajdowała się zakładka podstrony “grupy ćwiczeniowe'”, na której to znajdowały się imiona i nazwiska studentów oraz numery ich indeksów.

Reasumując należy pamiętać, że dane osobowe to nie tylko dane identyfikujące osobę fizyczną takie jak imię i nazwisko czy numer pesel czy adres zamieszkania, ale będzie to cały zestaw danych przypisany do konkretnej osoby fizycznej, do którego mamy dostęp lub który przetwarzamy.

Ochrona danych osobowych

Ochrona danych osobowych postrzegana jest przedsiębiorców często jako kolejny przykry obowiązek, ktory hamuje ich rozwój. Jednak wiekszość przedsiebiorców, z ktorymi mam do czynienia po początkowej niechęci w miarę zgębiania zagdnień związanych z ochrona danych osobowych zmienia zupełnie swoje nastawienie.

Każdy ma prawo do ochrony danych osobowych dotyczących jego osoby stanowi podstawowy akt prawny w zakresie ochrony danych osobowych, już w pierwszych słowach.

Dane osobowe są dobrem prawnie chronionym, fakt ten w świadomości ogólnospołecznej powoli, ale nabiera znaczenia.

Zaobserwować jednak można swoisty paradoks. Bowiem z jednej strony widzimy rosnącą w zakresie ochrony danych osobowych świadomość, zwłaszcza z uwagi na galopujący rozwój obrotu danymi w internecie. Z drugiej jednak niefrasobliwość w zakresie wypełniania obowiązków w zakresie tejże ochrony przez samych przedsiębiorców.

Nie tak dawno otrzymałam telefon od przedsiębiorcy, który chciał się upewnić czy w swojej działalności przetwarza dane osobowe zgodnie z prawem. Okazało się, że kontakty wyszukuje w internecie, następnie nawiązuje kontakt telefoniczny lub przez e-mail. Dane osobowe przechowuje w skrzynce pocztowej odpowiednio skatalogowane. 

Do zbadania tematu ochrony danych osobowych mój rozmówca został niejako popchnięty przez osobę, która wytknęła mu, iż kontaktuje się z nia a przecież nie posiada zgody na przetwarzanie jej danych osobowych w tym kontaktowanie w celu przedstawienia swojej oferty.

Mimo, iż rozmówca bez wątpienia był rozgarniętym człowiekiem, radzącym sobie w prowadzeniu swojego niewielkiego biznesu. Jednak do głowy mu nie przyszło, że jest coś takiego jak prawna ochrona danych osobowych i obowiązki do wykonania w tym zakresie. Ochrona, która ustanawia zasady legalnego przetwarzania danych osobowych.

Niestety większość małych i średnich przedsiębiorców poczytuje ochronę danych osobowych, jako kolejny przykry obowiązek.

Jednakże tak, ja powiedzialam na wstępie po początkowym buncie wobec rygorów i wymogów prawnych związanych z ochroną danych osobowych z reguły przedsiębiorcy przyjmują potrzebę uregulowania tej kwestii w swojej organizacji. Skuteczna ochrona danych osobowych nas wszystkich bowiem zależna jest właśnie od odpowiedniego podejścia samych przedsiębiorców do tego coraz ważniejszego zagdnienia.

Obrót danymi osobowymi – ochrona danych osobowych

Obrót danymi osobowymi czyli tak naprawdę udostępnianie danych osobowych w oparciu o umowy cywilnoprawne w świetle prawa jest dozwolona. Pamiętać jednak należy, iż udostępnianie danych osobowych w ramach zawieranych umów musi być zgodne z ustawą o ochronie danych osobowych.

W mojej opinii obrót danymi osobowymi musi legitymować się odpowiednią podstawą prawną wymienioną w uodo.

W obrocie róznie  bywa z przestrzeganiem warunków legalnego przetwarzania danych. Pokłosiem takiego postępowania jest udostęnianie danych osobowych osobom nieuprawnionym. Ochrona danych osobowych gwarantowana przez przepisy prawne staje się wówczas iluzoryczna.

Nie jednemu z nas zdarzyło się otrzymać telefon czy e-mail od firmy, której nie udostęniał swoich danych osobowych. Niestety takie sytuacje nie należą do rzadkości. Firmy pamiętać jednak powinny, iż taki nielegalny obrót danymi osobowymi wypełnia znamiona czynów zabronionych, za które ustawa przewiduje sankcje karne.

Bywa też, że winne są same osoby udostępniające swoje dane osobowe, które często nie czytają dokadnie zgód, które podpisują a które zawierają w swojej treści niejednokrotnie zgodę na udostępnianie danych osobom trzecim.

Czasami też podmioty, którym administrator danych powierzył do przetwarzania dane powołują się na umowę powierzenia do przetwarzania, jako podstwę prawną przetwarzania danych. Jednakże należy pamiętać, iż w przypadku, gdy przetwarzający wykorzystuje dane do własnych a nie administratora danych celów umowa o powierzenie do przetwarzania nie może stanowić podstawy prawnej takiego przetwarzania.