Kancelaria AdwokackaMichał Skwira / Ebiznes a giodo

Co to jest przetwarzanie danych osobowych?

 

Wiele osób twierdzi, że nie zajmują się przetwarzaniem danych osobowych. Niestety w zdecydowanej większości przypadków są w błędzie. Może to mieć konsekwencje podczas ewentualnej kontroli Generalnego Inspektora Danych Osobowych, w skrócie GIODO. Aby wyjaśnić, co w istocie stanowi w polskim prawie przetwarzanie danych osobowych przytoczmy definicję odpowiednich przepisów.
Otóż definicja ta została zawarta w art. 7 ust. 2 ustawy o ochronie danych osobowych, który brzmi następująco: „(…) rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych…”.
Zgodnie z tą ustawą praktycznie każdy przedsiębiorca przetwarza dane osobowe. Baza klientów, baza potencjalnych klientów, baza adresowa czy baza pracowników – to wszystko stanowi dane osobowe.

Co należy wykonać ? W celu spełnienia warunków zgodnie z ustawą, należy wykonać kilka czynności.

Przede wszystkim trzeba na swoich stronach internetowych poinformować o fakcie zbierania danych. Należy zawrzeć na stronach swoje dane jako administratora danych osobowych, poinformować o celu i zakresie przetwarzania danych. Trzeba również zapewnić użytkowników strony i klientów o dobrowolności pozyskiwania danych oraz prawie do wglądu, zmian i usunięcia danych osoby, której one dotyczą.

 

Kolejnym etapem jest opracowanie dokumentacji, w której zawarty jest zbiór spójnych reguł i procedur, jakich należy przestrzegać przy przetwarzaniu danych osobowych oraz na wypadek ewentualnego wycieku danych. Powyższe informacje powinny być zawarte w Polityce bezpieczeństwa Informacji. Natomiast procedury korzystania z komputerów oraz programów, w których przetwarzane są dane, opisuje się w Instrukcji zarządzania systemem informatycznym.

 

Ostatnim podstawowym dokumentem jest wykaz osób upoważnionych do przetwarzania danych osobowych, czyli lista pracowników, którzy mają możliwość dostępu do baz danych. Powinni oni zapoznać się z polityką bezpieczeństwa i wszelkimi innymi instrukcjami. Do sprawowania kontroli i nadzoru nad właściwym przetwarzaniem danych należy wyznaczyć Administratora bezpieczeństwa informacji.

Dopiero spełnienie tych elementów gwarantuje w pełni zgodne z przepisami przetwarzanie danych osobowych, jednak przed rozpoczęciem takiej działalności należy jeszcze zarejestrować zbiór danych. Do przygotowania wszystkich dokumentów warto skorzystać z pomocy odpowiedniego specjalisty.

Rejestracja zbioru danych osobowych

O ile posiadanie wspominanych wyżej elementów jest konieczne, to niewystarczające, by zamknąć na tym temat ochrony danych osobowych. Jak wspomniano wyżej, trzeba bowiem zarejestrować zbiór danych osobowych.

 

Jeżeli poprzednia część jest wykonana w poprawny sposób, to nie będzie powodów do jakichkolwiek obaw przy procesie rejestracji. Wystarczy tylko prawidłowo wypełnić wniosek zgłoszenia zbioru danych osobowych (podlegających zgłoszeniu).

 

Oczywiście jak przy większości przepisów, są od tej zasady pewne wyjątki. W tym wypadku można je znaleźć w art. 43 ust. 1 ustawy. Są to m.in. baza danych osobowych pracowników, wykorzystywana do użytku prywatnego lub baza klientów firmowych na potrzeby wystawienia faktury lub rachunku. Jeżeli prowadzona jest jakiekolwiek dodatkowa forma przetwarzania danych, to oznacza, że baza podlega zgłoszeniu do GIODO.

 

Przykładowo, zwolnieniu nie podlegają bazy danych wykorzystywane do celów marketingowych, informacyjnych czy handlowych. W przełożeniu na język bardziej zrozumiały są to, np. baza klientów sklepu internetowego, baza abonentów newslettera, bazę potencjalnych klientów.

 

W praktyce każdy sklep internetowy czy firma lub osoba prowadząca działalność w Internecie powinny przyjrzeć się bardzo uważnie ustawie, najlepiej z pomocą kompetentnych doradców.

 

Jeżeli nie przetwarzają Państwo w swoich zbiorach danych uznanych za wrażliwe, czyli dotyczących m.in. stanu zdrowia, nałogów, przekonań politycznych czy wyznania, to po wysłaniu takiego wniosku, nie czekając na potwierdzenie rejestracji, można przetwarzać dane osobowe zgodnie z prawem.

 

Zgłoszenia dokonuje się na specjalnym wniosku, który można pobrać ze strony GIODO.gov.pl.

 

Każda osoba ma prawo do ochrony swoich danych osobowych i każdej osobie, której dane posiadają Państwo w swojej bazie, powinni Państwo umożliwić wgląd oraz ew. zaprzestanie dalszego przetwarzania, jeśli sobie tego zażyczy. Pamiętajmy także, że osoba taka może w skrajnych przypadkach wnieść sprzeciw do GIODO, który może skończyć się kontrolą w Państwa przedsiębiorstwie.

 

Nawet fakt, że Państwa zbiory danych nie podlegają rejestracji, nie zwalnia Państwa z przestrzegania ustawy oraz posiadania podstawowej dokumentacji.

 

Jeżeli posiadają Państwo sklep internetowy i dzierżawią miejsce na serwerze lub cały serwer dedykowany, to wskazane jest, by podpisać umowę powierzenia przetwarzania danych osobowych. Firma świadcząca takie usługi powinna mieć wdrożone wszystkie procedury oraz nie robić przeszkód w procesie zawarcia takiej umowy. Jest to zobowiązanie jej do tego, że spełnia wymogi ustawy oraz będzie dbać o bezpieczeństwo Państwa danych.

 

Niewłaściwe zabezpieczenie danych może spowodować utratę renomy i negatywnie wpłynąć na wizerunek marki. Warto więc podejść do tematu w sposób w pełni profesjonalny.

Michał Skwira

Michał Skwira

Adwokat Michał Skwira jest specjalistą z zakresu prawa morskiego. Był słuchaczem studiów podyplomowych na Lloyds Maritime Academy w Londynie, obejmujących zakres prawa morskiego. Jego wiedza jest przydatna także w naszym kraju. Michał Skwira jest cenionym ekspertem w zakresie prawa morskiego. Jest doceniany przez polskie organy szkoleniowe. Dowodem na to jest etat wykładowcy w Studium Doskonalenia Kadr Oficerskich Akademii Morskiej w Szczecinie.

Klienci

  • logo
  • logo
  • logo
  • logo
  • logo
  • logo
  • logo