Zamknij
Wiedza PR - PR i prawo

Ustawa o danych osobowych – czy powinienem się obawiać?

Wojciech Scelina, 2014-04-16 11:26:07

GIODO – ten oznaczający Generalnego Inspektora Ochrony Danych Osobowych skrót może oznaczać dla posiadaczy sklepów internetowych lub innych usług, w których są gromadzone dane o użytkownikach, zdecydowanie więcej, aniżeli mogliby się spodziewać. Podczas uruchamiania nowej usługi (lub nowej funkcjonalności w już istniejącej usłudze), prawdopodobny może być scenariusz posiadania prawnego obowiązku zgłoszenia takiego zbioru właśnie do powyższego podmiotu. Niniejszy artykuł koncentruje się na warunkach określających to zobowiązanie oraz samym procesie rejestrowania zbioru, pozwalając odpowiedzieć między innymi na poniższe pytania:

  • Kim jest administrator danych?
  • Jakie warunki muszą zostać spełnione, żeby przetwarzać dane osobowe zgodnie z ustawą?
  • Jak zgłosić zbiór i z czym to się wiąże?

Zacznijmy jednak od podstaw. W myśl art. 7 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przetwarzanie danych osobowych jest wykonywaniem jakichkolwiek operacji na takich danych. Operacjami tymi mogą być:

  • Zbieranie (na przykład zapis w bazie danych)
  • Utrwalanie i przechowywanie (na przykład zapis na serwerze)
  • Zmienianie (operacje typu UPDATE)
  • Udostępnianie (na przykład prezentowanie ich osobom trzecim)
  • Usuwanie (operacje typu DELETE)

Mając już wiedzę o tym, czym jest operacja na danych osobowych, należy cofnąć się o krok, odpowiadając na pytanie, jaka jest definicja takich danych? Otóż, jest to sprecyzowane w sposób definicyjny, czyli nie wymieniający wprost nazw takich danych. Według definicji, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej, lub możliwej do zidentyfikowania osoby fizycznej. Co to oznacza? Że istnieją rodzaje danych, które:

  • odizolowane od innych informacji pozwalają na natychmiastowe określenie tożsamości,
  • połączone ze sobą, dają możliwość identyfikacji danej osoby, lub bardzo zwiększają możliwość identyfikacji.

Według powyższej specyfikacji, nie są danymi osobowymi te, które zawężają obszar poszukiwań, ale w tak niewielkim stopniu, że znalezienie danej osoby i tak wymaga ogromnych nakładów kosztów, czasu i działań (na przykład wyizolowana informacja o płci, wynagrodzeniu lub województwie zamieszkania). Może się tak stać jednak, że jeżeli te informacje będą podane zbiorczo (np. miejscowość zamieszkania oraz płeć oraz dokładny wiek oraz miejscowość urodzenia) będą mogły być uznane za danymi osobowymi, ponieważ istnieją w ramach jednego rekordu w zbiorze i potencjalnie umożliwiają relatywnie szybką identyfikację tej osoby.

Zatrzymajmy się w tym momencie na przykładzie szablonowym, jakim jest numer IP. Czy IP komputera należy do danych osobowych? Odpowiedź brzmi: zależy. Jak określiliśmy, danymi osobowymi są takie dane, które pozwalają na określenie tożsamości danej osoby, lub zdecydowanie zawężenie obszaru poszukiwań. IP literalnie zostało uznane za taką danę, jeżeli jest przypisane do danej osoby (np. jej urządzenia) niezmiennie przez długi czas. W praktyce jednak często trudno to ustalić. W przypadku bowiem dużych sieci akademickich, kawiarenek internetowych lub zmiennego IP, podejście to nieco się rozmywa i, co prawda ograniczając listę potencjalnych osób związanych z danym rekordem w zbiorze, nie pozwala na jej jednoznaczne określenie (oczywiście jeżeli IP jest w takim zbiorze daną wyizolowaną). W pewnym jednak przypadkach zdarza się jednak, że IP jest literalnie i bezwarunkowo uznawane za daną osobową.

W tym momencie pojawia się tutaj istotne zagadnienie administratora zbioru. Z przepisów jasno wynika, że funkcja ta może być pełniona jedynie przez osobę fizyczną: wymienioną z imienia i nazwiska, nawet jeżeli zarządza ona bazą w imieniu osoby prawnej. Jest to wymóg konieczny przyjęcie wpisu do rejestru. Administrator danych powinien zastosować środki techniczne i organizacyjne, które zabezpieczą dane przed wyciekiem, dostępem przez osoby trzecie, utratą, modyfikacją oraz wszelkimi nadużyciami.

Aby legalnie zarządzać bazą danych osobowych, administrator musi zgłosić taką bazę (dopełnić obowiązku informacyjnego) do GIODO. Pojawia się tutaj kluczowe pytanie: w jaki sposób zgłosić zbiór? Otóż wedle obowiązujących przepisów zgłoszenie zbioru polega na przesłaniu (w formie tradycyjnej lub elektronicznej) odpowiedniego formularza rejestracyjnego do Generalnego Inspektora Danych Osobowych. W formularzu tym należy zawrzeć między innymi poniższe dane:

  • cel przetwarzania danych,
  • opis przedmiotu zbioru (jaka jest kategoria osób, których dane będą przetwarzane dane),
  • sposób zbierania i udostępniania danych,
  • opis techniczny składowania danych,
  • opis organizacyjny składowania danych.

Informacje te powinny być oczywiście całkowicie zgodne z prawdą i precyzyjnie określać dany zbiór. Wzór powyższego zgłoszenia został określony w załączniku do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Aby mieć całkowitą pewność, że został wypełniany poprawnie i precyzyjnie, warto zapoznać się z przepisami rozdziału 5 ustawy o ochronie danych osobowych oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r.

Co szczególnie istotne, naruszenie przepisów o ochronie danych osobowych może narazić administratora na odpowiedzialność dwojakiego rodzaju: administracyjną (przed GIODO) oraz karną na podstawie ustawy o ochronie danych osobowych.

Rodzi się kolejne kluczowe pytanie: w jaki sposób informować użytkowników o tym, że będziemy przetwarzać ich dane osobowe? Pierwszą zasadniczą kwestią jest konieczność uzyskania świadomej zgody osoby fizycznej na przetwarzanie jej danych. Komunikat taki możemy sformułować do pewnego stopnia dowolnie, jednak musi on zawierać pewne predefiniowane elementy takie jak:

  • Zgoda nie może być domniemana / dorozumiana z oświadczenia woli o innej treści,
  • powinna zawierać cel i zakres operacji na danych,
  • powinna informować wprost o podmiocie odpowiedzialnym za przetwarzanie i administrowanymi danymi, tak aby osoba zgadzająca się, posiadała w klarowny sposób przedstawione wszystkie podstawowe informacje dotyczące administratora danych, zakresu operacji na jej danych oraz wszelkie inne potencjalnie istotne informacje.

Pamiętajmy także, że zgodnie z przepisami, użytkownik musi mieć zapewnioną możliwość odwołania takiej zgody w każdym czasie, chociażby za pośrednictwem biura obsługi klienta, lub z poziomu własnego konta.

Generalny Inspektor Ochrony Danych Osobowych nie wydaje certyfikatów, których posiadanie świadczyłoby o legalności przetwarzania danych osobowych. Jeżeli administrator informuje, że zarejestrowany zbiór już nie przetwarza danych osobowych, powinien powiadomić o tym GIODO, które zgodnie z prawej wyda decyzję o wykreśleniu takiego zbioru ze swojego rejestru. Co równie ważne, Generalny Inspektor Ochrony Danych Osobowych nie może nakazać udostępnienia dokumentów zawierających dane osobowe od administratora danych.

W skład tak pojętych przepisów, zbiory danych osobowych tworzone na potrzeby konkursów, sklepów internetowych, prostych systemów CRM/ERP i praktycznie wszystkich innych działalności internetowych gromadzących takie dane, podlegają prawnemu obowiązkowi wpisu w GIODO. Należy również pamiętać, że w każdym przypadku to administrator danych ma obowiązek dokonać oceny tego, czy dany zbiór ze względu na swoją specyfikę powinien zostać zgłoszony, czy też nie musi być zgłoszony, mając na uwadze obowiązującą legislację i ewentualną odpowiedzialność karno-administracyjną.

Źródło: www.datalab.pl. Zdjęcie: dinostock / photoxpress.com.

Strona 1 z 1 1

Oceń artykuł:

Dotychczasowe komentarze
0
komentarzy
Dodaj komentarz jako pierwszy.
Twój komentarzAby skomentować ten artykuł musisz być członkiem społeczności Epr.pl. Zarejestruj się lub zaloguj się tutaj, a następnie wróć do tego artykułu.


Wojciech Scelina

Datalab.pl.

Patricia Kazadi twarzą AVON Mark

Patricia Kazadi – osobowość telewizyjna, piosenkarka i aktorka została ambasadorką nowej linii kosmetyków do makijażu – ...

Cukiernia Sowa nowym klientem Mint Media

Cukiernia Sowa nowym klientem Mint Media

Od stycznia bieżącego roku agencja interaktywna Mint Media kompleksowo obsługuje profil marki na Facebooku. 

Jestem lekko… no właśnie jaka? Rusza wyjątkowa akcja marki Żywiec Zdrój

Kobiecy nastrój bywa zmienny a natura przewrotna. Raz jesteśmy pełne energii do działania, a już za ...