Organizacje i przedsiębiorstwa, które posiadają dostęp do danych osobowych innych osób posiadają szereg obowiązków, które muszą spełnić. Jakie są te obowiązki? Co nazywamy danymi osobowymi? Jakie są konsekwencje nieprzestrzegania przepisów?
Zacznijmy od określenia, czym są dane osobowe. Według definicji zawartej w art. 6 ust. 1 ustawy o ochronie danych osobowych, są te wszystkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Tożsamość osoby możliwej do zidentyfikowania określa się bezpośrednio lub pośrednio – bezpośrednio od danej osoby i pośrednio przejmując te dane. W każdym przypadku mamy obowiązek informacyjny.
Danymi osobowymi są zarówno przypisane numery, jak i cechy charakterystyczne i adresy. Kilka najczęściej spotykanych przykładów:
- imię, nazwisko, adres,
- numer PESEL i NIP,
- cechy fizyczne i fizjologiczne (DNA, linie papilarne, siatkówka oka),
- cechy ekonomiczne (stan konta, zadłużenie),
- identyfikator internetowy (adres e-mail),
- cechy kulturowe i społeczne,
- cechy umysłowe.
Przy czym należy pamiętać, że jeżeli wyżej wymienione cechy występują osobno, np. samo imię, a nawet imię połączone z nazwiskiem, ale bardzo popularne (Jan Kowalski), sam e-mail, to nie uważa się je za dane osobowe. Nie są danymi informacje, na podstawie których identyfikacja wymagałaby nadmiernych kosztów, czasu lub działań. Najczęściej więc ogólne pojedyncze cechy zestawia się z innymi. E-mail w połączeniu z imieniem i nazwiskiem pozwala już na identyfikację danej osoby. Mówimy tu również o adresie e-mail bardziej „osobistym”, nie przekierowującym do ogólnej skrzynki firmy.
Pojedynczo występującą daną jest np. numer PESEL, przypisywany indywidualnie do każdej osoby. Na jego podstawie można od razu zidentyfikować, kim jest dana osoba i dotrzeć do pozostałych informacji.
Czym jest przetwarzanie danych?
Przetwarzaniem są wszystkie działania, które wykonują administratorzy na zbiorach lub pojedynczych danych. Zbiorem danych jest zestaw, który posiada strukturę pozwalającą wyszukać konkretne pojedyncze dane według uporządkowanych kryteriów. Przetwarzaniem może być:
- przechowywanie,
- gromadzenie,
- archiwizowanie,
- udostępnianie,
- usuwanie,
- modyfikacja,
- opracowywanie.
Zgodę na przetwarzanie danych osobowych może wyrazić wyłącznie osoba mająca pełną zdolność do czynności prawnych, której one dotyczą. Zgoda musi być wyrażona świadomie i wyraźnie. Dokonywanie pewnych czynności, np. zawierania umowy nie może być jednoznaczne z wyrażeniem zgody na przetwarzanie danych osobowych. Taką zgodę można cofnąć. Ponadto, osoba ta ma prawo wymagać od administratora danych informacji o ich przechowywaniu i celu przetwarzania.
Dane wrażliwe
Dane, które podlegają szczególnej ochronie, a ich przetwarzanie dopuszczalne jest w określonych sytuacjach nazywa się wrażliwymi. Przyjmuje się, że pozostałe, np. imię, nazwisko, adres, PESEL, nazywamy zwykłymi. Przykłady danych wrażliwych:
- poglądy polityczne,
- przekonania religijne,
- dane rasowe lub etniczne,
- kod genetyczny,
- nałogi,
- przynależność wyznaniowa, związkowa, partyjna.
Kiedy można przetwarzać dane wrażliwe?
- Jeżeli osoba, której dotyczą wyrazi pisemną zgodę.
- Jest to niezbędne do ochrony życia osoby, której dotyczą, a jednocześnie nie jest ona zdolna samodzielnie wyrazić zgody.
- Przepis szczególny wynikający z innej ustawy zezwala na przetwarzanie danych wrażliwych bez zgody, zapewniając jednocześnie ochronę tych danych.
- Jest to niezbędne do działań kościołów, fundacji, stowarzyszeń, związków wynikających z ich statutu. Dotyczy to wyłącznie członków danej organizacji, którzy zaangażowani są w jej działalność i zapewnia ona ochronę tych danych.
- Przetwarzanie danych niezbędnych do dochodzenia spraw sądowych.
- Przetwarzanie danych osoby, która dobrowolnie podała je do wiadomości publicznej.
- Jest to niezbędne do badań naukowych z zastrzeżeniem, że opublikowane wyniki nie ujawniają tych danych.
- Jest związane z zatrudnieniem pracowników lub innych osób.
- Jest związane z ochroną zdrowia, leczeniem i świadczeniem usług medycznych wobec pacjentów.
Jakie są obowiązki administratora danych?
Posiadanie dostępu do danych osobowych wiąże się z odpowiedzialnością danego podmiotu. Ustawa wyznacza określone kompetencje Generalnego Inspektora Ochrony Danych Osobowych do stania na czele interesów właścicieli danych. Ponadto nakłada obowiązki na organizacje i inne podmioty:
- Ochrona danych, czyli zabezpieczenie dostępem do osób trzecich i upublicznieniem.
- Rejestracja danych, czyli zgłoszenie do rejestru prowadzonego przez GIODO.
- Obowiązek informacyjny – poinformowanie o posiadaniu i celu wykorzystywania danych osób, których dotyczą.
Co grozi za bezprawne przetwarzanie danych osobowych?
- Przetwarzanie danych, do którego podmiot nie jest uprawniony albo przetwarzanie ich nie jest dopuszczalne podlega karze grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2.
- W przypadku danych wrażliwych, za powyższy czyn grozi kara grzywny, ograniczenie wolności albo pozbawienie wolności do lat 3.
- Udostępnianie albo umożliwienie dostępu do danych osobowych osobom trzecim wiąże się z karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2.
- Jeżeli administrator danych działał nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
- Jeżeli administrator nawet nieumyślnie dopuści się zaniedbania, tj. uszkodzenia, zniszczenia, zabrania przez osobę nieuprawnioną, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
- Jeżeli administrator zobowiązany do zgłoszenia zbioru danych do rejestru nie dopełni tego obowiązku, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
- W przypadku nie dopełnienia obowiązku informacyjnego (poinformowanie osoby, której dane dotyczą o jej prawach, posiadaniu danych), grozi kara grzywny, ograniczenie wolności albo pozbawienie wolności do roku.
W roku 2018 wejdą nowe przepisy dotyczące ochrony danych osobowych w związku z uchwaleniem ogólnego rozporządzenia o ochronie danych osobowych przez Radę i Parlament Europejski.
Krzysiek
11 czerwca, 2017Bardzo przydatny artykuł. Dziękuję