25.05.2011

I ty przetwarzasz dane osobowe

Przedsiębiorcy pobierający dane osobowe osób fizycznych z portali sprzedażowych, czy do celów marketingowych stają się automatycznie administratorami danych. Muszą więc spełniać wiele wymogów, jakie nakłada na nich prawo.

Źródłem obowiązków nakładanych na administratorów danych osobowych jest ustawa o ochronie danych osobowych (Dz.U.2002.101.926 z późn. zm.). Określa ona zasady postępowania przy przetwarzaniu danych oraz prawa osób fizycznych, których dane osobowe są, lub mogą być przetwarzane. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Komputer.

Jeszcze przed zebraniem informacji osobowych, administrator musi zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

Kto zarządza danymi osobowymi?

Administratorem danych osobowych jest m.in. podmiot, który przetwarza dane osobowe w związku z prowadzoną przez siebie działalnością zarobkową, zawodową lub statutową, jak również ma siedzibę albo miejsce zamieszkania na terytorium Polski. Podmiot z siedzibą w państwie trzecim, może być uznany za administratora danych osobowych tylko wówczas, gdy przetwarza dane przy wykorzystaniu środków technicznych (np. serwerów) znajdujących się na terytorium Polski.

Kiedy rejestrować dane?

Jeszcze przed zebraniem informacji osobowych, administrator musi zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Obowiązek zgłoszenia danych osobowych następuje niezwłocznie po rozpoczęciu działalności, tj. przed pozyskaniem pierwszych danych.
Zgłoszenia należy dokonać na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. nr 100, poz. 1025).
Wyjątkowo rejestracja nie będzie konieczna w przypadku, gdy dane przetwarzane są wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Kolejnym istotnym dla przedsiębiorcy wyjątkiem są dane przetwarzane w związku z zatrudnieniem konkretnej osoby u przedsiębiorcy (co obejmuje również proces rekrutacji), a także dane osób świadczących usługi na podstawie umów cywilnoprawnych. Jeżeli dane wykorzystywane są tylko do powyższych celów – nie ma obowiązku rejestracji bazy. Sytuacja zmieni się w momencie, kiedy przedsiębiorca będzie chciał korzystać z tych danych np. w celach marketingowych – wówczas rejestracja będzie wymagana.

Jak zbierać i porządkować dane osobowe?

Przedsiębiorca może rozpocząć zbieranie danych osobowych jeszcze przed rejestracją. Wyjątkiem jest przypadek, gdy administrator danych osobowych zamierza przetwarzać tzw. „dane szczególnie chronione” (dot. np. poglądów politycznych)- zbieranie tego typu danych będzie możliwe dopiero po zarejestrowaniu zbioru.
Zbiór danych osobowych powinien być uporządkowany w taki sposób, który daje możliwość wyszukania konkretnych informacji według określonego kryterium, np. osobowego (np. nazwisko) lub nieosobowego (np. data zamieszczenia danych).
Kolejnym obowiązkiem administratora, już na etapie gromadzenia danych osobowych, jest udzielenie rzetelnej informacji o celu zbierania danych oraz o znanych lub przewidywanych odbiorcach danych. Administrator jest również zobowiązany do podania osobie, która zamierza wyrazić zgodę na przetwarzanie swoich danych osobowych, pełnej nazwy przedsiębiorcy oraz miejsca jego siedziby (osoba prawna) lub – w przypadku gdy przedsiębiorcą jest osoba fizyczna – imienia, nazwiska oraz miejsca zamieszkania.
Administrator musi również poinformować o dobrowolności albo o konieczności podania danych osobowych, oraz uprzedzić o prawie dostępu do ich treści oraz możliwości ich poprawiania. Udzielenie powyższych informacji indywidualnie każdej osobie nie może być zastąpione np. ogłoszeniem wywieszonym w miejscu powszechnie dostępnym.

Przetwarzaj zgodnie z prawem

Administrator danych osobowych musi zapewnić legalny sposób przetwarzana danych. Oznacza to, że musi uzyskać zgodę osoby, której te dane dotyczą. Zgoda może mieć charakter indywidualny, tj. upoważniać tylko jeden podmiot do ich przetwarzania, ale może odnosić się także do innych użytkowników danych. W tym zakresie zgoda będzie skuteczna jednak tylko wtedy, gdy dalsi owi użytkownicy zostaną wskazani przed wyrażeniem zgody, a cel przetwarzania danych będzie tożsamy.
Przy przetwarzaniu danych osobowych należy zapewnić ochronę interesów osób, których one dotyczą. Dane muszą być zbierane dla zgodnych z prawem celów i nie wolno ich poddawać dalszemu przetwarzaniu, które nie jest zgodne z tymi celami. W związku z tym administrator musi m.in. prowadzić dokumentację, która określa jakie dane, kiedy i przez kogo zostały wprowadzone do zbioru i komu są przekazywane. Powyższa kontrola pozwoli określić, kto dopuścił się ewentualnego naruszenia obowiązku ochrony danych osobowych.
Administrator musi również prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych i tylko te osoby mogą mieć dostęp do zbioru informacji. Jednocześnie osoby upoważnione zobowiązują się zachować dane oraz sposób ich zabezpieczania w tajemnicy.
Środki zabezpieczenia danych mogą być różnego rodzaju: od rozwiązań architektoniczno-budowlanych, poprzez systemy alarmowe po służby ochrony.

Informuj na piśmie

Obowiązek udzielenia informacji o zakresie przetwarzania danych osobie, której one dotyczą w terminie 30 dni od otrzymania jej wniosku jest kolejną powinnością administratora. Z punktu widzenia przedsiębiorcy przetwarzającego dane i ze względów dowodowych w razie ewentualnego sporu lepiej jest przedstawić wymagane informacje na piśmie.
Jeżeli osoba fizyczna uważa, że dane jej dotyczące wymagają uzupełnienia, uaktualnienia bądź sprostowania albo zażąda czasowego wstrzymania przetwarzania kwestionowanych danych (lub ich usunięcia ze zbioru), administrator ma obowiązek zastosowania się do tego bez zbędnej zwłoki.
Nieprzestrzeganie przez przedsiębiorcę powyższych obowiązków grozi grzywną bądź karą ograniczenia, a nawet pozbawienia wolności.

Olga Kotarska,
prawnik w BMSP Boryczko Malinowska Świątkowski