Ochrona danych osobowych to zagadnienie, które spotyka się z coraz większym zainteresowaniem wśród przedsiębiorców. Spełnienie wymogów zgodnego z prawem przetwarzania danych osobowych w przedsiębiorstwie ma tym większe znaczenie, że lata 2017 – 2018 to okres przygotowań do wejścia w życie unijnego ogólnego rozporządzenia o ochronie danych osobowych tzw. RODO. 

Kancelaria Adwokacka - adw. Anny Żak (prawnik w regionie łódzkim) świadczy pomoc prawną polegającą na: 

• merytorycznym wsparciu przedsiębiorcy w kwestiach związanych z ochroną danych osbowych;
• obsłudze prawnej przedsiębiorcy w zakresie ochrony danych osobowych;
• audycie istniejącego w przedsiębiorstwie systemu ochrony danych osobowych sprowadzającego się do sprawdzenia, czy oraz w jakim zakresie przedsiębiorstwo spełnia wymogi przepisów o ochronie danych osobowych, a także określenie działań, które należy podjąć, aby przetwarzanie danych osobowych w przesiębiorstwie pozostawało w zgodności z przepisami prawa;
• przygotowaniu dokumentacji przetwarzania danych osobowych, w szczególności bezpiecznej polityki ochrony danych osobowych, instrukcji zarządzania systemem informatycznym, upoważnień dla pracowników, osób świadczących usługi na podstawie umów cywilnoprawnych do przetwarzania danych osobowych, umów powierzenia przetwarzania danych osobowych;
• rejestracji zbiorów osobowych w rejestrze prowadzonym przez GIODO w sytuacji, gdy wyniki przeprowadzonego audytu w przedsiębiortswie wskazują na konieczność dokonania takiej rejestracji;
• rejestracji administratora bezpieczeństwa informacji tzw. ABI 

 

Kancelaria Adwokacka (mająca swoją siedzibę na terenie województwa łódzkiego) świadczy pomoc prawną na obszarze całego kraju.

 

Pojęcie danych osobowych

W polskim systemie prawnym istnieje definicja danych osobowych. Zgodnie z przepisem art. 6 ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest natomiast osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się jednak za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. 

Danymi osobowymi są więc zarówno dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie dane, które nie pozwalają na jej natychmiastową identyfikację, ale przy wykorzystaniu ogólnie dostępnych źródeł, przy pewnym nakładzie działań i kosztów, są wystaraczające do jej ustalenia. Wysiłek włożony w określenie tożsamości osoby, a także związane z tym koszy nie mogą być nadmierne. 

Dane osobowe mogą przybierać różną formę, mogą to być: zdjęcia, filmy, zarejestrowane głosy, tzw. dane biometryczne, cechy źrenicy, linie papilarne, cechy twarzy. Danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy, numer domu czy wysokość wynagrodzenia. Informacje te jednak, będą stanowić dane osobowe, gdy w zestawieniu z innymi dodatkowymi informacjami umożliwią ustalenie tożasamości osoby. Przykładem pojedynczej informacji stanowiącej daną osobową jest natomiast numer PESEL, który zgodnie z ustawą o ewidencji ludności jest 11-cyfrowym symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery - liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną.

Informacja może zostać uznana za mającą charakter danych osobowych tylko wtedy, gdy dotyczy "osoby fizycznej". Atrybutem każdej osoby fizycznej jest jej zdolność prawna, czyli zdolność do bycia podmiotem praw i obowiązków. Informacje o osobach prawnych nie mogą zostać uznane za dane osobowe. 

W przypadku osób fizycznych prowadzących działalność gospodarczą do danych podlegających wpisowi do Centralnej Ewidencji Działalności Gospodarczej (CEIDG), o których mowa w przepisie art. 25 ust. 1 ustawy o swobodzie działalności gospodarczej (chodzi tutaj np firmę przedsiębiorcy, PESEL, NIP, REGON, dane kontaktowe, w szczególności adres poczty elektronicznej, numer telefonu) nie znajdą zastosowania np. przepisy w zakresie legalności przetwarzania danych osobowych, obowiązków informacyjnych, rejestracji zbiorów danych. Nadal jednak podmiot, który pozyskał dane z CEIDG, będzie miał obowiązek stosowania odpowiednich środków zabezpieczenia danych, jak również będzie mógł zostać poddany kontroli przez GIODO w tym zakresie oraz być adresatem wystąpienia GIODO. 

Nazwa spółki cywilnej, która zawiera przecież nazwiska wspólników nie jest daną osobową. Nazwa spółki cywilnej nie jest bowiem informacją o osobie fizycznej. 

Adres poczty elektronicznej, który umożliwia identyfikację użytkownika, jest uznawany za dane osobowe.

Stały adres IP urządzenia należącego do osoby fizycznej dla dostawcy Internetu, który ten adres przyznał, będzie – co do zasady – także stanowić dane osobowe. 

Co do zasady sam numeru VIN nie można uznać za dane osobowe, ponieważ numer ten nie stanowi informacji, na podstawie której można zidentyfikować konkretną osobę. 

 

Ustawa o ochronie danych osobowych wyróżnia dwa rodzaje danych osobowych. Są to dane zwykłe oraz dane szczególnie chronione (zwane także danymi wrażliwymi lub sensytywnymi).

Dane osobowe zwykłe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobę uznaje się za możliwą do zidentyfikowania, jeśli bez nadmiernego wysiłku oraz kosztów istnieje możliwość określenia jej tożsamości. 

Dane osobowe wrażliwe to zgodnie z przepisem art. 27 pkt. 1 ustawy o ochronie danych osobowych informacje: o pochodzeniu rasowym lub etnicznym; o poglądach politycznych, przekonaniach religijnych lub filozoficznych; o przynależności wyznaniowej, partyjnej lub związkowej; o stanie zdrowia; o kodzie genetycznym; o nałogach; o życiu seksualnym oraz informacje dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Wskazane przez ustawę rodzaje informacji, które stanowią dane wrażliwe należą do zamkniętego katalogu. Oznacza to, że danymi wrażliwymi będą tylko takie informacje o osobie, które zostały wymienione we wyżej wskazanym przepisie art. 27 ustawy o ochronie danych osobowych. 

 

Ustawa o ochronie danych osobowych przewiduje pewne różnice odnośnie danych zwykłych i danych wrażliwych. 

Ustawodawca w sposób odmienny określił podstawy przetwarzania danych osobowych zwykłych oraz wrażliwych. 

O ile w przepisie art. 23 ustawy o ochronie danych osobowych określono przesłanki legalizujące przetwarzanie  danych osobowych zwykłych, o tyle przepis art. 27 pkt. 1 ustawy o ochronie danych osobowych ustanawia generalny zakaz przetwarzania danych osobowych, które mogą być uznane za dane wrażliwe, natomiast ust. 2 tego przepisu określa sytuacje, w których zakaz ten został przez ustawodawcę wyłączony. Podobnie jak w przypadku przepisu art. 23 ustawy każda z przesłanek ma charakter autonomiczny i niezależny.

Najpopularniejsza z przesłanek legalizujących przetwarzanie danych osobowych, czyli zgoda osoby, której dane osobowe dotyczą, została uregulowana w sposób odmienny w przypadku danych zwykłych oraz danych wrażliwych. 

W myśl przepisu art. 7 pkt. 5 ustawy o ochronie danych osobowych przez zgodę osoby rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie.O ile na przetwarzanie danych zwykłych zgoda może być wyrażona w dowolnej formie (zgoda nie może być jednak domniemana lub dorozumiana z oświadczenia woli o innej treści), o tyle przetwarzanie danych wrażliwych wymaga formy pisemnej. Wskazuje się, że zgoda na przetwarzanie wrażliwych danych osobowych udzielona w formie innej niż pisemna jest nieskuteczna. Dochowanie więc formy pisemnej w przypadku oświadczenia stanowiącego zgodę na przetwarznie danych wrażliwych jest warunkiem skuteczności takiego oświadczenia. 

Warto wskazać, że wymagania formy pisemnej spełnia złożenie odpowiedniego oświadczenia opatrzonego bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego kwalifikowanego certyfikatu, czyli tak zwanym bezpiecznym podpisem elektronicznym. 

Kolejnym szczególnym wymogiem dotyczącym danych wrażliwych jest zapewnienie środków bezpieczeństwa przetwarzania danych na poziomie podwyższonym lub wysokim. W przypadku przetwarzania danych osobowych zwykłych wystarczają środki na poziomie podstawowym (o ile komputery na których dane są przetwarzane nie są połączone z Internetem). Jeśli administrator danych zamierza przetwarzać dane osobowe wrażliwe, musi stosować zabezpieczenia na poziomie co najmniej podwyższonym (§ 6 ust. 1- 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych). W sytuacji,gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną, wówczas zawsze musi być stosowany poziom zabezpieczenia wysoki.

 

Pojęcie administratora danych osobowych

Definicja pojęcia administratora danych osobowych została zawarta w przepisie art. 7 pkt 4 ustawy o ochronie danych osobowych. Zgodnie ze wskazanym przepisem administratorem danych osobowych jest organ, jednostka organizacyjna podmiot lub osoba, o których mowa w przepisie art. 3 ustawy decydujące o celach i środkach przetwarzania danych osobowych. 

Z kolei zgodnie ze wskazanym przepisem art. 3 ustawy o ochronie danych osobowych chodzi o organy państwowe, organy samorządu terytorialnego oraz o państwowe i komunalne jednostki organizacyjne, a także o:

• podmioty niepubliczne realizujących zadania publiczne, 
• osoby fizyczne i osoby prawne oraz jednostki organizacyjne niebędące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych,które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

Ustawodawca wskazał więc na dwa elementy tego pojęcia: decydowanie o celach przetwarzania danych osobowych oraz decydowanie o środkach przetwarzania danych. 

Jak już wyżej wskazano definicja administratora danych osobowych odwołuje się do przepisu art. 3 ustawy o ochronie danych osobowych, który określa zakres podmiotowy stosowania jej przepisów. Każdy więc podmiot, który objęty został zakresem podmiotowym ustawy, może zostać uznany za administratora danych, jeżeli – jednocześnie – decyduje o celach i środkach przetwarzania danych. 

W świetle przepisów ustawy o ochronie danych osobowych administratorem danych jest sama spółka prawa handlowego. Administratorem danych osobowych wykorzystywanych w zakresie działalności prowadzonej przez przedsiębiorcę jest, co do zasady, sam przedsiębiorca. Tak więc administratorem danych osobowych jest np. spółka z ograniczoną odpowiedzialnością, spółka akcyjna, spółka jawna czy też spółka komandytowa. Administratorem danych osobowych nie są organy spółki, czy też osoby będące członkami organów spólki lub pełniące funkcje kierownicze w spółce.

W przypadku osoby fizycznej prowadzącej działalność gospodarczą administratorem danych osobowych jest sama osoba fizyczna, niezależnie od tego, czy wyznaczy ona admistratora bezpieczeństwa informacji.

 

Pojęcie Administratora Bezpieczeństwa Informacji 

Zgodnie z przepisem art. 36 a ustawy o ochronie danych osobowych administrator danych osobowych może powołać administratora bezpieczeństwa informacji.

Do zadań administratora bezpieczeństwa informacji należy:

1. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: 

sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art 36 ust. 2 ustawy oraz przestrzegania zasad w niej określonych, 

2. zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych; 

3. prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkr. 2 - 4a i 7. 

4. rejestr, o którym mowa w ust. 2 pkt 2, jest jawny. Przepis art. 42 ust. 2 ustawy stosuje się odpowiednio.

 

Obowiązki ABI można podzielić więc na:

1. obowiązki związane z zapewnieniem przestrzegania przepisów o ochronie danych osobowych, na które składają się:

• sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych:
• nadzorowanie opracowania i aktualizowania dokumentacji ochrony danych osobowych oraz
• zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

2. obowiązki związane z prowadzeniem rejestru zbiorów danych osobowych (przepis art. 36a ust. 2 pkt 2  ustawy), wskazane w przepisach rozporządzenia Ministra Administracji i Cyfryzacji z 11.5.2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych

 

Ustawa o ochronie danych osobowych przyznała administratorowi dnych osobowych uprawnienie do wyznaczenia Administratora Bezpieczeństwa Informacji (ABI), chyba że sam administrator danych osobowych wykonuje czynności ABI. 

Ustawa o ochronie danych osobowych nie reguluje procedury samego powołania ABI oraz jego formy prawnej, podstawą wykonywania obowiązków ABI mogą być różne stosunki zatrudnienia np: stosunek pracy, stosunki cywilnoprawne. Waże pozostaje, aby z czynności prawnej wynikało, że określona osoba fizyczna pełni funkcję ABI w stosunku do danych osobowych przetwarzanych przez określonego administratora danych osobowych. 

Ustawa o ochronie danych osobowych nie określa momentu wyznaczenia administratora bezpieczeństwa informacji. W praktyce przyjąć należy, że administrator bezpieczeństwa informacji powinien zostać wyznaczony przed rozpoczęciem przetwarzania danych osobowych. 

Administratorem bezpieczeństwa informacji może zostać osoba fizyczna, która spełnia warunki wskazane w przepisie art. 36a ust. 4 ustawy o ochronie danych osobowych, to jest:

1. ma pełną zdolność do czynności prawnych i korzysta z pełni praw publicznych,

2. posiada odpowiednią wiedzę w zakresie ochrony danych osobowych i

3. nie była karana za przestępstwo umyślne.

 

Przepisy umożliwiają więc żądanie od kandydata na administratora bezpieczeństwa informacji (ABI) dostarczenia zaświadczenia o niekaralności z Krajowego Rejestru Karnego.

Zgodnie z przepisem art. 6a ust. 7 ustawy o ochrnie danych osobowych administator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Ustawa o ochronie danych osobowych przewiduje, że administrator danych ma obowiązek zapewnić ABI środki i organizacyjną odrębność niezbędne do niezależnego wykonywania przez niego ustawowych zadań ABI.

 

W myśl przepisu art. 36a ust. 4 ustawy o ochronie danych osobowych istnieje możliwość powoływania zastępców administatora bezpieczeństwa informacji, którzy jednak powoływani są przez administratora danych osobowych i którzy powinni spełnić te same wymagania, co sam adminsitator bezpieczenstwa informacji.  W obecnym stanie prawnym powołanie kilku ABI przez tego samego administratora danych należy jest niedopuszczalne, z uwagi na możliwość powołania zastępców ABI, a także samą instytucję rejestracji ABI. Ustawa nie określa relacji między zastępcą administatora bezpieczeństwa informacji a administratorem bezpieczeństwa informacji. Przyjmuje się jednak, że obowiązki i uprawnienia zastępców ABI są odpowiednikiem określonych przez administratora danych osobowych uprawnień i obowiązków ABI.

 

Administator Systemu Informatycznego

Ustawa o ochronie danych osobowych nie zawiera definicji administratora systemu informatycznego (ASI). Powoływanie osoby na stanowisko ASI wynika raczej z praktyki. 

Przez administratora systemu informatycznego rozumie się osobę nadzorującą pracę systemu informatycznego administratora danych osobowych oraz wykonującą w nim czynności wymagające specjalnych uprawnień administracyjnych. 

Forma współpracy administratora systemu informatycznego z administratorem danych  osobowych pozostaje dowolna. Oznacza to, że funkcję administratora systemu informatycznego może pełnić osoba zatrudniona w przedsiębiorstwie na podstawie umowy o pracę, umowy cywilno – prawnej, istnieje także możliwość wykonywania obowiązków administratora systemu informatycznego przez podmiot zewnętrzny. W tej ostatniej sytuacji należy pamiętać o tym, że zgodnie z ustawą o ochronie danych osobowych adminsitrator systemu informatycznego winien zostać upoważniony przez adminstratora danych osobowych do przetwarzania danych osobowych,  także, aby postanowienia umowne dotyczące współpracy adminsitratora danych osobowych z adminstratorem systemu informatycznego obejmowały także kwestie dotyczące powierzenia przetwarzania danych osobowych.

 

Generalny Inspektor Ochrony Danych Osobowych

Generalny Inspektor Ochrony Danych Osobowych (GIODO) jest organem administracji publicznej powołanym do spraw ochrony danych osobowych. Generalny Inspektor jest centralnym organem administracji państwowej.

 

Zgodnie z przepisem art. 12 ustawy o ochronie danych osobowych do zadań Generalnego Inspektora Ochrony Danych Osobowych (GIODO)  w szczególności należy:

1. kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych;

2. wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych;

3. zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz.U. z 2016 r. Poz. 599)

4. prowadzenie rejestru zbiorów danych oraz rejestru administratorów bezpieczeństwa informacji, a także udzielanie informacji o zarejestrowanych zbiorach danych i zarejestrowanych administratorach bezpieczeństwa informacji;

5. opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych;

6. inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych;

7. uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.

 

Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora Ochrony Danych Osobowych oraz upoważnionych pracowników Biura (tak zwanych inspektorów), którzy są uprawnieni do przeprowadzenia kontroli u administratora danych osobowych. 

Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych są obowiązani umożliwić inspektorowi przeprowadzenie kontroli.

 

W przypadku naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:

• usunięcie uchybień, 
• uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 
• zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 
• wstrzymanie przekazywania danych osobowych do państwa trzeciego, 
• zabezpieczenie danych lub przekazanie ich innym podmiotom, 
• usunięcie danych osobowych. 

 

Podstawa prawna: 

1. ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz.U. Nr 133 poz. 883 ze zm.);

2. rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Z 2004 Nr 100, poz. 1024);

3. ustawa z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz.U. Nr 173 poz. 1807 ze zm.);

4. komentarz do ustawy o ochronie danych osobowych 2016 , wyd. 4, red. P. Barta, P. Litwiński 

5. http://www.giodo.gov.pl