Obowiązki administratora danych osobowych

Dane osobowe każdego człowieka stanowią szczególny przedmiot ochrony prawnej. Dlatego też w regulacji rangi ustawowej ustanowiono nie tylko pojęcie danych osobowych, ale także procedury ich ochrony oraz podstawowe obowiązki administratorów danych w tym zakresie. Do wskazanych obowiązków możemy zaliczyć: zapewnienie legalności przetwarzania danych, obowiązki informacyjne względem osoby, której dane dotyczą, obowiązek zgłoszenia danych oraz umożliwienia kontroli sposobu przechowywania danych przez Generalnego Inspektora Ochrony Danych Osobowych. Zasygnalizowane kwestie zostaną omówione w niniejszym artykule.

Przed rozpoczęciem omawiania poszczególnych obowiązków, niezbędne jest wskazanie podstawowych definicji zawartych w ustawie o ochronie danych osobowych.

Dane osobowe

W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest zaś osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ustawy o ochronie danych osobowych, dalej ustawa).

Inne istotne definicje

Zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

Administrator danych - organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych.

Zgoda osoby, której dane dotyczą - oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.

Obowiązki administratora

Legalność przetwarzania danych

Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

  1. osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych; Zgoda może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania; Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie zgody jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe.

  2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

  3. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

  4. jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

  5. jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ustawy).

Za prawnie usprawiedliwiony cel, o którym mowa w ww. pkt 5, uważa się w szczególności:

  • marketing bezpośredni własnych produktów lub usług administratora danych,

  • dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Do legalnego przetwarzania danych osobowych wystarczy wypełnienie jednej ze wskazanych przesłanek. Przykładowo wypełnienie jednej z przesłanek podanych w ww. pkt 2-5, zwalnia administratora z konieczności uzyskania zgody osoby, której dane dotyczą.

Z brzmienia art. 23 oraz z analizy całej ustawy wyprowadzić można ogólną zasadę: "wszelkie przetwarzanie danych, które nie jest dozwolone, jest zakazane". Ustawa w sposób  taksatywny wyszczególnia okoliczności, które tworzą warunki niezbędne do legalizacji przetwarzania danych osobowych. Należy zwrócić uwagę, że nie jest natomiast przesłanką legalizującą fakt, iż przetwarzane dane pochodzą z powszechnie dostępnych źródeł. Nie istnieje żadne generalne upoważnienie do przetwarzania takich danych.

Przepis ten stanowi też podstawę legalizującą przetwarzanie danych osobowych w trakcie różnorakich procedur prowadzących do zawarcia umowy, w tym procedury przetargowej, konkursowej, jak i ewentualnie wówczas, gdy w grę wchodzą umowy przedwstępne albo porozumienia (umowy) ramowe.

Kolejna istotna możliwość gromadzenia danych osobowych bez zgody osób, których te dane dotyczą, wiąże się z dochodzeniem roszczeń z tytułu prowadzonej działalności gospodarczej.

Ograniczeniem w przetwarzaniu danych na wskazanych podstawach jest ich niezbędność dla określonego celu. Przetwarzanie natomiast danych wykraczających poza niezbędne informacje do realizacji umowy oraz dochodzenia roszczeń z tytułu działalności gospodarczej wymaga zgody osoby, której dane dotyczą – o ile nie jest spełniona inna z przesłanek umożliwiających ich przetwarzanie, np. przesłanka wskazana w pkt 2 lub 4.

Reasumując, do prowadzenia zbioru danych zawierających takie dane jak: imię i nazwisko/firmę, dane teleadresowe, numery NIP, VAT i KRS, zgoda osoby, której dane te dotyczą, nie będzie potrzebna.

Informowanie osoby, której dane dotyczą

Zgodnie z art. 24 ustawy, w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

  • adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,

  • celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

  • prawie dostępu do treści swoich danych oraz ich poprawiania,

  • dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Przyjmuje się, jednakże iż przepisu tego nie stosuje się, gdy sam zainteresowany, z własnej inicjatywy, dostarcza administratorowi swe dane osobowe.

Zgłoszenie zbioru Generalnemu Inspektorowi Danych Osobowych

Co do zasady administrator danych może rozpocząć ich przetwarzanie w zbiorze danych dopiero po zgłoszeniu tego zbioru Generalnemu Inspektorowi Ochrony Danych Osobowych. W przypadku zaś danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym – dopiero po zarejestrowaniu zbioru (art. 46 ustawy).

Przetwarzanie (a zwłaszcza zbieranie i przechowywanie) danych osobowych jest dozwolone - bez zgłoszenia z art. 46 - do czasu powstania zbioru danych, dla którego są one przeznaczone, czyli do czasu wprowadzenia kryterium segregowania i wyszukiwania danych.

Ustawa wyłącza konieczność rejestracji zbiorów, m.in. względem danych:

  • przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,

  • przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,

  • powszechnie dostępnych (art. 43 ustawy).

Jeżeli zatem dane osobowe są powszechnie dostępne, np. zamieszczane przez kontrahenta na jego stronie internetowej, w reklamach, ulotkach, itp. – brak jest konieczności zgłaszania danych. To samo tyczy się danych przetwarzanych wyłącznie do celów rozliczeń oraz danych pracowników i osób zatrudnionych na podstawie umów cywilnoprawnych (zlecenia, o dzieło, o świadczenie usług). Należy jednak podkreślić, iż w przypadku gdyby zbiory danych tworzone w celach rozliczeniowych miały być wykorzystywane także w innych celach (np. marketingowych), wówczas zbiory te powinny zostać zgłoszone do rejestracji, chyba że gromadzone w nich dane są powszechnie dostępne.

Uprawnienia kontrolne Generalnego Inspektora Ochrony Danych Osobowych

Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura, mają prawo:

  • wstępu, w godzinach od 6:00 do 22:00, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą,

  • żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego,

  • wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii,

  • przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych,

  • zlecać sporządzanie ekspertyz i opinii (art. 14 ustawy).

Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych są obowiązani umożliwić inspektorowi przeprowadzenie kontroli, a w szczególności umożliwić przeprowadzenie czynności oraz spełnić żądania, o których mowa powyżej.

Na podstawie ustaleń kontroli inspektor może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach. W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem (art. 17 i  18 ustawy).

Podstawa prawna:

Źródła: J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, LEX, 2007, wyd. IV; Informatory Generalnego Inspektora Danych Osobowych, publ. www.giodo.gov.pl

Udostępnij

Zespół
e-prawnik.pl

Skomentuj artykuł - Twoje zdanie jest ważne

Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?


Masz inne pytanie do prawnika?

 

Komentarze

  • nik 2017-03-18 10:15:39

    czy mój pesel wzięty do systemu komputerowego w Szwecji będzie widoczny innym użytkownikom w systemie publicznym


Potrzebujesz pomocy prawnej?

Zapytaj prawnika