Naruszenie bezpieczeństwa danych osobowych
Pytanie: Firma zajmuje się sprzedażą detaliczną, umożliwia także swoim klientom zakupy w systemach ratalnych. W grudniu ub. r. jeden z pracowników pisał tradycyjnie umowy dla klientów. Niestety, w dwóch przypadkach w umowie znalazł się błąd, więc po wspólnym ustaleniu z klientami, umowy bez jakichkolwiek pieczęci i podpisów znalazły się w koszu na śmieci (firmowym), oczywiście wcześniej starannie podarte na dość drobne kawałki, a następnie w ciągu kilku następnych dni systematycznie przykrywane innymi kartkami oraz odpadami biologicznymi typu ogryzki z jabłek czy zużyte chusteczki do nosa. Po zapełnieniu worka na śmieci został on zawiązany i wyniesiony do zbiorczego kubła na śmieci znajdującego się przed firmą. Przechodzący przypadkiem - a może nie? - funkcjonariusz straży miejskiej zauważył wystający nieco worek i zainteresował się jego zawartością. Do tego stopnia, iż rozwiązał go, rozsypał całości na chodniku (łącznie z nieco już cuchnącymi ogryzkami z jabłek) i zaczął grzebać w niej, aż doszukał się owych nieszczęsnych strzępków umów. Z poświęceniem godnym naprawdę lepszej sprawy spędził upojne jakieś 3-4 godziny dopasowując i sklejając kawałki. Następnie zaniósł to wszystko (razem z cuchnącymi ogryzkami z jabłek) na Policję, gdzie zainteresowała się tym prokuratura. Wszczęto postępowanie wyjaśniające, a od pracodawcy handlowców zażądano potwierdzonej kopii obowiązków pracowników, wykonując polecenia z art. 15 par.1 kpk, 217 par. 1 i 297 par.1 pkt 5 kpk. Proszę o wyjaśnienie, jak się może mieć zakres obowiązków pracowników do tej sprawy, skoro są oni zobowiązani do utrzymywania w stanie ładu swojego miejsca pracy oraz sprzedaży towarów handlowych także dostarczania dokumentów do księgowości? Co oznacza termin "przetwarzanie danych osobowych swoich klientów"? Dane są przechowywane w systemie obsługującym sprzedaż, wraz z dokumentami sprzedaży musza być przechowywane co najmniej 5 lat, ze względu na wymóg Urzędu Skarbowego. Dostęp do nich jest ograniczony przez przydzielanie odpowiedniej grupy dostępu w profilu stworzonym indywidualnie dla każdego z pracowników, dodatkowo komputery są zabezpieczone hasłem oraz system operacyjny posiada również indywidualne profile, każdy ma swoje hasło dostępu. Rozumiem pośpiech prokuratury w chęci rozwiązania tej sprawy (ogryzki śmierdzą coraz bardziej!), ale kto w obecnej sytuacji jest bardziej widziany jako winny przestępstwa (i będzie podlegał ewentualnej karze) z art. 51 ust. 2 ustawy z dnia 29.08.1997 o ochronie danych osobowych - czy pracownik, który zniszczył najwyraźniej dość mało starannie umowy (ogrzewanie w sklepie jest centralne, pieca żadnego nie ma), czy pracodawca, który w ogóle sprzedaje na raty?
Odpowiedź:
W pierwszej kolejności koniecznym jest wyjaśnienie pojęcia „przetwarzanie danych osobowych”. Zgodnie z definicją zamieszczoną w ustawie o ochronie danych osobowych przetwarzanie danych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Wynika z tego zatem, iż nawet samo zbieranie danych swoich klientów jest już z punktu widzenia wspomnianej ustawy przetwarzaniem. Rygory ustawy o ochronie danych osobowych dotyczą także Państwa firmę, gdyż zgodnie z jej artykułem 3 ustęp 2 ustawę stosuje się również do:
-
podmiotów niepublicznych realizujących zadania publiczne,
-
osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych
- które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.
Jasnym zatem jest, iż Państwa firma przetwarza dane. Problem teraz w tym, czy czyni to zgodnie z przepisami ustawy. O tym, kiedy przetwarzanie danych osobowych jest dopuszczalne stanowi artykuł 23 tej ustawy. Stanowi on, iż przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
-
osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
-
jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
-
jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
-
jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
-
jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
|
Zobacz także:
GIODO
Firma przechowuje w systemie CRM następujące dane: imię, nazwisko, stanowisko, firma, adres firmy, telefon służbowy, telefon komórkowy, (...)
Dane służbowe pracowników kontrahenta
Czy dane kontaktowe do firm wraz z nazwiskami i stanowiskami osób to dane osobowe? Czy adresy mailowe wraz z nazwiskami posiadaczy, (...)
Komentarze do artykułu: Naruszenie bezpieczeństwa danych osobowych
-
Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!
Dodaj komentarz
- 0
- 1
- 2
- 6
- 7
- 9
- 7
Współpracują z nami
Katarzyna
Tomczak
Michał
Włodarczyk
Jesteśmy prawnikami specjalizującymi się w różnych dziedzinach prawa. Nasz Zespół tworzą aktywni zawodowo profesjonaliści, posiadający wieloletnie doświadczenie w udzielaniu pomocy prawnej szerokiemu gronu Klientów.
Newsletter
Tagi
- slav999
Ochrona danych osobowych w wybranych krajach UE
- majenstwo
Przekręcenie nazwiska publicznie/film/www
- designer89
Udostępnianie listy lokatorów
- millhouse
Ochorna danych osobowych a Allegro
- onno
Ochrona danych osobowych - telefon
- zukes
Czy Sąd w postępowaniu cywilnym ma prawo
- -
Ustawa o ochronie danych osobowych
- IRA
dot.rtv
- IRA
otrzymałam upomnienie z 7 dniowym terminem zapłaty za okres 2007-IV.2012 TJ 1465ZL
- Sebastian.F
Sposób rozliczenia podatkowego firmy zarejestrowanej w Polsce, przy prowadzonej działalności (wykonywanych (...)
- asia3037
Witam. Niedawno zmarła moja babcia, która posiadała mieszkanie własnościowe, ponieważ moja mama (...)
- Wojtek
Mieszkanie nie posiada księgi wieczystej
Śledź najnowsze informacje
-
Nowe opłaty sądowe. Co będzie droższe?Więcej zapłacisz za nabycie spadku czy kserowanie dokumentów znajdujących (...) »
Odpowiedzi
Zakres podmiotowy dostępu do dokumentacji medycznej pacjenta
Czy jest możliwe, by do mojej dokumentacji medycznej oprócz lekarza dostęp miały także inne osoby?...
Podpisanie CV oraz klauzuli o przetwarzaniu danych osobowych
Ostrzeżenie przed nieuczciwym sprzedawcą a ochrona danych
Dane osobowe pozwalające na identyfikację danej osoby a ustawa o ochronie danych osobowych
Umieszczenie danych osobowych na stronie internetowej a ochrona danych
Informujemy, iż zgodnie z przepisem art. 25 ust. 1 pkt. 1 lit. b ustawy z dnia 4 lutego 1994 roku o prawie autorskim i prawach pokrewnych (tekst jednolity: Dz. U. 2006 r. Nr 90 poz. 631), dalsze rozpowszechnianie artykułów i porad prawnych publikowanych w niniejszym serwisie jest zabronione.