Obowiązki Administratora Danych Osobowych

Autor: Marcin Soczko — w kategorii Blog — 2 czerwca 2017

02

cze
2017

W tym roku obchodzimy 20 rocznicę ustanowienia w Polsce prawa ochrony danych osobowych. Mimo tego, wiele firm nie zrobiło nic, aby te prawo wdrożyć. Oczywiście jest też wiele przedsiębiorstw, które lepiej lub gorzej wdrożyły ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 z późn. zm., dalej uodo).

Ale cóż to właściwie znaczy, że ją wdrożyły? Otóż uodo definiuje przede wszystkim, czym są dane osobowe i kiedy należy ten akt prawny stosować. W praktyce ustawę stosuje się zawsze, gdy w firmie są jakiekolwiek dane osobowe. Chodzi oczywiście o dane osób, które można zidentyfikować, czyli najczęściej pracowników, współpracowników, klientów czy innych kontrahentów.

Wyjątki są nieliczne i ograniczone jedynie do pewnych obowiązków zdefiniowanych w uodo. Właśnie owe obowiązki należy realizować na poszczególnych etapach przetwarzania (zbierania, przechowywania, opracowywania, przekazywania, usuwania itd.) danych osobowych w firmie.

Spełnienie podstaw prawnych dla przetwarzania danych

Najistotniejszym obowiązkiem jest spełnienie podstaw prawnych dla przetwarzania danych (art. 23, 27 uodo).  Należą do nich zazwyczaj: realizacja umowy zawartej z osobą, której dane musimy w związku z tym przetwarzać, zgoda osoby na przetwarzanie danych w innym celu, albo przepis prawa.

Najczęściej popełnianym błędem jest brak właściwej identyfikacji podstawy prawnej. Prowadzi to np. do pozyskiwania zgody od osoby na przetwarzania jej danych, w związku z realizacją umowy lub wypełnieniem przepisu prawa. Często zdarza się również, że jedyną przesłanką legalizującą przetwarzanie danych jest właśnie zgoda, ale nie jest ona zbierana razem z danymi. De facto oznacza to bezprawne przetwarzanie danych osobowych.

Obowiązek informacyjny

Kolejnym obowiązkiem określonym w art. 24 – 25 uodo jest poinformowanie osób, których dane będą przetwarzane, o kilku istotnych dla nich kwestiach. Między innymi o tym, kto (jaki podmiot) i w jakim celu będzie to robił.

Obowiązek informacyjny należy wykonać niezwłocznie. Najczęściej robi się to już w momencie lub tuż po zebraniu danych i dobrze jest mieć dowody jego prawidłowej realizacji.

Zapewnienie szczególnej staranności przy przetwarzaniu danych

Następny obowiązek Administratora Danych Osobowych dotyczy zapewnienia szczególnej staranności przy przetwarzaniu danych (art. 26). Opiera się ona na trzech zasadach: celowości, adekwatności i czasu przetwarzania danych.

Zasada celowości zakazuje przetwarzania danych w innych celach niż te, które zostały zdefiniowane i zakomunikowane osobom, których dane dotyczą. Zasada adekwatności wskazuje konieczność, aby dane były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane. Natomiast zasada czasowości nakazuje przechowywanie danych w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Obowiązki Administratora Danych Osobowych dotyczące powierzenia przetwarzania danych

W przypadku zlecenia przetwarzania danych osobowych innemu, zewnętrznemu podmiotowi należy wypełnić obowiązki określone w art. 31 uodo. Dotyczą one powierzenia przetwarzania danych.

Dobra umowa powierzenia, poza elementami niezbędnymi z punktu widzenia przepisów prawa, powinna zawierać również regulacje dotyczące możliwości skontrolowania zleceniobiorcy (procesora). Powinna również określać tryb zakończenia współpracy w kontekście postępowania z danymi.

Obowiązki Administratora Danych Osobowych związane z prawami osób, których dane są przetwarzane

Obowiązki związane z prawami osób, których dane są przetwarzane (art. 32 – 33) stosuje się rzadziej. Wynika to z faktu niskiej powszechnej świadomości tychże praw.

Jednakże w przypadku zignorowania zapytania od jakiejkolwiek osoby można narazić się na skargę do Generalnego Inspektora Ochrony Danych Osobowych. Nawet jeśli dane tej osoby nie były dotychczas przetwarzane. GIODO ma wówczas obowiązek rozpatrzyć skargę. To z pewnością wzbudzi jego większe zainteresowanie podmiotem, naruszającym prawa osób fizycznych.

Obowiązek zabezpieczenia danych

Najbardziej złożonym obowiązkiem, któremu poświecono cały rozdział 5 uodo (art. 36 – 39a) jest wymóg zabezpieczenia danych. Należy go stosować w całym cyklu życia informacji o osobach w danej firmie.

Zabezpieczenie danych powinno być dokonane m.in. poprzez: wdrożenie dokumentacji wymaganej prawem, adekwatne zabezpieczenia organizacyjne, w tym ewentualne powołanie administratora bezpieczeństwa informacji (ABI) oraz zabezpieczenia fizyczne i teleinformatyczne.

Na podstawie art. 39a uodo wydano rozporządzenie (Dz. U. z 2004 r. Nr 100, poz. 1024), w którym zawarto szczegółowe wymagania.

Rejestracja zbiorów danych

Równie uciążliwym obowiązkiem bywa konieczność zgłaszania do rejestracji GIODO zbiorów danych (art. 40), a zwłaszcza aktualizacji informacji na temat tych zbiorów, która zmienia się bardzo często, gdy firma powierza przetwarzanie danych wielu małym przedsiębiorcom (procesorom).

Powołanie ABI (art. 36a) i zgłoszenie tego faktu do GIODO (art. 46b) w większości przypadków zwalnia z tego obowiązku.

Współpraca z firmami spoza EOG

Część Administratorów Danych Osobowych, którzy współpracują lub korzystają z usług firm z państw spoza EOG, ma dodatkowe obowiązki, jeśli współpraca ta wymaga przekazania danych do państwa trzeciego (art.47 – 48 uodo).

Wybór sposobu postępowania może zależeć od kilku czynników. Generalnie celem, który należy osiągnąć jest zapewnienie ochrony danych równoważnej do tej jaką przewidziano w Unii Europejskiej.

Konsekwencje braku realizacji obowiązków przez Administratora Danych Osobowych

Konsekwencje braku realizacji obowiązków prawnych mogą być różne. Zależą one przede wszystkim od skali uchybień oraz sposobu reakcji przedsiębiorstwa – administratora danych (ADO) na działania uprawnionych organów.

Kontrola GIODO niekoniecznie musi być powodowana skargą osoby. Organ nadzoru realizuje również planowe kontrole branżowe, w tym roku np. odwiedza sklepy stacjonarne i przychodnie lekarskie.

Organ ma obecnie różne uprawnienia kontrolne. Najbardziej uciążliwą jest bezpośrednia inspekcja u Administratora Danych Osobowych.

W przypadku wpłynięcia informacji o zaplanowanej kontroli jest tydzień czasu, aby spróbować chociaż w części uzupełnić braki. Następnie inspektorzy GIODO mogą zagościć w firmie nawet na pięć dni roboczych i trzeba im będzie przekazywać wszelkie dokumenty i wyjaśnienia w zakresie objętym kontrolą. Utrudnianie kontroli wiąże się z ryzykiem popełnienia przestępstwa zagrożonego karą pozbawienia wolności (art. 54a).

Wykryte podczas kontroli uchybienia mogą skutkować wydaniem decyzji administracyjnej, nakazującej przywrócenie stanu zgodnego z prawem. Może ona dotyczyć nawet usunięcia danych (art.18).

Niezależnie od treści, każda decyzja administracyjna raczej nie wpływa pozytywnie na wizerunek organizacji. Można natomiast zwrócić się do GIODO z wnioskiem o ponowne rozpatrzenie sprawy, a następnie zaskarżyć decyzję do sądu administracyjnego. Co ciekawe – administratorom danych często udaje się wygrać w sądzie z GIODO – jak się okazuje, organ nie jest nieomylny.

Stwierdzenie działań, bądź zaniechań wyczerpujących znamiona przestępstwa, określonego w rozdziale 8 uodo, może wiązać się z zawiadomieniem przez GIODO prokuratury o podejrzeniu popełnienia przestępstwa (art. 19). W takim przypadku najbardziej prawdopodobne jest jednak umorzenie postępowania, bądź nawet odmowa jego wszczęcia, ze względu na małą szkodliwość społeczną czynu.

Administratorom Danych Osobowych wytaczano również sprawy cywilne, w związku z naruszeniem dóbr osobistych.

Wydaje się, że dotychczas tego typu postępowania były najbardziej bolesne dla podmiotów łamiących prawo w tym zakresie, a nawet w sytuacji, gdy doszło do naruszenia danych osobowych, choć ADO podjął środki określone w przepisach.

Kwoty orzekane tytułem odszkodowania bywały bowiem wyższe niż kary nakładane przez GIODO, gdyż dopiero brak wypełnienia decyzji organu nadzoru może skutkować nałożeniem na ADO administracyjnych kar przymuszających, zgodnie z kpa, o łącznej wysokości do 100 tys. zł.

„Ale jak to?” – zapyta Czytelnik – przecież od dłuższego już czasu słyszy się o wysokich karach za uchybienia związane z niestosowaniem uodo.

Do niedawna jednak to tylko nierzetelne firmy, działające w branży ochrony danych osobowych, straszyły przedsiębiorców rożnymi karami finansowymi za uchybienia wyssane z palca. Zgodnie z tym co napisano powyżej – kary administracyjne były tylko dla opornych.

Jednakże za rok stan prawny zmieni się diametralnie – 25 maja 2018 r. zacznie obowiązywać unijne Rozporządzenie o Ochronie Danych Osobowych (RODO), które przewiduje administracyjne kary pieniężne, w wysokości do 20 mln EUR lub do 4 % całkowitego rocznego światowego obrotu, wymierzane za konkretne uchybienia. Nie wystarczy zatem “posypanie głowy popiołem” i przywrócenie stanu zgodnego z przepisami – organ nadzoru i tak będzie mógł nałożyć karę.

Niestety ryzyka naruszeń pojawią się również na polu zmiany obowiązujących przepisów. Zatem nawet administratorzy danych, którzy w obecnym stanie prawnym wzorcowo wdrożyli przepisy prawa lub bezproblemowo przeszli kontrole GIODO, nie mogą “spocząć na laurach” i już teraz powinni rozpocząć przygotowania do zaimplementowania RODO.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.