Ochrona danych osobowych w firmie telekomunikacyjnej
Nad poprawnością przetwarzanych danych czuwa Generalny Inspektor Ochrony Danych Osobowych (GIODO). Poznaj ogólne zasady przetwarzania danych osobowych i pamiętaj o ich poprawnym stosowaniu w swojej firmie.
Działalność każdego przedsiębiorstwa telekomunikacyjnego, wiąże się z pozyskiwaniem danych na temat osób fizycznych - swoich abonentów, które pozwolą na ich identyfikację. Dlatego jednym z podstawowych obowiązków Administratora Danych Osobowych (ADO) jest dochowanie należytej staranności w zakresie ochrony danych osobowych.
Dane osobowe - to informacje, które mają wymierną wartość rynkową np. imię, nazwisko, adres, numer telefonu. Niejedna firma jest w stanie zapłacić wiele za dane osobowe klienta, który mógłby być zainteresowany zakupem usług przez nią oferowanych. Między innymi dlatego też firma, która ma dostęp do danych osobowych, ma obowiązek je chronić. Dane osobowe powinny być chronione podczas ich pozyskiwania, przechowywania, oraz dalszego wykorzystania, gdyż ich przetwarzenie w sposób sprzeczny z Ustawą, niewłaściwe ich zabezpieczanie, udostępnianie podmiotom nieuprawnionym czy też niedopełnienie obowiązku ich rejestracji może narazić przedsiębiorcę na szereg dotkliwych konsekwencji z karą pozbawienia wolności do 2 lat włącznie.
Czy rodzaj prowadzonej działaności gospodarczej ma wpływ na zakres obowiązków administratora danych osobowych?
Administratorem danych osobowych jest firma, która przetwarza dane osobowe. Jest nim zatem przedsiębiorca prowadzący jednoosobową działalność gospodarczą, spółka z ograniczoną odpowiedzialnością, spółka akcyjna, spółka jawna czy też spółka komandytowa.
Ważne!
Administratorem danych jest spółka prawa handlowego, nie zaś jej organy, osoby zasiadające w organach tej spółki lub pełniące w niej funkcje kierownicze, choć co do zasady to w stosunku do tych osób kierowane są środki karne w razie złamania przepisów dotyczących ochrony danych osobowych (kara grzywny, kara ograniczenia wolności czy też kara pozbawienia wolności). Osoba prowadząca działalność gospodarczą pozostaje administratorem danych niezależnie od tego, czy wyznaczy pracownika odpowiedzialnego za przetwarzanie danych osobowych, czy powoła tzw. Administratora Bezpieczeństwa Informacji (ABI), czy też zawrze umowę o powierzenie przetwarzania danych osobowych z innym podmiotem (np. inną firmą).
Czym są dane osobowe?
Za dane osobowe, uważa się wszelkie informacje dotyczące osoby fizycznej już zidentyfikowanej lub możliwej do zidentyfikowania.
Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Dodatkowo danymi osobowymi są informacje, przy pomocy których możliwe jest określenie tożsamości osoby, bez nadmiernych kosztów, czasu i działań, zwłaszcza przy wykorzystaniu łatwo osiągalnych i powszechnie dostępnych źródeł. Informacje te mogą odnosić się do wszelkich aspektów osoby - jej życia prywatnego, zawodowego, wykształcenia, wiedzy, poglądów, a także cech charakteru.
Jakie informacje nie stanowią danych osobowych?
Pamiętaj, że niewiele jest informacji, które pozwalają na identyfikację osoby wprost, np. kompletne dane z dokumentu tożsamości lub wygląd osoby.W sytuacji, gdy możliwość ustalenia tożsamości osoby wymagałaby ponoszenia nadmiernych nakładów (kosztów, czasu lub działań), to informacje takie nie będą stanowić danych osobowych.
Zatem daną osobową nie będzie pojedyncza informacja o dużym stopniu ogólności (np. nazwa ulicy i numer domu), ponieważ dzięki niej nie można zidentyfikować konkretnej osoby.
Jednak gdy informacja ta zostanie zestawiona z innymi, dodatkowymi informacjami, może już umożliwić jej identyfikację - będą więc to już dane osobowe.
Dane osobowe osób prowadzących działalność gospodarczą
Ustawa o ochronie danych osobowych ma zastosowanie wyłącznie do osób fizycznych.
Nieistotna w tej sytuacji jest zdolność do czynności prawnych danej osoby, przysługujące jej prawa publiczne, obywatelstwo lub jej status prawny.
Przepisów Ustawy o ochronie danych osobowych nie stosuje się natomiast do informacji dotyczących:
osób prawnych,
jednostek organizacyjnych nieposiadających osobowości prawnej oraz
podmiotów prowadzących działalność gospodarczą
Oznacza to, że dane o siedzibie, kapitale zakładowym, aktywach spółki nie stanowią danych osobowych.
Wyjątek stanowią dane osobowe osób prowadzących działalność gospodarczą.
Pod tę ochronę włączono dane:
osób prowadzących jednoosobowe spółki z o.o.
osób prowadzących spółki cywilne, komandytowe, jawne itp.
osób zasiadających we władzach tych spółek czyli członkowie zarządu,
rad nadzorczych itp.
Dane zwykłe a dane wrażliwe
Dane osobowe można podzielić na:
dane "zwykłe", np. imię, nazwisko, data urodzenia, miejsce zamieszkania, PESEL;
dane wrażliwe - szczególnie chronione.
Przetwarzanie danych wrażliwych poddano odrębnym zasadom, które poznasz w dalszej lekcji szkolenia.
Za dane tego rodzaju Ustawa uznaje informacje dotyczące:
pochodzenia rasowego lub etnicznego,
poglądów politycznych,
przekonań religijnych lub filozoficznych,
przynależności wyznaniowej, partyjnej lub związkowej,
stanu zdrowia, kodu genetycznego, nałogów lub życia seksualnego,
skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
Zbiór danych osobowych
1.3.1. Czym jest zbiór danych osobowych?
Aby prawidłowo realizować obowiązki administratora danych osobowych, musisz wiedzieć, czym jest zbiór danych osobowych.
Zbiór danych osobowych to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony czy podzielony funkcjonalnie.
Dostępność dotyczy tu konkretnych danych osobowych, a nie innych informacji, które mogą w sposób pośredni umożliwić dostęp do szukanych danych.
Administrator danych osobowych ma dowolność w wyborze rodzaju kryterium dostępu. Możliwość wyszukania według wybranego kryterium przesądza o uporządkowanym charakterze zestawienia danych, i tym samym stanowi o zakwalifikowaniu tego zestawienia jako zbioru danych osobowych.
Za zbiór danych można uznać wszelkie materiały gromadzone w formie akt, w tym zawierające dane osobowe akta klientów, kontrahentów, współpracowników, pracowników.
Załóżmy, że podjąłeś decyzję o konieczności zatrudnienia nowego pracownika. Zbiór danych pochodzących z aplikacji nadesłanych przez kandydatów, niezależnie od tego, czy mają one postać dokumentu papierowego czy elektronicznego, stanowi zbiór danych osobowych , jeżeli umożliwia wyszukanie danych w oparciu o określone kryterium - numer referencyjny, nazwę stanowiska, wykształcenie itp.
Na ilustracji widzisz przykłady zbiorów danych osobowych.
Dlaczego warto wiedzieć, czym jest zbiór danych osobowych?
Na administratorze danych osobowych spoczywa obowiązek zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO). To ważne, ponieważ dla poprawnego przetwarzania danych osobowych konieczne jest zgłoszenie zbioru do GIODO (wystarczy zgłoszenie, nie trzeba czekać na rejestrację). Dlatego trzeba wiedzieć, czy zebrane dane stanowią zbiór, czy też nie.
Generalna zasada jest taka, że każdy zbiór danych osobowych podlega rejestracji w GIODO. Od tej zasady istnieją wyjątki .
Od 1 stycznia 2015 r. zwolnienie z obowiązku zgłaszania do GIODO obejmuje zbiory niezawierające danych wrażliwych, które:
są prowadzone bez wykorzystania systemów informatycznych lub
są prowadzone przez administratora danych osobowych, który powoła i zgłosi do GIODO administratora bezpieczeństwa informacji.
Więcej informacji na temat rejestrowania zbiorów danych znajdziesz w module 7.
Przetwarzanie danych osobowych
1.4.1. Czym jest przetwarzanie danych osobowych?
Przetwarzanie danych osobowych to każda operacja dokonywana przez administratora danych osobowych na danych osobowych, sprowadzająca się do: pozyskiwania, gromadzenia, przechowywania, zabezpieczania, uzupełniania, prostowania i usuwania danych.
Przedsiębiorca przetwarza zatem dane osobowe w różnych postaciach, od pozyskiwania danych osobowych przy pomocy wszelkiego rodzaju formularzy kontaktowych, wyskakujących okienek typu pop-up, newsletterów, do pozyskiwania danych w kontakcie bezpośrednim.
Przetwarzanie danych, szczególnie w systemach informatycznych, nakłada na administratora danych osobowych szereg obowiązków, w tym posiadania polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym. Są to podstawowe dokumenty, które powinien posiadać każdy administrator danych osobowych przetwarzający dane w systemach informatycznych.
Zasady przetwarzania danych osobowych
Podstawowe zasady przetwarzania danych osobowych określa art. 26 Ustawy o ochronie danych osobowych. Nakłada on na administratora danych obowiązek dołożenia szczególnej staranności w celu ochrony interesów majątkowych i niemajątkowych osób, których dane dotyczą, a w szczególności przestrzegania zasad:
legalności,
celowości,
merytorycznej poprawności,
adekwatności,
ograniczenia czasowego.
Zasady te zostaną omówione dokładniej w kolejnych ekranach. Szczególnie istotne jest, by przedsiębiorca przestrzegał tych zasad, gdy tylko zacznie przetwarzać dane osobowe. Z pewnością zaoszczędzi to przykrych niespodzianek w przyszłości, gdy baza będzie liczyła setki lub tysiące klientów.
Zasady przetwarzania danych osobowych cd.1
Zasada legalności mówi, że dane należy przetwarzać zgodnie z prawem, czyli zgodnie z Ustawą o ochronie danych osobowych i innymi przepisami prawa. Zasada legalności zostanie zachowana, jeżeli administrator danych, przetwarzając dane zwykłe, spełnia przynajmniej jedną z przesłanek dopuszczalności przetwarzania danych . Przesłanki te zostaną omówione w dalszej części lekcji. Uwaga: zasada legalności nie obejmuje postanowień umownych.
Zasada celowości nakazuje zbieranie danych dla oznaczonych, zgodnych z prawem celów i niepoddawanie ich dalszemu przetwarzaniu niezgodnemu z tymi celami. Zasada ta w praktyce oznacza, że zbierając dane, nie możesz pominąć ani zataić celu zbierania przed osobą, która te dane udostępnia. Osoba udostępniająca dane powinna być poinformowana o celu zbierania danych przed ich udostępnieniem, np. przed zawarciem umowy. Niedopuszczalne jest uzależnianie zawarcia umowy od wyrażenia zgody na przetwarzanie danych w innych celach, na przykład marketingowych innych podmiotów.
Zasady przetwarzania danych osobowych cd.2
Zasada merytorycznej poprawności nakazuje dbałość o merytoryczną poprawność danych - ich zgodność z prawdą, kompletność i aktualność. Naruszeniem tej zasady jest zbieranie danych niewiadomego pochodzenia, które nie gwarantują ich poprawności.
Zasada adekwatności nakazuje, aby dane były adekwatne w stosunku do celów, w jakich są przetwarzane. Administrator danych powinien przetwarzać tylko dane takiego rodzaju i o takiej treści, jakie są niezbędne ze względu na cel ich zbierania. Naruszeniem tej zasady jest zbieranie danych "na wszelki wypadek".
Zasada ograniczenia czasowego wprowadza obowiązek przechowywania danych w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Zasada ta oznacza w praktyce, że po osiągnięciu celu, np. po wykonaniu umowy i upływie wynikającego z przepisów prawa okresu przechowywania danych, dane powinny zostać usunięte, poddane anonimizacji lub przekazane podmiotowi uprawnionemu ustawowo do ich przejęcia . W związku z tym administrator jest zobowiązany do stałego przeglądania podległych mu danych pod kątem realizacji tej zasady.
Przesłanki uprawniające do przetwarzania danych osobowych
Administrator danych może przetwarzać dane zwykłe, jeśli zachowa przynajmniej jedną z przesłanek dopuszczalności przetwarzania danych.
Pierwsza przesłanka umożliwiająca przetwarzanie danych to zgoda osoby, której te dane dotyczą. Taka zgoda powinna mieć formę pisemną i być wyodrębniona z treści innych oświadczeń woli składanych przez daną osobę. Zgoda nie jest wymagana, jeżeli przetwarzanie ma polegać na usunięciu danych.
Przesłanki uprawniające do przetwarzania danych osobowych cd.1
Druga przesłanka umożliwiająca przetwarzanie danych osobowych to obowiązek lub uprawnienie wynikające z przepisu prawa.
W przypadku danych zwykłych ten obowiązek lub uprawnienie może wynikać z innych przepisów niż przepisy Ustawy o ochronie danych osobowych. Na przykład zakres danych osobowych, jakich może żądać pracodawca od osób ubiegających się o pracę oraz od swoich pracowników, został określony w kodeksie pracy.
Trzecia przesłanka dotyczy realizacji umowy, której osoba, której dane dotyczą, jest stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Przesłanka ta dotyczy sytuacji, w których zawierane są umowy cywilno-prawne, np. umowy zlecenia lub o dzieło, i umożliwia przetwarzanie danych z tych umów. Ma również zastosowanie przy procedurach przetargowych, konkursowych, umowach przedwstępnych.
Pamiętaj, że dane uzyskane w wyniku takich umów mogą być przetwarzane jedynie do momentu wywiązania się z umowy lub przedawnienia się roszczeń wynikających z tej umowy.
Przesłanki uprawniające do przetwarzania danych osobowych cd.2
Ostatnia przesłanka, która umożliwia przetwarzanie danych przez przedsiębiorcę, to przesłanka o najszerszym zastosowaniu. Dotyczy przetwarzania danych osobowych, jeżeli jest to niezbędne dla wypełniania prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Chodzi szczególnie o:
prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz decydowania o swoim życiu osobistym,
prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z Ustawą oraz
wolność i ochronę tajemnicy komunikowania się.
Za prawnie usprawiedliwiony cel uznaje się marketing własnych produktów lub usług administratora danych, a także dochodzenie roszczeń z prowadzonej przez niego działalności gospodarczej. Ta przesłanka może również stanowić podstawę do przetwarzania danych osób zatrudnianych na podstawie umów cywilnoprawnych.
Przetwarzanie danych szczególnie chronionych
Przetwarzanie danych szczególnie chronionych (wrażliwych) przez przedsiębiorcę jest dopuszczalne jedynie w wymienionych w Ustawie przypadkach:
gdy osoba, której te dane dotyczą, wyrazi pisemną zgodę,
jeżeli zezwalają na to przepisy szczególne innej ustawy, która stwarza pełne gwarancje ochrony tych danych,
gdy przetwarzanie danych następuje w celu ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, fizycznie lub prawnie nie jest w stanie wyrazić zgody, do czasu ustanowienia opiekuna prawnego albo kuratora,
gdy dane te są niezbędne do dochodzenia praw przed sądem,
gdy przetwarzanie jest niezbędne do wykonania zadań administratora związanych z zatrudnieniem pracowników i innych osób, a zakres danych jest określony w Ustawie,
gdy przetwarzanie danych wrażliwych przez przedsiębiorcę ma na celu realizację praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.