Pojęcie „dane osobowe”, stosownie do definicji zamieszczonej w art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: u.o.d.o.), oznacza każdą informację, dotyczącą osoby fizycznej, zidentyfikowanej lub możliwej do zidentyfikowania. Informacji o osobie fizycznej uzyskują status chronionych danych osobowych, z uwagi na wiedzę administratora je przetwarzającego. O ile więc administrator danych, będzie miał możliwość powiązania danej informacji ze zindywidualizowaną osobą fizyczną, o tyle dana informacja przestaje być anonimowa i staje się chronioną daną osobową. Ustawodawca rozróżnia „zwykłe” dane osobowe od danych wrażliwych, za które uznaje się dane, dotyczące np. pochodzenia rasowego lub etnicznego, poglądów politycznych, stanu zdrowia, czy nałogów. Zgodnie z definicją ustawową, „zbiorem danych” jest każdy, posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Najprostszym przykładem nadania określonym danym osobowym charakteru zbioru danych, jest ułożenie ich np. w porządku alfabetycznym.
„Przetwarzanie danych” oznacza jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Jednostką odpowiedzialną za operacje na danych osobowych jest administrator danych osobowych, czyli organ, jednostka organizacyjna, podmiot lub osoba, która decyduje o celach i środkach przetwarzania danych osobowych. Administrator odpowiada przede wszystkim za legalność przetwarzania danych oraz zapewnienie odpowiednich warunków technicznych i organizacyjnych, decydujących o właściwej ochronie danych osobowych. Legalność przetwarzania danych osobowych oparta jest na przesłankach ustawowych, wyszczególnionych w art. 23 u.o.d.o. Najpewniejszym sposobem na zgodne z prawem przetwarzaniem danych osobowych, szczególnie dla administratorów danych, mających zamiar przetwarzać dane osobowe np. w celach marketingowych, jest uzyskanie pisemnej zgody osoby, której dane dotyczą. Zgoda podmiotu danych musi być wyraźna, wyrażona w sposób wyodrębniony od innych oświadczeń woli. W związku z powyższym, nie są wystarczające spotykane często w praktyce klauzule umowne, wskazujące np., iż zawarcie umowy lub złożenie zamówienia oznacza automatycznie zgodę na przetwarzanie danych osobowych klienta.
Dodatkowo, na administratora danych, nałożone są w związku z uzyskiwaniem zgody na przetwarzanie danych osobowych, obowiązki informacyjne wobec podmiotów danych osobowych. Zakres informacji, w przypadku zbierania danych od osoby, której te dane dotyczą, obejmuje w szczególności informację o adresie i pełnej nazwie administratora danych, informację o celu zbierania danych, a w szczególności o odbiorcach (znanych lub przewidywanych) lub kategoriach odbiorców danych, informację o prawie dostępu do treści danych oraz ich poprawiania, informację o dobrowolności podania danych. Obowiązek informacyjny powinien być spełniony najpóźniej w momencie zbierania danych (w praktyce oznacza to, że na formularzu „zgody” muszą być podane wymagane informacje). Brak podania ww. informacji podmiotowi danych powoduje, że przetwarzanie danych jest nielegalne i może rodzić odpowiedzialność przewidzianą u.o.d.o. (w tym karną).
Administrator danych jest zobowiązany do zabezpieczenia danych osobowych, w szczególności do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem, zniszczeniem. Mogą to być środki z zakresu rozwiązań architektoniczno-budowlanych, systemy alarmowe, służby ochrony, a także środki czysto informatycznego charakteru.
Ponadto, administrator danych zobowiązany jest do prowadzenia w formie pisemnej dokumentacji, na którą składają się polityka bezpieczeństwa
i instrukcja zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych. Podkreślić należy, że warunki techniczne, o których mowa powyżej, powinny być spełnione już przed rejestracją zbioru danych w GIODO, albowiem podlegają one weryfikacji przez organ w toku rejestracji.
Administrator danych jest zobowiązany do zgłoszenia zbioru do rejestracji przed rozpoczęciem przetwarzania danych, tj. przed rozpoczęciem zbierania pierwszych danych do zbioru. Zgłoszenia zbioru danych należy dokonać na urzędowym formularzu. Do obowiązków administratora danych należy również aktualizacja zgłoszenia, w terminie 30 dni od zaistnienia zmiany podlegającej zgłoszeniu, a także zawiadomienie
o zaprzestaniu przetwarzania danych w zbiorze. Podkreślić należy, że w przypadku danych zwykłych, już samo złożenie wniosku rejestracyjnego uprawnia administratora do przetwarzania danych, natomiast, jeśli w zbiorze mają się znaleźć tzw. dane wrażliwe, rozpoczęcie przetwarzania tych danych może się rozpocząć dopiero po dokonaniu rejestracji przez GIODO.
Autor: Katarzyna Hendigery-Małczyńska, aplikant radcowski
Gregorowicz-Ziemba Krakowiak Gąsiorowski Kancelaria Prawna
