Kiedy na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych przeczytałam informację, że w styczniu br. już po raz dziewiąty zorganizował on w Polsce obchody dnia ochrony danych osobowych uznałam, że to dobra okazja, aby zająć się omówieniem regulacji prawnych dotyczących tej problematyki. Niejednokrotnie każdy z nas był w sytuacji, w której zastanawiał się, czy jego dane osobowe są bezpieczne.
Należy zacząć od tego, że ustawodawca za dane osobowe uważa wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Jako dane wrażliwe wymienia się m. .in.: dane rasowe lub etniczne; poglądy polityczne; stan zdrowia; przynależność partyjna, związkowa, lub wyznaniowa; kod genetyczny; nałogi; życie seksualne; skazania i orzeczenia dotyczące mandatów i kar.
Ustawodawca definiuje zbiór danych jako każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Aby nasze dane osobowe mogły być przetwarzane, musimy wyrazić na to zgodę. zgoda taka to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa takie oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Może ona być odwołana w każdym czasie.
Przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Dane wrażliwe można przetwarzać tylko w określonych sytuacjach. Przede wszystkim wówczas, gdy osoba, której dane dotyczą wyrazi zgodę na piśmie, jeśli zaś chodzi o ich usunięcie to taka zgoda nie jest konieczna. Przepis szczególny innej ustawy zezwala na ich przetwarzanie, bez zgody tej osoby dając jednocześnie gwarancje ochrony takich danych. Chodzi o sytuację, gdy przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów tej osoby, a ona w tym czasie nie jest zdolna fizycznie lub prawnie na wyrażenie takiej zgody. Innym przykładem może być wykorzystywanie danych niezbędnych do dochodzenia spraw przed sądem.
W Polsce organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych. W przypadku naruszenia przepisów o ochronie danych osobowych to właśnie on z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem. Przede wszystkim naruszający prawo ma obowiązek:
- usunąć uchybienia,
- uzupełnić, uaktualnić, sprostować, udostępnić lub nie udostępnić danych osobowych,
- zastosować dodatkowe środki zabezpieczające zgromadzone dane osobowe,
- wstrzymać przekazywanie danych osobowych do państwa trzeciego,
- zabezpieczyć dane lub przekazać je innym podmiotom,
- usunąć dane osobowe.
W razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie o ochronie danych osobowych, Generalny Inspektor Ochrony Danych Osobowych kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie popełnienia przestępstwa.
Należy pamiętać, że przetwarzanie naszych danych osobowych jest dopuszczalne tylko wtedy, gdy:
- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
- jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
- jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Zgoda może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.
W tym miejscu warto uczulić czytelnika na to, aby uważał, czy nie zmienia się cel wykorzystywania danych osobowych. Zupełnie zrozumiałe jest to, że operator komórkowy czy bank, z którym podpisujemy umowę wymagają podania dokładnych danych, aby umowa była zawarta skutecznie i w tym celu one powinny być wykorzystane. Niedopuszczalne jest już jednak to, aby nasze dane osobowe były udostępniane podmiotom trzecim czy wykorzystywane w celach marketingowych. Podpisując plik dokumentów, należy zwrócić uwagę, co się podpisuje, bo łatwo można udzielić zgody na sprzedaż naszych danych osobowych. Gdy zatem za jakiś czas otrzymamy ofertę z jakiejś kompletnie nieznanej nam firmy, adresowaną imiennie to zapewne efekt bezmyślnego podpisywania dokumentów w banku czy u operatora sieci komórkowej.
Duże pole do nadużyć w sferze wykorzystywania naszych danych stanowi Internet. Jeśli korzystamy z bezpłatnego konta pocztowego, zapewne otrzymujemy mnóstwo reklam. Konto rzeczywiście jest darmowe, ale akceptując regulamin, musieliśmy wyrazić zgodę na otrzymywanie takich ofert. Im więcej danych umieściliśmy w swoim profilu, tym jesteśmy cenniejsi dla portalu i reklamodawców, bo niestety, we współczesnym świecie nie ma nic za darmo. Formą zapłaty są nasze dane. Jeśli nasze dane znajdują się np. w banku czy u operatora sieci komórkowej to administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Zadbać powinien w szczególności o zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, a także przed ich zabraniem przez osobę nieuprawnioną i przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
W przypadku, gdy zapisanie (zgromadzenie) danych ma swe źródło w relacji istniejącej między danymi osobowymi (czy osobą) a administratorem danych, należy przyjąć obowiązek ich usunięcia w sytuacji wygaśnięcia tej relacji. Jako przykład można podać sytuację ustania stosunku zatrudnienia lub zaprzestania dokonywania transakcji z daną osobą, np. wygaśnięcie umowy z operatorem sieci komórkowej. Wskazuje się przy tym, że niekiedy powstaje wówczas obowiązek usunięcia jedynie części danych ze względu na celowość utrzymania informacji koniecznych dla obrony interesów administratora w przypadku ewentualnego podniesienia roszczeń przeciwko niemu przez daną osobę.
Należy bowiem pamiętać, iż odpowiedzialność prawna wynikająca z naruszenia ochrony danych osobowych w dzisiejszym systemie prawnym pociąga za sobą nie tylko konsekwencje typu: kontrole GIODO, mandaty, zatrzymanie pracy na stanowiskach zagrożonych utratą danych osobowych, ale także niebagatelne konsekwencje finansowe, wynikające z indywidualnych i zbiorowych pozwów pracowników i klientów firmy zaniedbującej prawo w tym obszarze.
Na koniec warto podkreślić, że organizacje pozarządowe mogą posiadać zarówno dane „zwykłe”, jak i „wrażliwe”. W odniesieniu do tych różnych rodzajów danych obowiązują odmienne zasady postępowania z nimi. Np. w przypadku rejestracji zbiorów danych „zwykłych” w GIODO, możemy wykonywać na tych danych różne działania, np. zbierać je już od momentu zgłoszenia zbioru do rejestru (zanim GIODO wyrazi swoją decyzję w naszej sprawie). Jeżeli jednak zgłaszamy informację o zbiorze danych „wrażliwych”, działania w tym zakresie możemy rozpocząć dopiero po zarejestrowaniu informacji o takim zbiorze.
Katarzyna Heba