Gdy pracownik czyta firmowe kartoteki, to przetwarza dane osobowe

Wiele podmiotów gospodarczych wciąż nie dostrzega obowiązków wynikających z ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: ustawa). Jest to o tyle istotne, że naruszenie ich może się wiązać z odpowiedzialnością karną i zagrożeniem karą pozbawienia wolności do lat trzech.

Kto jest adresatem

Ustawę stosuje się do każdego podmiotu gospodarczego, niezależnie od formy prowadzonej działalności gospodarczej,  jeśli ma on siedzibę lub miejsce zamieszkania w Polsce albo w państwie trzecim, jeśli przetwarza dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Polski. Warunkiem zastosowania ustawy jest przetwarzanie przez przedsiębiorstwo danych osobowych osób fizycznych w związku z jego działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

Danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (dane klientów spółki, pracowników czy uczestników akcji marketingowych). Przez przetwarzanie danych osobowych rozumie się z kolei jakiekolwiek operacje wykonywane na nich, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Na przykład przetwarzaniem danych osobowych będzie ich czytanie przez pracownika.

Ustawę stosuje się do przetwarzania danych osobowych w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, jak i w systemach informatycznych (w tym ostatnim przypadku także w razie przetwarzania danych poza zbiorem danych).

Obowiązki wynikające z ustawy, co do zasady, spoczywają na administratorze danych. Co istotne, administratorem danych jest podmiot gospodarczy, np. spółka lub osoba prowadząca jednoosobową działalność gospodarczą, nie zaś osoba wykonująca funkcje kierownicze (członek zarządu, kierownik) lub pracownik odpowiedzialny za ochronę danych osobowych.

Jakie obowiązki

Zgodnie z ustawą administrator ma obowiązek zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Powinien on m.in. zabezpieczyć je przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz utratą lub zniszczeniem. Nadzorowanie przestrzegania tych obowiązków spoczywa na administratorze danych, chyba że została przez niego wyznaczona osoba za to odpowiedzialna – administrator bezpieczeństwa informacji.

Polityka bezpieczeństwa

Na administratorze danych spoczywa także szereg obowiązków dokumentacyjnych, w szczególności obowiązek przygotowania tzw. polityki bezpieczeństwa danych osobowych. Powinna ona zawierać m.in.:

Danymi są informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie

- ?wykaz budynków lub pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe;

- ?wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;

- ?opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych;

- ?określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Instrukcja zarządzania

Istnieje także obowiązek sporządzenia tzw. instrukcji zarządzania systemem informatycznym, który wykorzystywany jest do przetwarzania danych osobowych. Instrukcja ta powinna zawierać m.in.:

- ?procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazania osoby odpowiedzialnej za te czynności;

- ?stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;

- ?procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;

- ?procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;

- ?sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe, jak również zawierającej procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Administrator danych ma obowiązek: upoważnienia do przetwarzania danych osób, które w jakimkolwiek stopniu biorą udział w ich przetwarzaniu (m.in. pracowników kadr, informatyków) i prowadzenia ewidencji uprawnionych do ich przetwarzania.

Jeśli w jakimkolwiek stopniu przetwarzanie danych osobowych zostało powierzone osobie trzeciej, w tym m.in. firmie księgowej lub agencji marketingowej, administrator ma obowiązek zawarcia umowy o powierzeniu przetwarzania danych. Ponadto na administratorze spoczywa obowiązek zgłoszenia zbioru danych do rejestracji generalnemu inspektorowi ochrony danych osobowych. Obowiązkowi  temu podlega każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, o ile ustawa wyraźnie nie zwalnia administratora z tego obowiązku.

Sankcje za naruszenia

Ustawa uprawnia GIODO do przeprowadzania kontroli w zakresie przestrzegania obowiązków, które z niej wynikają. W przypadku naruszenia tych obowiązków GIODO może zażądać usunięcia uchybień, uzupełnienia, sprostowania, udostępnienia lub nieudostępnienia danych osobowych, zastosowania dodatkowych środków zabezpieczających zgromadzone dane, zabezpieczenia ich lub przekazania innym podmiotom, jak również ich usunięcia. Przywrócenie stanu zgodnego z prawem następuje w formie decyzji administracyjnej.

W przypadku stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub osoby fizycznej będącej administratorem danych (w przypadku jednoosobowej działalności gospodarczej) wyczerpuje znamiona jednego z przestępstw określonych w art. 49–54a ustawy, GIODO ma obowiązek zawiadomienia organów ścigania o podejrzeniu popełniania przestępstwa.

Co jest przestępstwem

Ustawa zawiera szeroki katalog przestępstw, jest nim m.in. przetwarzanie danych osobowych w zbiorze, gdy ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania dany podmiot nie jest uprawniony. Odpowiedzialności karnej może podlegać, w pierwszym przypadku (niedozwolone przetwarzanie) każdy podmiot, który może ponosić odpowiedzialność karną. W drugim zaś przypadku (przetwarzanie przez osobę nieuprawnioną) podmiot nieuprawniony do przetwarzania danych zgodnie z ustawą, np. księgowa, która nie została upoważniona przez administratora danych.

Przestępstwem jest także udostępnienie danych osobowych lub umożliwienie do nich dostępu osobie nieupoważnionej przez osobę administrującą zbiorem danych lub obowiązaną do ich ochrony. Odpowiedzialności karnej podlega podmiot administrujący danymi osobowymi (w szczególności osoba na stanowisku kierowniczym oraz osoba obowiązana do ochrony danych (w szczególności upoważniona przez administratora).

Na gruncie ustawy odpowiedzialności karnej podlega także osoba administrująca danymi, która choćby nieumyślnie narusza obowiązek zabezpieczenia danych przed ich zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. Przestępstwo to może popełnić każdy zarządzający danymi w procesie ich przetwarzania.

Zdaniem autora:

Piotr ?Pośnik, adwokat, starszy prawnik ?w kancelarii BWW Law & Tax