Dane osobowe: co musi wiedzieć początkujący przedsiębiorca

Możliwość powołania się na co najmniej jedną przesłankę, zarejestrowanie zbioru, gdy nie podlega on wyłączeniu na podstawie wyjątków wskazanych w ustawie i stworzenie technicznych warunków do zabezpieczenia posiadanych informacji – to podstawowe warunki legalnego operowania danymi

Publikacja: 17.09.2013 05:00

Michał Kołtuniak

- Jakie w skrócie warunki musi spełnić firma, aby zostać administratorem danych i przetwarzać je zgodnie z prawem – pyta czytelnik.

Administrator danych, aby przetwarzać dane osobowe zgodnie z przepisami ustawy o ochronie danych osobowych, musi spełnić jeden z warunków decydujący o tym, że takie działanie jest legalne (spełnienie jednaj z przesłanek). Ponadto musi dopełnić obowiązku zgłoszenia zbioru do rejestracji w prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych i obowiązku informacyjnego.

Musi także we właściwy sposób zabezpieczać zgromadzone dane oraz dbać o interesy osób, których dane dotyczą i respektować ich prawa gwarantowane przepisami. To najkrótsze zestawienie obowiązków administratora danych. A może nim być właściwie każda osoba (podmiot), która decyduje o celach i środkach przetwarzania danych.

Samo przetwarzanie, w myśl art. 7 ustawy, to wykonywanie jakichkolwiek operacji na danych osobowych, takich jak np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Administrator musi spełniać co najmniej jeden warunek legalizujący dokonywanie operacji na danych. W odniesieniu do tzw. danych zwykłych, jak np. imię, nazwisko czy adres zamieszkania określono je w art. 23 ust 1 pkt 1–5 ustawy, zaś w odniesieniu do tzw. danych wrażliwych (szczególnie chronionych), takich jak np. dane o stanie zdrowia, nałogach, czy poglądach politycznych – w art. 27 ust. 2 pkt 1–10 ustawy. Przy tym wystarczy spełnienie jednego z tych warunków. Przesłanki te są bowiem równoprawne, a jednocześnie autonomiczne.

Z kolei w myśl art. 40 administrator powinien dopełnić obowiązku zgłoszenia zbioru danych do Generalnego Inspektora Ochrony Danych Osobowych w celu ich rejestracji. Zgłoszenie zbioru danych do rejestracji jest regułą, od której wyjątki wymie- nione zostały w art. 43 ust. 1 pkt. 1–11 ustawy. Katalog tych wyjątków jest zamknięty i nie może być interpretowany rozszerzająco.

Oceny tego, czy zbiór należy zgłosić do rejestracji, administrator danych dokonuje sam, przy czym zwolnienie zbioru danych z rejestracji jest możliwe tylko wówczas, gdy przesłanka uprawniająca do odstąpienia od rejestracji dotyczy wszystkich danych zawartych w zbiorze. Wreszcie należy tak zorganizować proces przetwarzania danych, aby były one bezpieczne.

Chodzi o to, aby nie miały do nich dostępu osoby postronne, a tym samym niemożliwe było ich wyniesienie, wykradzenie, zapoznanie się z nimi przez taką osobę, aby były zabezpieczone przed zniszczeniem, uszkodzeniem lub utratą. Nie mogą być one także przetwarzane w sposób sprzeczny z ustawą.

Kwestie bezpieczeństwa i stosowania odpowiednich zabezpieczeń regulują przepisy rozdziału 5 ustawy oraz rozporządzenia ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Więcej informacji można znaleźć na stronie www.giodo.gov.pl. W pierwszej kolejności osoby, które po raz pierwszy stykają się z problematyką danych osobowych, powinny sięgnąć do informacji zamieszczonych w zakładce edukacja.