W jakim zakresie nowelizacja ustawy o ochronie danych osobowych, która weszła w życie 7 marca, dotyczy przedsiębiorcy zajmującego się zawodowo przetwarzaniem danych?
Odpowiada Marta Ziółkowska-Nasińska, prawnik z Kancelarii Baker&McKenzie:
Zmiany dotyczą wszystkich przedsiębiorców, którzy przetwarzając dane osobowe w związku z prowadzeniem przedsiębiorstwa, pozostają pod reżimem ustawy o ochronie danych osobowych. Będą to również przedsiębiorcy, którzy przetwarzają dane na zlecenie osób trzecich lub oferują podmiotom trzecim korzystanie ze zgromadzonych danych i tym samym dla których przetwarzanie danych osobowych stanowi podstawową działalność gospodarczą.
Działalność przedsiębiorców związana z przetwarzaniem danych osobowych będzie teraz poddana większej kontroli generalnego inspektora ochrony danych osobowych. GIODO otrzymał uprawnienie do nakładania grzywien za niewykonanie decyzji wydanych na podstawie przepisów ustawy o ochronie danych osobowych.
Ponadto za udaremnianie lub utrudnianie GIODO czynności kontrolnych będzie groziła kara grzywny, ograniczenia wolności lub pozbawienia wolności do lat dwóch. Przedsiębiorcy powinni również zwrócić uwagę na zmianę definicji zgody na przetwarzanie danych osobowych.
Nowelizacja nie pozostawia wątpliwości, że zgoda osoby na przetwarzanie jej danych osobowych może być w każdym czasie odwołana, bez żadnych ograniczeń czasowych lub formalnych.
Przepisy sprzed 7 marca, które już nie obowiązują, przewidywały, że dane mogą zostać udostępnione również innym osobom i podmiotom, ale musiały one w sposób wiarygodny uzasadnić potrzebę ich posiadania.
Udostępnienie danych nie mogło jednak naruszać praw i wolności osoby, której dane dotyczyły. Czy to jest korzystna zmiana dla firm?
Usunięcie z ustawy o ochronie danych osobowych przepisu umożliwiającego osobom trzecim wnioskowanie o udostępnianie im danych na tej podstawie, że w sposób wiarygodny uzasadnią potrzebę ich posiadania, może okazać się korzystne dla przedsiębiorców.
W toku prac nad nowelizacją przyjęto, że wiarygodne uzasadnienie potrzeby posiadania danych nie powinno stanowić samoistnej przesłanki udostępnienia danych osobom trzecim.
Wobec istnienia ogólnych zasad regulujących legalność przetwarzania i tym samym udostępniania danych odrębny przepis był zbędny i wprowadzał niepewność po stronie administratorów danych, którzy nie mieli pewności, czy słusznie udostępniają dane osobom, które wystąpiły do nich z wnioskiem o udostępnienie danych, uwiarygadniając potrzebę ich posiadania.
Czy teraz przedsiębiorca, który zajmuje się zawodowo przetwarzaniem danych, może przekazać je innemu przedsiębiorcy?
Tak, pod warunkiem że pierwotna umowa powierzenia przewiduje możliwość dalszego powierzania danych w określonym zakresie i celu innemu podmiotowi, a więc jeżeli administrator danych osobowych takie dalsze powierzenie dopuścił.
Często podmiot, któremu powierzono przetwarzanie danych, chce powierzyć te dane w celu dalszego przetwarzania innemu podmiotowi w określonym celu. Jest to nadal dozwolone na podstawie ustawy.
Jakie warunki muszą zostać teraz spełnione, aby przedsiębiorca mógł przekazać dane osobowe innemu przedsiębiorcy na podstawie umowy?
Warunki powierzenia przetwarzania danych osobowych innemu przedsiębiorcy na podstawie umowy pozostały niezmienione. Przedsiębiorca podejmujący się przetwarzania danych na podstawie umowy powierzenia obowiązany jest zastosować środki zabezpieczające powierzony zbiór danych, bo w zakresie zabezpieczenia danych osobowych to on ponosi odpowiedzialność jako administrator danych.
Musi zatem zadbać o to, aby powierzone dane osobowe nie dostały się w ręce osób nieupoważnionych bądź nie zostały uszkodzone lub zniszczone.
Ponadto przedsiębiorca, któremu administrator danych powierzył ich przetwarzanie, odpowiada wobec administratora danych za ich przetwarzanie niezgodnie z zawartą umową powierzenia.
Jak taka umowa powinna wyglądać, co musi zawierać?
Umowa powierzenia powinna zostać zawarta na piśmie i wskazywać szczegółowo obowiązki zarówno administratora danych, jak i przedsiębiorcy, któremu powierzył ich przetwarzanie. Należy koniecznie określić cel, w jakim przedsiębiorca, któremu powierzono przetwarzanie danych, może je przetwarzać, oraz zakres danych powierzonych do przetwarzania.
Przedsiębiorca ten może bowiem przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie powierzenia. Powinna być ona zawsze sporządzana indywidualnie, dla konkretnego przypadku przetwarzania danych, w sposób uwzględniający wszystkie elementy gwarantujące prawidłowe zabezpieczenie i przetwarzanie.
Czytaj też:
»