background

Ochrona danych osobowych

U podstaw ochrony danych osobowych leży zapisane w Konstytucji RP prawo do ochrony życia prywatnego. Każdy ma więc prawo do decydowania jakie informacje o swojej osobie chce ujawnić oraz które z nich mogą być przetwarzane.

Zagadnienia związane z ochroną danych osobowych szerzej regulują przede wszystkim ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych oraz rozporządzenia rozwijające szczegółowo kwestie techniczne i formalne w tej materii.

Danymi osobowymi są w skrócie wszelkie dane pozwalające zidentyfikować konkretną osobę (np. imię, nazwisko, adres, PESEL, e-mail zawierający imię i nazwisko, numery rachunków bankowych itp.).

Z kolei zbiorem danych osobowych jest każdy zbiór zawierający takie informacje. Zbiór taki może przybierać różną formę np. spisów, kartotek, ksiąg, wykazów, zapisów elektronicznych itp.

Znajomość zagadnień związanych z ochroną danych osobowych konieczna jest wszędzie tam gdzie dochodzi do zbierania i przetwarzania danych osobowych, w szczególności jeżeli służy to celom zarobkowym podmiotu opracowującymi takie dane. Przepisy w tym zakresie muszą być zatem stosowane przez wszystkich przedsiębiorców, którzy posługują danymi osobowymi. Różnice pojawiają się jedynie w zakresie stosowania poszczególnych przepisów ustawy. Zależnie od sytuacji i rodzaju przedsiębiorcy ustawa nakłada bowiem większe lub mniejsze obowiązki w zakresie ochrony danych osobowych.

Ustawa o ochronie danych osobowych reguluje między innymi następujące kwestie:

  • jakie dane osobowe  i w jakich sytuacjach mogą być zbierane,
  • kto i kiedy może zbierać i przetwarzać dane osobowe,
  • kiedy należy uzyskać zgodę na przetwarzanie danych osobowych a kiedy zgoda taka nie jest wymagana,
  • jak powinny być zabezpieczone dane osobowe (w szczególności pomieszczenia i komputery gdzie zgromadzono dane),
  • w jaki sposób zebrane dane mogą zostać powierzone innym podmiotom,
  • kiedy zbiór danych osobowych musi zostać zgłoszony Generalnemu Inspektorowi Danych Osobowych (GIODO),
  •  jakie są obowiązki administratora danych.

Z obserwacji poczynionych wśród podmiotów prowadzących działalność gospodarczą można zauważyć, iż wiele osób nimi kierujących nie jest do końca świadomych istnienia szczegółowych regulacji dotyczących ochrony danych osobowych i konsekwencji ich niestosowania. Spora grupa uważa także, iż przepisy te to kolejny biurokratyczny i mało znaczący wymysł ustawodawcy, utrudniający prowadzenie biznesu. Często ograniczają się oni do składania swym klientom jedynie nie mających pokrycia zapewnień o należytej ochronie ich danych.  Nawet jeżeli przepisy o ochronie danych osobowych faktycznie stanowią swego rodzaju utrudnienie w grze rynkowej to jednak obowiązują już od dłuższego czasu, a konsekwencje ich niestosowania mogą mieć daleko idące konsekwencje.

Z tych względów warto mieć na uwadze co grozi osobie naruszającej przepisy o ochronie danych osobowych.  Mażemy mieć tu do czynienia z trzema rodzajami odpowiedzialności. W najbardziej niekorzystnej sytuacji wystąpić mogą one łącznie.  

Odpowiedzialność karna, przewidziana w przepisach ustawy o ochronie danych osobowych. Zależnie od rodzaju naruszeń ustawa przewiduje: karę grzywny, ograniczenia wolności, a w niektórych przypadkach nawet pozbawienia wolności do lat 3.

Każde z naruszeń podlega oczywiście indywidualnemu badaniu przez sąd, jednakże ustawa penalizuje znaczną część naruszeń. Karalne będzie na przykład przetwarzanie danych niedopuszczalnych lub w ogóle przetwarzanie danych osobowych przez osobę nieuprawnioną (np. nie posiadającej zgody danej osoby), udostępnienie zbioru danych osobom nieuprawnionym, brak należytego zabezpieczenia zbioru danych osobowych, brak rejestracji zbioru w GIODO, brak informowania osób od których zbiera się dane o ich prawach.  Karalność dotyczyć możne zarówno działań umyślnych jak i nieumyślnych.

Odpowiedzialnością objęta może być nie tylko osoba trzecia lub pracownik, który dopuścił się naruszenia ale także administrator danych czy też osoba zarządzająca, odpowiedzialna za ochronę danych osobowych. Przestępstwa te ścigane są z urzędu (zatem nawet wówczas, gdy osoba, której dane dotyczą, o to nie wnosi), a skazanie odnotowywane w rejestrze karnym.

Odpowiedzialność za naruszenie dóbr osobistych. Osoba lub osoby których dane osobowe zostały wykorzystne z naruszeniem ustawy o ochronie danych osobowych mogą dochodzić naprawnienia szkody i zadośćuczynienia za doznaną krzywdę z uwagi na naruszenie dobra osobistego jakim jest prawo do prywatności. Dane osobowe należą bowiem do tej sfery dóbr. Roszczenia takie mogą zostać skierowane przede wszystkim do osoby odpowiedzialnej za naruszenie (w szczególności jeżeli została ona już skazana w procesie karnym) i mogą być realizowane zarówno w trakcie toczącego się postępowania karnego w ramach tzw. powództwa adhezyjnego lub niezależnie w odrębnym postępowaniu przed sądem cywilnym.

Warto także dodać, iż jeżeli w wyniku popełnienia przestępstwa, korzyści majątkowe odniosła osoba trzecia (np. spółka, w której przetwarzano dane) zobowiązana będzie do ich zwrotu.

Odpowiedzialność administracyjno - prawna. Generalny Inspektor Danych Osobowych samodzielnie nie może nakładać grzywny za naruszenie ustawy o ochronie danych osobowych. Jeżeli sprawa według ustawy kwalifikuje się jako przestępstwo to GIODO kieruje ją do sądu karnego.

Generalny Inspektor Danych Osobowych po przeprowadzeniu kontroli może jednak nałożyć na kontrolowanego obowiązek podjęcia pewnych działań mających na celu uchylenie stwierdzonych uchybień. Wprawdzie tego rodzaju decyzja administracyjna sama w sobie nie nakłada żadnych kar (nakazuje tylko działanie), to jednak jeżeli zobowiązany podmiot jej nie wykona GIODO może nałożyć administracyjną karę grzywny. Innymi słowy później nałożona grzywna służy wymuszeniu na kontrolowanym wykonania obowiązków o charakterze niepieniężnym.

Grzywna ta wynika z przepisów o postępowaniu egzekucyjnym w administracji i może wynosić do 10.000 zł dla osoby fizycznej do nawet 50.000 zł w stosunku do osób prawnych (może być nakładana wielokrotnie, przy czym maksymalnie do wysokości odpowiednio 50.000 zł i 200.000 zł).