Ochrona danych osobowych od strony prawnej

Ochrona danych osobowych jest coraz popularniejszym ale i rodzącym wiele pytań zagadnieniem głównie za sprawą przyjęcia w kwietniu 2016 roku przez Parlament Europejski i Radę (UE) unijnego ogólnego rozporządzenia o ochronie danych osobowych czyli tzw. RODO. Kwestie danych osobowych i jej ochrony do 2016 r. regulowała Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Wejście w życie unijnego rozporządzenia wymogło aby dostosować się do unijnych standardów. W związku z tym kwestie ochrony danych osobowych reguluje nowa Ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. 

Więcej o rozporządzeniu dotyczącego Ochrony Danych Osobowych

Wspomniane rozporządzenie zawiera wytyczne dotyczące zbierania, przechowywania oraz rozporządzania danymi osobowymi przez przedsiębiorców. Odnoszą się do firm z siedzibą na terenie UE, jak również firm spoza UE, które przetwarzają dane osobowe oferując swoje usługi podmiotom z krajów UE. Należy również podkreślić, że samo sformułowanie Przetwarzanie danych osobowych jest dość szerokim pojęciem i dotyczy działań polegających na: zbieraniu, utrwalaniu, modyfikowaniu, przeglądaniu, wykorzystywaniu, ujawnianiu przez przesłanie, rozpowszechnianie, udostępnienie, dopasowywanie, łączenie, ograniczanie, usuwanie, dopasowywanie.  Konieczne jest również, aby takie działanie posiadało uzasadniony gospodarczo cel. W związku z tym przepisy odnoszą się tylko do podmiotów gospodarczych a nie do osób fizycznych. Należy podkreślić, że osoba, której dotyczą dane musi wyrazić zgodę na jej przetwarzanie.

Według rozporządzenia RODO dane osobowe to takie dane które pomagają w łatwym zidentyfikowaniu osoby poprzez wskazanie ściśle określonych cech. W związku z tym do danych osobowych można zaliczyć: imię i nazwisko, numer PESEL, dane adresowe, e-mail.  Art. 9 RODO przewidział również dane, które nie mogą być przetwarzane – m.in. stan zdrowia, orientacja seksualna, pochodzenie rasowe.

Jak prezentują się kwestie bezpieczeństwa?

Przetwarzanie danych osobowych wiąże się również z zapewnieniem bezpieczeństwa, aby nie trafiły do wiadomości osób trzecich. RODO ustanawia specjalny podmiot odpowiedzialny za ochronę danych. Jest to administrator danych osobowych, którym jest osoba fizyczna  będąca właścicielem przedsiębiorstwa lub w przypadku posiadania osobowości prawnej przez przedsiębiorstwo - osoba prawna, ustalająca zasady realizacji bezpieczeństwa przetwarzania danych osobowych. Nie ma żadnych konkretnych wytycznych w jaki sposób osoby odpowiedzialne mają zapewnić ochronę. Powinno być to rozpatrywane indywidualnie, zgodnie z wymogami danej sytuacji, biorąc pod uwagę między innymi stan wiedzy technicznej, koszt wdrażania, cele przetwarzania, oraz ryzyko naruszenia bezpieczeństwa przetwarzania danych osobowych. Art. 37 RODO zakreśla jedynie możliwe działanie poprzez

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Może się zdarzyć, że pomimo wprowadzenia szeregu środków technicznych o organizacyjnych mających na celu zabezpieczenie danych osobowych dojdzie do naruszenia. W takim przypadku administrator danych niezwłocznie powiadamia organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych (PUODO). Czas w jakim należy zgłosić naruszenie to 72 godziny od chwili stwierdzenia naruszenia ochrony danych osobowych.

W przypadku nieprzestrzegania przepisów RODO oraz ustawy przewidziano kary pieniężne. Organem uprawnionym do nakładania kar jest PUODO, który bierze pod uwagę skalę naruszenia ochrony danych osobowych, umyślność oraz charakter danych osobowych, których dotyczy naruszenie. Kary oscylują w przedziale do 20 mln euro.