Efektywna ochrona danych osobowych
Transkrypt
Efektywna ochrona danych osobowych
Efektywna ochrona danych osobowych Domański Zakrzewski Palinka Ustawa o ochronie danych osobowych wciąż rodzi wśród przedsiębiorców wiele pytań i nasuwa im wiele wątpliwości. A skutki zaniedbań w tym względzie mogą być dla firmy i jej zarządu bardzo poważne. Jak zatem efektywnie chronić dane osobowe w firmie? Ustawa o ochronie danych osobowych z 29 sierpnia 1997 roku jest tak skomplikowana, że choć obowiązuje od ponad dziesięciu lat, wciąż wzbudza w świecie biznesu wiele wątpliwości. Warto już na wstępie przypomnieć, że danymi osobowymi są wszelkie informacje dotyczące człowieka zidentyfikowanego lub możliwego do zidentyfikowania, a przetwarzaniem danych są jakiekolwiek operacje wykonywane na nich (np. ich zbieranie czy przechowywanie). Tak szeroki przedmiot regulacji ustawy powoduje, że problematyka ochrony danych dotyczy w praktyce każdego przedsiębiorcy. Wielu z nich jednak albo nie zdaje sobie z tego sprawy, albo bagatelizuje tę kwestię. Tymczasem konsekwencje takiej postawy mogą być dla firmy i jej zarządu bardzo bolesne. Warto zatem poważniej potraktować wymóg efektywnej ochrony danych osobowych. Bartosz Marcinkowski Radca prawny, partner kancelarii Domański Zakrzewski Palinka. Kieruje zespołem prawników zajmujących się między innymi problematyką ochrony danych osobowych w przedsiębiorstwach. Zespół obsługuje duże firmy polskie i zagraniczne, które dziedzinę ochrony danych osobowych Cztery filary ochrony danych osobowych postrzegają nie tylko jako obowiązujący standard prawny, ale także Budowa stabilnej konstrukcji ochrony danych osobowych opiera się na realizacji kilku niezależnych od siebie grup obowiązków, które nazywam filarami ochrony danych osobowych. W uproszczeniu można je przedstawić w następujący sposób. jako istotny czynnik budowania przewagi konkurencyjnej na rynku. 34 Prawo w firmie 2008 Filar pierwszy – posiadanie prawnej podstawy przetwarzania danych. Taką podstawą jest zgoda na przetwarzanie danych osoby, której te dane dotyczą. Przedsiębiorstwo może także przetwarzać dane osobowe, jeśli jest to niezbędne do wypełnienia jego prawnie usprawiedliwionych celów i jeśli nie są przy tym naruszane prawa osoby, której dane dotyczą, ani nie jest zagrożona jej wolność. Zgodnie z ustawą o ochronie danych osobowych, takim prawnie usprawiedliwionym celem jest zwłaszcza marketing bezpośredni własnych produktów lub usług administratora danych, jak również dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Należy przy tym podkreślić, że ustawa nie zawiera wyczerpującej listy sytuacji, w której dane mogą być legalnie wykorzystywane z uwagi na istnienie usprawiedliwionego celu – takich przypadków może być na co dzień zdecydowanie więcej. Tym niemniej, w praktyce największe znaczenie ma właśnie wyraźnie wspomniana przez ustawodawcę działalność marketingowa administratora danych. Filar drugi – wypełnienie obowiązku informacyjnego. Obowiązek ten sprowadza się do zadbania o to, by osoba, której dane dotyczą, była świadoma faktu zbierania i wykorzystywania ich przez firmę. To pozwala jej na obronę swojej wolności, w tym – na przeciwstawienie się niepożądanemu przetwarzaniu danych. Filar trzeci – należyte zabezpieczenie danych. Dane osobowe w firmie powinny być zabezpieczone zgodnie z ustawą o ochronie danych osobowych oraz rozporządzeniem MSWiA z 29 kwietnia 2004 roku, zawierającym szczegółowe określenie wymogów bezpieczeństwa danych. Filar czwarty – zgłoszenie zbioru danych do Generalnego Inspektora Ochrony Danych Osobowych celem rejestracji. W większości firm przestrzega się jedynie niektórych spośród tych czterech fundamentalnych obowiązków, z pominięciem pozostałych. Jest to najczęstsze źródło kłopotów przedsiębiorstw z ochroną danych osobowych. Bo choć nie w każdym przypadku konieczne są wszystkie filary, zawsze należy dokładnie rozważyć, czy nie ma takiej potrzeby. O ile filar drugi (dotyczący obowiązku informacyjnego) oraz czwarty (rejestracja u GIODO) w niektórych sytuacjach – określonych ustawą o ochronie danych osobowych – może zostać pominięty, o tyle filary pierwszy (czyli podstawa przetwarzania danych) oraz trzeci (związany z bezpieczeństwem danych) są wymagane w każdym przypadku. Warto pamiętać, że przedsiębiorca musi zawsze umieć wykazać, dlaczego konkretny filar nie powstał (np. jaki przepis zwolnił go z obowiązku rejestracji zbioru). Skutki zaniedbań W praktyce przedsiębiorcy często respektują konieczność istnienia jednego czy dwóch spośród omawianych filarów. Konstrukcja taka, oczywiście, nie może być stabilna i grozi katastrofą prawną, finansową oraz kłopotami w obszarze public relations. Generalny Inspektor Ochrony Danych Osobowych może bowiem nakazać między innymi usunięcie w określonym terminie stwierdzonych nieprawidłowości. A to oznacza zwykle konieczność poniesienia przez firmę kosztów, na przykład na zakup nowego oprogramowania. GIODO może też zakazać przetwarzania danych osobowych (co w przypadku niektórych branż oznacza de facto paraliż funkcjonowania przedsiębiorstwa; dotyczy to np. firm zajmujących się marketingiem bezpośrednim czy reklamą) oraz skierować sprawę przeciwko członkom zarządu na drogę karną. Na przykład za niedopełnienie rejestracji zbioru sąd może wymierzyć nawet karę pozbawienia wolności do roku (przy czym nie jest to najsurowsza z kar przewidzianych w ustawie o ochronie danych osobowych). Należy jednak odnotować, że sankcje karne z tytułu nieprzestrzegania ustawy były wymierzane przez sądy rzadko i nie były nadmiernie dotkliwe dla osób naruszających przepisy. Warto w tym miejscu jednocześnie dodać, że trwają prace nad nowelizacją ustawy o ochronie danych osobowych. Propozycje przewidują, że Generalny Inspektor będzie miał prawo nałożyć na firmę nieprzestrzegającą przepisów ustawy grzywnę do 100 tysięcy euro. Zatem oprócz (a w praktyce: zamiast) ra- i czej teoretycznej dolegliwości karnej, już wkrótce pojawić się może bardzo wymierna i, jak się wydaje, zdecydowanie mniej teoretyczna dolegliwość finansowa (czyli dotkliwa grzywna nakładana wprost przez Generalnego Inspektora Ochrony Danych Osobowych). Wskazane jest zatem dokonywanie w firmach cyklicznych przeglądów, by sprawdzić, w jakim stopniu przyjęte rozwiązania prawne, organizacyjne i informatyczne są zgodne z ustawą o ochronie danych osobowych i czy pozwalają na efektywną ochronę tych danych. Na taką diagnostykę nigdy nie jest za późno, chyba że w przedsiębiorstwie rozpoczęła się już kontrola GIODO. Nawet jednak w takiej sytuacji zespół prawników i informatyków, współpracujący z zarządem firmy, może przyczynić się do minimalizacji szkód i szybkiego przywrócenia stanu zgodnego z prawem. Bartosz Marcinkowski Domański Zakrzewski Palinka Kancelaria Domański Zakrzewski Palinka jest największą kancelarią prawniczą w Polsce. Jej reputacja i marka to efekt piętnastoletniego doświadczenia w kompleksowym doradztwie prawnym na rzecz podmiotów gospodarczych. Obecnie zespół kancelarii liczy ponad 140 prawników, w tym 19 partnerów, w biurach w Warszawie, Poznaniu, Wrocławiu, Toruniu i Łodzi. Kancelaria DZP zajmuje się bieżącą obsługą polskich i międzynarodowych przedsiębiorstw, ale doradza również przy skomplikowanych transakcjach. Dzięki wszechstronności, znajomości polskiego i międzynarodowego prawa oraz wysokim standardom obsługi kancelaria DZP należy do grona czołowych firm prawniczych w Polsce. Od lat jest wysoko pozycjonowana w rankingach i rekomendowana przez międzynarodowe publikacje specjalistyczne. Kancelaria już od kilku lat (w tym także w 2007 roku) niezmiennie zajmuje pierwsze miejsce w corocznym rankingu polskich kancelarii prawniczych, publikowanym przez dziennik Rzeczpospolita i Gazetę Prawną. Case 35