Efektywna ochrona danych osobowych

Efektywna ochrona
danych osobowych
Domański Zakrzewski Palinka
Ustawa o ochronie danych osobowych wciąż rodzi
wśród przedsiębiorców wiele pytań i nasuwa im wiele
wątpliwości. A skutki zaniedbań w tym względzie mogą
być dla firmy i jej zarządu bardzo poważne. Jak zatem
efektywnie chronić dane osobowe w firmie?
Ustawa o ochronie danych osobowych z 29 sierpnia 1997 roku jest tak skomplikowana, że choć obowiązuje od ponad
dziesięciu lat, wciąż wzbudza w świecie
biznesu wiele wątpliwości. Warto już na
wstępie przypomnieć, że danymi osobowymi są wszelkie informacje dotyczące
człowieka zidentyfikowanego lub możliwego do zidentyfikowania, a przetwarzaniem danych są jakiekolwiek operacje wykonywane na nich (np. ich zbieranie czy
przechowywanie). Tak szeroki przedmiot
regulacji ustawy powoduje, że problematyka ochrony danych dotyczy w praktyce
każdego przedsiębiorcy. Wielu z nich jednak albo nie zdaje sobie z tego sprawy, albo
bagatelizuje tę kwestię. Tymczasem konsekwencje takiej postawy mogą być dla firmy
i jej zarządu bardzo bolesne. Warto zatem
poważniej potraktować wymóg efektywnej
ochrony danych osobowych.
Bartosz Marcinkowski
Radca prawny, partner kancelarii
Domański Zakrzewski Palinka.
Kieruje zespołem prawników
zajmujących się między innymi
problematyką ochrony danych
osobowych w przedsiębiorstwach.
Zespół obsługuje duże firmy
polskie i zagraniczne, które dziedzinę ochrony danych osobowych
Cztery filary ochrony danych
osobowych
postrzegają nie tylko jako obowiązujący standard prawny, ale także
Budowa stabilnej konstrukcji ochrony
danych osobowych opiera się na realizacji kilku niezależnych od siebie grup obowiązków, które nazywam filarami ochrony
danych osobowych. W uproszczeniu można je przedstawić w następujący sposób.
jako istotny czynnik budowania
przewagi konkurencyjnej na rynku.
34
Prawo w firmie 2008
Filar pierwszy – posiadanie prawnej podstawy przetwarzania danych. Taką podstawą jest zgoda na przetwarzanie danych
osoby, której te dane dotyczą. Przedsiębiorstwo może także przetwarzać dane
osobowe, jeśli jest to niezbędne do wypełnienia jego prawnie usprawiedliwionych
celów i jeśli nie są przy tym naruszane prawa osoby, której dane dotyczą, ani nie jest
zagrożona jej wolność. Zgodnie z ustawą
o ochronie danych osobowych, takim prawnie usprawiedliwionym celem jest zwłaszcza marketing bezpośredni własnych produktów lub usług administratora danych,
jak również dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Należy przy tym podkreślić, że ustawa nie
zawiera wyczerpującej listy sytuacji, w której dane mogą być legalnie wykorzystywane z uwagi na istnienie usprawiedliwionego celu – takich przypadków może być na
co dzień zdecydowanie więcej. Tym niemniej, w praktyce największe znaczenie
ma właśnie wyraźnie wspomniana przez
ustawodawcę działalność marketingowa
administratora danych.
Filar drugi – wypełnienie obowiązku informacyjnego. Obowiązek ten sprowadza
się do zadbania o to, by osoba, której dane dotyczą, była świadoma faktu zbierania
i wykorzystywania ich przez firmę. To pozwala jej na obronę swojej wolności, w tym –
na przeciwstawienie się niepożądanemu
przetwarzaniu danych.
Filar trzeci – należyte zabezpieczenie danych. Dane osobowe w firmie powinny być
zabezpieczone zgodnie z ustawą o ochronie danych osobowych oraz rozporządzeniem MSWiA z 29 kwietnia 2004 roku,
zawierającym szczegółowe określenie wymogów bezpieczeństwa danych.
Filar czwarty – zgłoszenie zbioru danych
do Generalnego Inspektora Ochrony Danych
Osobowych celem rejestracji.
W większości firm przestrzega się jedynie niektórych spośród tych czterech
fundamentalnych obowiązków, z pominięciem pozostałych. Jest to najczęstsze
źródło kłopotów przedsiębiorstw z ochroną danych osobowych. Bo choć nie w każdym przypadku konieczne są wszystkie
filary, zawsze należy dokładnie rozważyć,
czy nie ma takiej potrzeby. O ile filar drugi (dotyczący obowiązku informacyjnego)
oraz czwarty (rejestracja u GIODO) w niektórych sytuacjach – określonych ustawą
o ochronie danych osobowych – może zostać pominięty, o tyle filary pierwszy (czyli
podstawa przetwarzania danych) oraz trzeci (związany z bezpieczeństwem danych)
są wymagane w każdym przypadku. Warto pamiętać, że przedsiębiorca musi zawsze umieć wykazać, dlaczego konkretny
filar nie powstał (np. jaki przepis zwolnił
go z obowiązku rejestracji zbioru).
Skutki zaniedbań
W praktyce przedsiębiorcy często respektują konieczność istnienia jednego czy
dwóch spośród omawianych filarów. Konstrukcja taka, oczywiście, nie może być
stabilna i grozi katastrofą prawną, finansową oraz kłopotami w obszarze public relations. Generalny Inspektor Ochrony Danych Osobowych może bowiem nakazać
między innymi usunięcie w określonym
terminie stwierdzonych nieprawidłowości. A to oznacza zwykle konieczność poniesienia przez firmę kosztów, na przykład
na zakup nowego oprogramowania. GIODO
może też zakazać przetwarzania danych
osobowych (co w przypadku niektórych
branż oznacza de facto paraliż funkcjonowania przedsiębiorstwa; dotyczy to np.
firm zajmujących się marketingiem bezpośrednim czy reklamą) oraz skierować sprawę przeciwko członkom zarządu na drogę
karną. Na przykład za niedopełnienie rejestracji zbioru sąd może wymierzyć nawet
karę pozbawienia wolności do roku (przy
czym nie jest to najsurowsza z kar przewidzianych w ustawie o ochronie danych
osobowych). Należy jednak odnotować, że
sankcje karne z tytułu nieprzestrzegania
ustawy były wymierzane przez sądy rzadko i nie były nadmiernie dotkliwe dla osób
naruszających przepisy. Warto w tym miejscu jednocześnie dodać, że trwają prace
nad nowelizacją ustawy o ochronie danych
osobowych. Propozycje przewidują, że Generalny Inspektor będzie miał prawo nałożyć na firmę nieprzestrzegającą przepisów ustawy grzywnę do 100 tysięcy euro.
Zatem oprócz (a w praktyce: zamiast) ra-
i
czej teoretycznej dolegliwości karnej, już
wkrótce pojawić się może bardzo wymierna i, jak się wydaje, zdecydowanie mniej
teoretyczna dolegliwość finansowa (czyli
dotkliwa grzywna nakładana wprost przez
Generalnego Inspektora Ochrony Danych
Osobowych).
Wskazane jest zatem dokonywanie w firmach cyklicznych przeglądów, by sprawdzić, w jakim stopniu przyjęte rozwiązania
prawne, organizacyjne i informatyczne są
zgodne z ustawą o ochronie danych osobowych i czy pozwalają na efektywną ochronę
tych danych. Na taką diagnostykę nigdy nie
jest za późno, chyba że w przedsiębiorstwie
rozpoczęła się już kontrola GIODO. Nawet
jednak w takiej sytuacji zespół prawników
i informatyków, współpracujący z zarządem firmy, może przyczynić się do minimalizacji szkód i szybkiego przywrócenia
stanu zgodnego z prawem.
Bartosz Marcinkowski
Domański Zakrzewski Palinka
Kancelaria Domański Zakrzewski Palinka jest największą
kancelarią prawniczą w Polsce. Jej reputacja i marka to efekt
piętnastoletniego doświadczenia w kompleksowym doradztwie prawnym na rzecz podmiotów gospodarczych. Obecnie
zespół kancelarii liczy ponad 140 prawników, w tym 19 partnerów, w biurach w Warszawie, Poznaniu, Wrocławiu, Toruniu
i Łodzi. Kancelaria DZP zajmuje się bieżącą obsługą polskich
i międzynarodowych przedsiębiorstw, ale doradza również przy
skomplikowanych transakcjach. Dzięki wszechstronności, znajomości polskiego i międzynarodowego prawa oraz wysokim
standardom obsługi kancelaria DZP należy do grona czołowych firm prawniczych w Polsce. Od lat jest wysoko pozycjonowana w rankingach i rekomendowana przez międzynarodowe
publikacje specjalistyczne. Kancelaria już od kilku lat (w tym
także w 2007 roku) niezmiennie zajmuje pierwsze miejsce
w corocznym rankingu polskich kancelarii prawniczych, publikowanym przez dziennik Rzeczpospolita i Gazetę Prawną.
Case
35