kliknij tutaj

Obowiązki spoczywające na pośrednikach
prowadzących działalność gospodarczą wynikające
z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Podstawowe zasady przetwarzania danych osobowych:
Ustawę stosuje się m.in. do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi,
jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych
____________________________________________________________________________________________________
Podstawowe definicje:
Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w
szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej
cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu
lub działań.
Art. 7. Ilekroć w ustawie jest mowa o:
1) zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych
według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
2) przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie,
utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w
systemach informatycznych,
5) zgodzie osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie
danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o
innej treści,
Komentarz:
1. Art. 6, ust 3 nie odnosi się wyłącznie do podmiotu przetwarzającego dane osobowe ale również do innych podmiotów
którym możemy zlecić określenie tożsamości osoby.
2. Numery IP są danymi osobowymi (wyrok II SA/Wa 1598/09 – Wyrok WSA) tak samo jak adresy e-mail.
3. Zapisanie nawet na kartce adresu, nazwiska czy telefonu jest już przetwarzaniem danych osobowych (art.7, ust.2).
4. Bardzo istotny jest art. 7, ust. 5, w którym mowa jest, że zgoda nie może być domniemana lub dorozumiana z
oświadczenia woli o innej treści. W praktyce oznacza to, że ujawniając swoje dane np. w ogłoszeniu prasowym nie
wyrażam automatycznie zgody na przetwarzanie ich przez jakikolwiek inny podmiot niż wydawca prasy.
Podstawowe zasady przetwarzania danych osobowych wynikają z art. 23-27 ustawy o ochronie
danych osobowych
Art. 23
1.
2.
3.
Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to
niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
5) jest to niezbędne dla wypełniania prawnie usprawiedliwionych celów realizowanych przez administratorów danych
albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia
się cel przetwarzania.
Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a spełnienie
warunku określonego w ust. 1 pkt 1 jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy
-1-
4.
uzyskanie zgody będzie możliwe.
Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności:
1) marketing bezpośredni własnych produktów lub usług administratora danych,
2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Art. 24
1.
2.
W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany
poinformować tę osobę o:
1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu
swojego zamieszkania oraz imieniu i nazwisku,
2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach
lub kategoriach odbiorców danych,
3) prawie dostępu do treści swoich danych oraz ich poprawiania,
4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Przepisu ust. 1 nie stosuje się, jeżeli:
1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania,
2) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.
Art. 25
1.
2.
W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany
poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:
1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu
swojego zamieszkania oraz imieniu i nazwisku,
2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
3) źródle danych,
4) prawie dostępu do treści swoich danych oraz ich poprawiania,
5) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.
Przepisu ust. 1 nie stosuje się, jeżeli:
1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą,
2) uchylony
3) dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii
publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań
określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania,
4) uchylony
5) dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów
prawa,
6) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.
Art. 26
1.
2.
Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób,
których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:
1) przetwarzane zgodnie z prawem,
2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi
celami, z zastrzeżeniem ust. 2,
3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do
osiągnięcia celu przetwarzania.
Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i
wolności osoby, której dane dotyczą, oraz następuje:
1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych,
2) z zachowaniem przepisów art. 23 i 25.
Art. 27
1.
2.
Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania
religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie
genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych,
a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli:
1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych,
2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i
stwarza pełne gwarancje ich ochrony,
3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej
osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu
ustanowienia opiekuna prawnego lub kuratora,
4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń,
fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych,
-2-
5)
6)
7)
8)
9)
10)
filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji
lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne
gwarancje ochrony przetwarzanych danych,
przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem,
przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia
pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie,
przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów
przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem
usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych,
przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą,
jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania
dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może
następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone,
przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia
wydanego w postępowaniu sądowym lub administracyjnym.
Komentarz:
1. Należy pamiętać o tym, że zgoda na przetwarzanie danych osobowych nie zastępuje obowiązku informacyjnego
wynikającego z art. 24 i 25 ustawy.
2. Zważywszy na fakt, że prawie wszyscy pośrednicy przetwarzają dane osobowe sensytywne (wrażliwe, szczególnie
chronione) wykorzystanie art. 23, ust. 1, pkt 3 jest niemożliwe ponieważ w art. 27 nie ma takiego zapisu i dlatego
stosujemy art. 23, ust. 1, pkt 1 oraz art. 27, ust 1, pkt 1.
3. Dzisiaj prym na rynku oprogramowania biurowego zaczynają wieść programy tzw. on-line-owe, instalowane na
zewnętrznych serwerach, do których mamy dostęp przez przeglądarkę internetową. W takiej sytuacji należy pamiętać, że
administrator powinien z dostawcą oprogramowania zawrzeć tzw. umowę powierzenia, o której mowa w art. 31. Takie
powierzenie przetwarzania danych osobowych nie wymaga uzyskania zgody osoby, której dane dotyczą (wyrok II SA/Wa
297/09)
Obowiązki administratora danych osobowych
Podstawowe obowiązki spoczywające na administratorach danych osobowych wynikają z art. 36-39
ustawy o ochronie danych osobowych oraz art. 40
Art. 40
Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z
wyjątkiem przypadków, o których mowa w art. 43 ust. 1.
Komentarz:
1. Należy przeanalizować jakie zbiory podlegają zgłoszeniu ponieważ dzielone są one ze względu na podstawę
przetwarzania i cele przetwarzania i może się okazać że należy zarejestrować kilka zbiorów.
2. Rejestrując zbiór danych osobowych gdzie przetwarzane są dane osobowe zwykłe można rozpocząć
przetwarzanie danych od momentu wysłania wniosku. W przypadku zbiorów gdzie przetwarzamy dane
sensytywne powinno się czekać na potwierdzenie rejestracji zbioru z GIODO.
3. Jeśli nawet jakiś zbiór nie podlega rejestracji (art.43, ust.1) to nie oznacza że administrator nie musi
stosować środków bezpieczeństwa określonych przepisami ustawy (dane pracownicze, dane do wystawiania
faktur, itd..)
4. art. 53 ustawy stanowi, że: „Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega
grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”
Art. 36
1.
2.
3.
Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę
przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności
powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę
nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w
ust. 1.
Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony,
o których mowa w ust. 1, chyba że sam wykonuje te czynności.
Art. 37
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora
danych.
-3-
Art. 38
Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru
wprowadzone oraz komu są przekazywane.
Art. 39
1.
2.
Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:
1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe
oraz sposoby ich zabezpieczenia.
Komentarz:
1. Szczegółowe warunki zabezpieczenia danych osobowych określone są w rozporządzeniu Ministra Spraw Wewnętrznych i
Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania
danych osobowych. Dobór tych środków uzależniony jest od przyjętego dla danego zbioru – poziomu bezpieczeństwa
danych w systemie informatycznym. W związku z tym, że nasze komputery mają dostęp do sieci publicznej zobowiązani
jesteśmy stosować środki bezpieczeństwa na poziomie „wysokim”.
2. Tutaj należy szczególnie pamiętać o tym, że administrator danych stosuje środki kryptograficznej ochrony (np. protokół
ssl) wobec danych wykorzystywanych do uwierzytelniania, które są przesyłane w sieci publicznej.
3. Środki organizacyjne i techniczne opisuje polityka bezpieczeństwa i instrukcja zarządzania i dokumentacja ta musi być
prowadzona w formie papierowej.
Polityka bezpieczeństwa (zawartość):
W szczególności powinna zawierać:
1.
2.
3.
4.
5.
wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane
osobowe;
wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
sposób przepływu danych pomiędzy poszczególnymi systemami;
określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i
rozliczalności przy przetwarzaniu danych.
Instrukcja zarządzania systemem informatycznym (zawartość):
W szczególności powinna zawierać:
1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie
informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich
przetwarzania,
5. sposób, miejsce i okres przechowywania:
a.
elektronicznych nośników informacji zawierających dane osobowe,
b.
kopii zapasowych, o których mowa w pkt. 4,
6. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt
1 załącznika do rozporządzenia,
7. sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia,
8. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania
danych.
Komentarz:
1. należy pamiętać, że musimy posiadać również rejestr pracowników wraz z zakresem obowiązków, oraz upoważnienia do
przetwarzania danych osobowych.
2. możliwe że będzie jeszcze konieczne stworzenie dodatkowych oświadczeń lub np. instrukcji postępowania w przypadku
naruszeniach ochrony zbioru, instrukcji postępowania w przypadku naprawy sprzętu komputerowego, itp. … (jeśli
informacje te nie są zawarte w instrukcji zarządzania).
Na zakończenia należy dodać, że warto jednak jeszcze zaznajomić się z różnego rodzaju decyzjami wydanymi przez GIODO,
ponieważ na ich podstawie można wyciągnąć dodatkowe i praktyczne wnioski.
-4-
Przykładowa i decyzja wydana przez GIODO w 2009 roku
Pozyskanie danych osobowych potencjalnego klienta Spółki za pośrednictwem infolinii nie jest jednak
działaniem niezbędnym do podjęcia działań przed zawarciem umowy pośrednictwa w obrocie
nieruchomościami. Ten etap kontaktu z potencjalnym klientem nie zawsze skutkuje podpisaniem ww. umowy.
Przesłanką legalizującą przetwarzanie przez XXX. danych osobowych klientów pozyskanych za pośrednictwem
infolinii, powinna być zgoda osoby, której dane dotyczą (art. 23 ust. 1 pkt 1 ustawy o ochronie danych
osobowych).
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z
późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 23 ust. 1 pkt 1, art. 24 ust. 1, art. 36 ust. 1 i 2, art. 38 i art. 41 ust. 2
ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz częścią A pkt IV ust. 2,
częścią B pkt VIII i częścią C pkt XIII załącznika do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w
sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), po przeprowadzeniu
postępowania administracyjnego w sprawie przetwarzania danych osobowych przez XXX.,
I. Nakazuję XXX jako administratorowi danych, usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez:
1.
Przetwarzanie danych osobowych pozyskanych przez XXX za pośrednictwem infolinii, na podstawie zgody wyrażonej przez osoby, których
dane dotyczą, w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna.
2. Dopełnienie wobec osób, których dane osobowe XXX pozyskał za pośrednictwem infolinii, obowiązku informacyjnego wskazanego w art.
24 ust. 1 ustawy o ochronie danych osobowych, w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna.
3. Zabezpieczenie za pomocą środków kryptograficznej ochrony teletransmisji danych osobowych przesyłanych przez klientów XXX do
systemu informatycznego o nazwie CRM, za pośrednictwem formularzy znajdujących się na stronie internetowej o adresie w terminie
miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna.
4. Zabezpieczenie za pomocą środków kryptograficznej ochrony teletransmisji danych osobowych przesyłanych pomiędzy serwerem
systemu informatycznego o nazwie „Faktury XXX” a Biurami Sprzedaży XXX. w terminie miesiąca od dnia, w którym niniejsza decyzja
stanie się ostateczna.
5. Uzupełnienie polityki bezpieczeństwa o zgodne ze stanem faktycznym następujące elementy: wykaz budynków, pomieszczeń lub części
pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; wykaz zbiorów danych osobowych wraz ze wskazaniem
programów zastosowanych do przetwarzania tych danych, w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna.
6. Uwzględnienie w polityce bezpieczeństwa informacji dotyczących systemów informatycznych o nazwach: „Faktury XXX.”, „Symfonia”,
„Navision” oraz „TRX”, w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna.
7. Zapewnienie kontroli nad tym, jakie dokumenty zawierające dane osobowe są przekazywane między Biurem Sprzedaży Spółki a zakładem
głównym Spółki w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna.
8. Dokonanie aktualizacji zgłoszenia zbioru danych osobowych o nazwie „XXX” (zgłoszenie nr R YYY/ZZZ), w zakresie zmienionej firmy
administratora danych, w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna.
9. Zapewnienie, aby hasła służące uwierzytelnianiu dostępu użytkowników do systemów informatycznych o nazwach: „TRX”, „Faktury XXX.”
oraz „CRM”, były zmieniane nie rzadziej niż co 30 dni, w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna.
10. Zapewnienie, aby hasła służące uwierzytelnianiu dostępu użytkownikom do systemów informatycznych o nazwach: „Faktury XXX.” oraz
„CRM” składały się co najmniej z 8 znaków, w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna.
11. Zastosowanie środków kryptograficznej ochrony wobec danych, które są przesyłane w sieci publicznej, wykorzystywanych do
uwierzytelnienia w systemie informatycznym o nazwie „Faktury XXX.”, w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się
ostateczna.
Uwagi:
1. Należy mieć na względzie, że w powyższym przypadku była podstawa prawna do przetwarzania danych osobowych i
sprawa zakończyła się „tylko” taką oto decyzją GIODO.
2. W przypadku gdyby nie było podstawy prawnej GIODO najczęściej kieruje zawiadomienie do prokuratury
3. Jeśli ustawa zostanie znowelizowana i zostaną dodane do niej „kary pieniężne” tak jak to miało miejsce w ustawie o
przeciwdziałaniu praniu pieniędzy to GIODO w drodze decyzji administracyjnej będzie mógł nakładać również
(dodatkowo) kary pieniężne. Projektowane kary pieniężne mogą zostać nałożone w wysokości od 1 000 do 100 000 euro.
Niezależnie od tych kar GIODO może nałożyć na kierownika kontrolowanej jednostki organizacyjnej lub osobę działającą z
jego upoważnienia, którzy uniemożliwiają lub utrudniają przeprowadzenie czynności kontrolnych, karę pieniężną w
wysokości do 300 % ich miesięcznego wynagrodzenia. Ponadto, w przypadku niedostarczenia informacji niezbędnych do
określenia podstawy wymiaru kary pieniężnej lub gdy dostarczone informacje uniemożliwiają ustalenie tej podstawy
GIODO może ustalić podstawę wymiaru kary w sposób szacunkowy, nie mniejszą jednak niż równowartość 10 000 euro,
a w przypadku kierownika kontrolowanej jednostki organizacyjnej lub osoby działającej z jego upoważnienia - może
nałożyć karę w wysokości do 100 000 zł. Wszystko wskazuje na to, iż nowelizacja ustawy o ochronie danych osobowych
wprowadzająca kary pieniężne może zostać uchwalona w niedługim czasie.
Opracował na potrzeby PFRN Leszek A. Hardek
czerwiec 2010 roku
-5-