Przedsiębiorca wykonujący jakiekolwiek operacje na danych osobowych zobowiązany jest do przestrzegania zasad zawartych w ustawie o ochronie danych osobowych, ale niejednokrotnie też w przepisach branżowych regulujących działalność podmiotów z poszczególnych sektorów. Warto przypomnieć, że do przetwarzania zalicza się takie czynności, jak np. zbieranie, utrwalanie, wykorzystywanie, przechowywanie czy nawet usuwanie danych osobowych. Z samej tylko liczby wpływających do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) skarg można wnioskować, że z przestrzeganiem reguł dotyczących przetwarzania danych osobowych niektórzy przedsiębiorcy mają problem.

Najczęstsze nieprawidłowości

Jednym z częstszych uchybień jest gromadzenie danych bez podstawy prawnej lub w szerszym niż to konieczne zakresie. Wiele naruszeń jest związanych z błędnym formułowaniem oświadczeń o wyrażeniu zgody na przetwarzanie danych osobowych. Administratorzy danych zapominają bowiem, że musi być ona wyraźna i wyrażona dobrowolnie. Do częstych uchybień w tym zakresie należy również łączenie w jednym oświadczeniu zgód na różne cele przetwarzania danych i na rzecz kilku podmiotów, co jest niezgodne z ustawą. Niekiedy umowy z klauzulami o wyrażeniu zgody są konstruowane w sposób niejasny i wprowadzający osobę, która ma ją zaakceptować, w błąd. Zdarza się też uzależnianie skorzystania z jakiejś usługi od pozyskania zgody na wykorzystywanie danych w celach marketingowych, co jest nieuprawnione, bo oznacza wymuszenie zgody.

Istnieją też problemy z właściwym zabezpieczeniem danych przed ich udostępnieniem osobom nieupoważnionym, uszkodzeniem czy zniszczeniem. Wiele podmiotów nie ma prawidłowo opracowanej dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń i kategorii danych objętych ochroną, tj. polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Kolejne z częstych uchybień to niewłaściwe dopełnianie obowiązku informacyjnego wobec osób, których dane dotyczą. Dotyczy to zarówno sytuacji, gdy ktoś pozyskał nasze dane bezpośrednio od nas, jak i przypadków, w których zdobył je pośrednio, np. od innych podmiotów czy osób. W pierwszym przypadku podać należy nazwę firmy, jej adres, cel i zakres przetwarzania danych, a także wskazać przysługujące nam prawa, tj. prawo dostępu do treści danych i możliwości ich poprawiania. Jeśli dane mają być przekazane innym podmiotom, należy je wskazać i na takie działanie uzyskać naszą zgodę. W drugim przypadku – oprócz tych informacji trzeba dodatkowo poinformować, skąd dane zostały pozyskane i zaznaczyć, jakie prawa przysługują osobie, której dane dotyczą, takie jak prawo sprzeciwu wobec wykorzystywania jej danych i prawo żądania zaprzestania ich przetwarzania (w określonych w ustawie sytuacjach).

Kolejne powszechne uchybienie to niezgłaszanie prowadzonych zbiorów danych osobowych do rejestracji Generalnemu Inspektorowi, mimo wieloletniego istnienia takiego obowiązku. Jednak od 1 stycznia 2015 r., gdy zmienione zostały przepisy dotyczące roli administratora bezpieczeństwa informacji (ABI), sytuacja w tym zakresie nieco się zmieniła. W przypadku bowiem powołania ABI, administrator danych nie musi już zgłaszać do rejestracji GIODO prowadzonych zbiorów, z wyjątkiem tych, które zawierają dane wrażliwe. Musi zaś zgłosić do rejestracji ABI-ego.

ABI gwarantem skutecznej ochrony danych

Wprawdzie powołanie ABI to uprawnienie, a nie obowiązek administratora danych, lecz biorąc pod uwagę rosnące znaczenia przetwarzania danych osobowych dla efektywnego prowadzenia działalności gospodarczej, warto rozważyć skorzystanie z tego prawa. Jeśli administrator danych zdecyduje się powołać ABI i zgłosić go do rejestracji u GIODO, będzie zwolniony z obowiązku rejestracji zbiorów danych osobowych zwykłych i zgłaszania ich aktualizacji u GIODO. Poza tym zyska fachowe wsparcie w procesie przetwarzania danych osobowych. Niemniej, niezależnie od powołania ABI, to administrator danych wciąż jest odpowiedzialny za właściwe, zgodne z prawem, zorganizowanie procesu przetwarzania danych osobowych.

Odpowiedzialność za naruszenia

Przedsiębiorcy muszą pamiętać, że za przetwarzanie danych osobowych niezgodnie z prawem ustawa o ochronie danych osobowych przewiduje zarówno odpowiedzialność administracyjną, jak i karną. O pierwszej z nich decyduje GIODO, o drugiej zaś – sąd. Obecnie GIODO nie ma bowiem uprawnień do karania osób odpowiedzialnych za niezgodne z ustawą przetwarzanie danych osobowych. Jest jedynie uprawniony do rozstrzygania sprawy w formie decyzji administracyjnej nakazującej przywrócenie stanu zgodnego z prawem. Co do pociągnięcia do odpowiedzialności karnej, to decyzję podejmuje sąd, biorąc pod uwagę przepisy karne ustawy o ochronie danych osobowych. Przykładowo zgodnie z jej art. 51, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 (ust. 1). Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku (ust. 2). Odpowiedzialności karnej podlega również niedopełnienie obowiązku odpowiedniego zabezpieczenia zbioru danych czy niezgłoszenie go do rejestracji GIODO, o ile przepisy ustawy nie przewidują wyłączenia z tego obowiązku.

Po unijnej reformie – kary finansowe

Jednak już wkrótce na firmy i instytucje, które nie będą przestrzegały zasad ochrony danych osobowych, GIODO będzie mógł nałożyć wysokie kary finansowe. Uprawnienie takie organ ds. ochrony danych osobowych zyska na mocy unijnego rozporządzenia dotyczącego ochrony danych osobowych, którego formalne uchwalenie przez Radę i Parlament Europejski ma nastąpić w pierwszej połowie 2016 r., a wejść w życie po upływie 2-letniego vacatio legis. Wskazuje ono, że kary mają być skuteczne, proporcjonalne i odstraszające, a ich przewidywana maksymalna wysokość to 20 000 000 euro, a w przypadku przedsiębiorstwa – nawet 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku, przy czym zastosowanie ma kwota wyższa. Podmioty dysponujące danymi muszą zdawać sobie sprawę, że nie wolno im lekko traktować takich informacji, handlować nimi ani udostępniać osobom nieupoważnionym, bo grozi za to określona kara. To powinno przyczynić się do zachowania większej dbałości o to, by dane były przetwarzane zgodnie z prawem.