Aktualności

Kategorie tematyczne

EventyPrawo spółekPodatkiPrawo gospodarczePrawo pracyPrawo cywilne

ZMIANY W ZASADACH PRZETWARZANIA DANYCH OSOBOWYCH cz. 2. z 3. Wewnętrzne procedury, obowiązek informacyjny, odpowiedzialność cywilna

Jak wcześniej wspomniano, nowelizacja przepisów dotyczących ochrony danych osobowych wprowadza wiele zmian w tej materii. Zainteresowanych odsyłamy do pierwszego artykułu, w którym zdefiniowano podstawowe pojęcia oraz przedstawiono podstawowe podmioty zajmujące się ochroną danych – również te na szczeblu państwowym.

 

 

1. Odformalizowanie wewnętrznych procedur

 

W poprzednim stanie prawnym, każdy podmiot przetwarzający dane osobowe powinien opracować wewnętrzną dokumentację, składającą się z polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym do przetwarzania danych osobowych. Szczegółowe zasady i warunki są określone w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. Przedmiotowy akt prawny zawierał zbiór obowiązkowych elementów i warunków, które dokumentacja powinna zawierać, co niestety było nadmiernie sformalizowane. Prowadziło to do tego, że najczęściej przedsiębiorcy dysponowali wzorami, które nie były dopasowane do realiów prowadzonej działalności gospodarczej, a jedynie sztucznymi dokumentami, niefunkcjonującymi w praktyce.

 

Po wejściu w życie nowelizacji, procedury wewnętrzne przedsiębiorstw zostały odformalizowane, gdyż wspomniane rozporządzenie utraciło swoją moc. Oznacza to, że przedsiębiorcy nie są zobowiązani do opracowywania sztywnej dokumentacji przetwarzania danych osobowych. Nowa ustawa nakłada jednak obowiązek zachowania należytej staranności podczas przetwarzania danych osobowych. Tym samym, przedsiębiorca powinien przetwarzać dane osobowe zgodnie z przepisami, w sposób uniemożliwiający dostęp do nich przez osoby nieuprawnione, zaś inicjatywa w zakresie ustalenia wewnętrznych reguł została pozostawiona samym przedsiębiorcom. W związku z tym, w przypadku kontroli dokumentacja sporządzona według potrzeb może okazać się pomocna, by wykazać, że został zachowany wymagany poziom ostrożności, jednak jej opracowanie nie jest wymagane przez przepisy.

 

W przypadku mniejszych przedsiębiorstw, warto wskazać na kilka zasad dotyczących przetwarzania danych osobowych, które powinny zostać zachowane:

a) zbieranie danych powinno zostać poprzedzone przekazaniem informacji o celu przetwarzania (szerzej w pkt: 2)

b) przekazanie danych osobowych na rzecz innych podmiotów powinno być poprzedzone uzyskaniem zgody osoby, której dane dotyczą,

c) dane powinny zostać usunięte, jeżeli ustał cel, dla którego zostały zgromadzone – np. śmierć klienta indywidualnego,

d) dane powinny zostać udostępnione tylko niezbędnym osobom – np. podczas rekrutacji jedynie potencjalnemu przełożonemu lub innej osobie odpowiedzialnej za nawiązywanie stosunku pracy, a nie np. szeregowemu pracownikowi,

e) dane powinny być wykorzystywane tylko w zakresie i dla celu, dla którego zostały zebrane,

f) należy uniemożliwić dostęp do danych osobowych przez osoby nieuprawnione, np. poprzez:

- używanie haseł w komputerach,

- wylosowywanie się z komputera po zakończonej pracy,

- niezostawianie dokumentów na drukarkach, w kuchni itp.,

- niezostawianie laptopa poza miejscem pracy bez nadzoru, np. w samochodzie podczas tankowania samochodu,

- szyfrowanie danych na pendrive’ach

- wysyłanie maili tylko na potwierdzone adresy,

g) dane powinny być udostępnione organom administracji, bankom, sądom, organom ścigania itp. jedynie na wyraźne pisemne żądanie ze wskazaniem podstawy prawnej, wraz z podaniem zakresu żądanych danych. Sama zaś odpowiedź powinna zostać udzielona na piśmie, a nie np. mailowo.

 

Oczywiście podane powyżej zasady mają jedynie przykładowy charakter. Generalnie zmiany ustawy dążą do tego, by od podmiotów zawodowo zajmujących się przetwarzaniem danych osobowych – np. telesprzedażą – wymagać dalej posuniętych i sformalizowanych środków ostrożności.

 

Kolejnym przykładem na odformalizowanie procedur jest uchylenie obowiązku zgłaszania zbiorów danych osobowych do GIODO. W poprzednim porządku prawnym każdy podmiot, który przetwarzał dane osobowe, powinien złożyć do GIODO odpowiedni wniosek na formularzu, w którym zgłaszał zbiór danych, tj. zestaw danych osobowych posiadający strukturę, np. zbiór danych klientów sklepu internetowego. Po uchwaleniu nowelizacji przetwarzanie danych opiera się nie na zbiorach danych, a na tzw. procesach – np. proces rekrutacyjny. Większe przedsiębiorstwa powinny ustanawiać odrębne procedury dla odmiennych procesów, jednak obecnie nie ma obowiązku ich zgłaszania od organów państwowych.

 

 

2. Nowy obowiązek informacyjny

 

Już pod rządami poprzedniej ustawy przed rozpoczęciem zbierania danych osobowych wymagane było poinformowanie osoby m.in. o tym, kto i w jakim celu dokonywał przetwarzania danych osobowych. Potocznie przekazanie takich danych jest nazywane obowiązkiem informacyjnym.

 

Nowe przepisy znacząco poszerzają ten obowiązek. Zgodnie z art. 13 RODO, administrator danych podczas pozyskiwania danych osobowych powinien podać osobie, której te dane dotyczą informacje takie jak:

- swoje dane identyfikacyjne i dane kontaktowe,

- cel przetwarzania danych,

- podstawę prawną przetwarzania (zaleca się odesłanie do konkretnego punktu art. 6 RODO),

- okres, przez które dane będą przetwarzane lub kryteria ustalania tego okresu (przykładowo: dla klientów indywidualnych powinien być to okres przedawnienia roszczeń, które mogą być przeciwko nim zgłoszone),

- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

- informacje o prawie wniesienia skargi do organu nadzorczego (obecnie – GIODO, po nowelizacji – PUODO),

- informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

 

Podane powyżej wyliczenie jest niepełne, jednak jest wystarczające w większości typowych sytuacji. Pełen zakres wymaganych danych został zawarty w powołanym powyżej art. 13 RODO.

Warto również wskazać przykładowe sytuacje, w których powstaje obowiązek informacyjny:

- proces rekrutacyjny potencjalnych pracowników – klauzula powinna zostać umieszczona w ogłoszeniu o pracę,

- zawarcie umowy o pracę z nowym pracownikiem – klauzula powinna stanowić część umowy,

- zawarcie umowy zlecenia z klientem indywidualnym - klauzula powinna stanowić część umowy.

 

Ponadto zaleca się, by z momentem wejścia w życie nowej ustawy wystosować do pracowników i klientów indywidualnych odpowiednie zawiadomienie. RODO nie wprowadza zachowania obowiązku zachowania formy pisemnej, zatem wystarczy wysłanie wiadomości e-mail.

 

 

3. Odpowiedzialność cywilna

 

Odpowiedzialność cywilna na gruncie nowych przepisów została uregulowana w dwojaki sposób.

 

Po pierwsze, zgodnie z art. 78 ustawy nowelizującej, każda osoba, której prawo do ochrony danych osobowych zostało naruszone, może domagać się przed właściwym sądem okręgowym, by naruszyciel zaniechał swojego działania oraz usunął jego skutki. Oznacza to, że jest to roszczenie o charakterze niemajątkowym, a ma jedynie na celu wymuszenie pożądanego zachowania. Nowelizacja przewiduje jednocześnie, że nie ogranicza możliwości dochodzenia swoich praw na podstawie innych przepisów.

 

Po drugie, RODO wprowadza dalej idące konsekwencje naruszenia ochrony danych osobowych. Każdy, kto poniósł szkodę majątkową lub niemajątkową z tytułu naruszenia przepisów rozporządzenia, może na podstawie art. 82 RODO żądać odszkodowania od administratora danych lub innego podmiotu przetwarzającego stosowne odszkodowanie. Tym samym, przepis ten otwiera drogę dla powództw cywilnych o zapłatę za naruszenie prawa do ochrony danych osobowych.

 

Na marginesie należy wskazać, że odpowiedzialność z tego tytułu jest niezależna od możliwości nałożenia kar finansowych przez Prezesa Urzędu Ochrony Danych Osobowych (szerzej o tym organie w pierwszym artykule).

 

Bartosz Szrama, aplikant radcowski

Łódź, dnia 21 maja 2018 roku

Podstawa prawna:

  1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2016.922),
  2. Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
  3. Projekt ustawy zmieniającej ustawę o ochronie danych osobowych z dnia 12 września 2017 r.
  4. Projekt ustawy wprowadzającej ustawę o ochronie danych osobowych z dnia 12 września 2017 r.

Materiał filmowy