Już od ośmiu lat 28 stycznia obchodzimy Dzień Ochrony Danych Osobowych
– To dobrze, że już od ponad 8 lat obchodzony jest Dzień Ochrony Danych Osobowych. Jest to szansa dla przedsiębiorców oraz dla dyrekcji jednostek organizacyjnych na bliższe poznanie kwestii związanych z ochroną danych – mówi Łukasz Cieniak Dyrektor Generalny RBDO.PL – Rejestracja i Bezpieczeństwo Danych Osobowych, kancelarii doradczej zajmującej się wdrożeniami z zakresu ochrony i przetwarzania danych osobowych. – Zagadnienia związane ochroną danych osobowych nie należądo najłatwiejszych. Na pierwszy rzut oka przepisy wynikające z ustawy o ochronie danych oraz rozporządzenia do art. 39a tejże ustawy mogą sprawić wiele kłopotów w interpretacji. Na kilka tysięcy odbiorców naszych usług związanych z wdrożeniem dokumentacji przetwarzania danych oraz rejestracją zbiorów w GIODO tylko kilka procent miało świadomość wszystkich obowiązków wynikających z przepisów – podkreśla Łukasz Cieniak.
Dzień Ochrony Danych Osobowych ma zwrócić uwagę wszystkich obywateli państw Europy na kwestie związane z ochroną danych i przyczynić się do podniesienia poziomu wiedzy w tym zakresie. W tym dniu w całej Europie odbywają się różnorodne spotkania, konferencje, warsztaty oraz inne imprezy towarzyszące, które są okazją do zdobycia wiedzy na temat ochrony danych osobowych, jak również umożliwiają wymianę poglądów między osobami zawodowo zajmującymi się ochroną danych. W tym roku Dzień Ochrony Danych Osobowych jest poświęcony zagadnieniom szczególnie z zakresu ochrony prywatności w świecie cyfrowym.
Kto podlega obowiązkom przetwarzania i ochrony danych osobowych?
– Niewiele osób wie, że każda firma, która zatrudnia choćby jednego pracownika czy też przetwarza dane osobowe klientów, podlega pod uregulowania ustawy o ochronie danych osobowych oraz rozporządzenia do art. 39a niniejszej ustawy, to samo dotyczy szkół, przedszkoli czy jednostek samorządowych. Jednak, tylko nieliczni zdają sobie sprawę z konsekwencji przetwarzania danych niezgodnie z prawem, np. poprzez przetwarzanie danych bez posiadana zgody na to działanie czy braku dokumentacji wewnętrznej przetwarzania danych osobowych – mówi Łukasz Cieniak z RBDO.PL.
Przepisy wskazują jednoznacznie, że każda firma czy jednostka organizacyjna zatrudniająca pracowników, posiadająca dane klientów, uczniów, osób stowarzyszonych, członków spółdzielni, fundacji i inne dane osobowe jest zobowiązana do przestrzegania przepisów wynikających z ustawy o ochronie danych osobowych. Zgodnie z art 36 ust. 2 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, każdy przedsiębiorca lub jednostka organizacyjna przetwarzająca dane osobowe ma obowiązek opracowania dokumentacji systemu zarządzania bezpieczeństwem danych osobowych – Polityki Bezpieczeństwa, Instrukcji Zarządzania Systemem Informatycznym, inne wykazy ewidencyjne, oświadczenia lub umowy powierzenia. Brak tych dokumentów to uchybienie.
Tymczasem kary wynikające z przepisów mogą być bardzo wysokie.
Jeśli GIODO stwierdzi, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych ma znamiona przestępstwa określonego w ustawie, Generalny Inspektor Danych Osobowych kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie (art. 19 ustawy).
Zgodnie z art. 121 ustawy o postępowaniu egzekucyjnym w administracji wysokość grzywny wynosi:
– dla osób prawnych do 50 000 zł za każde uchybienie, ale nie więcej niż 200 000 zł w jednym postępowaniu egzekucyjnym
– dla osób fizycznych do 10 000 zł za każde uchybienie, ale nie więcej niż 50 000 zł w jednym postępowaniu egzekucyjnym art. 12 ustawy o ochronie danych osobowych.
Uwaga na wzmożone kontrole GIODO oraz PIP w zakresie przetwarzania danych
Organy państwowe odpowiedzialne za nadzór nad ochroną danych osobowych działają coraz sprawniej. 14 grudnia 2012 roku zawarte zostało porozumienie pomiędzy Państwową Inspekcją Pracy a Biurem Generalnego Inspektora Ochrony Danych Osobowych w treści, którego określone zostały zasady współdziałania tych organów. Zgodnie z treścią porozumienia Państwowa Inspekcja Pracy (PIP) będzie zawiadamiać Generalnego Inspektora Ochrony Danych Osobowych (GIODO) o stwierdzonych w czasie prowadzonych przez PIP kontroli nieprawidłowościach w zakresie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Z kolei GIODO informować będzie PIP o stwierdzonych w czasie prowadzonych przez GIODO kontroli, naruszeniach przepisów prawa pracy. W przypadku dokonania zawiadomienia przez PIP, GIODO po przeprowadzeniu postępowania poinformuje PIP o wynikach przedmiotowego postępowania.
Kto ma obowiązek rejestracji zbioru do GIODO?
Działalność podlegająca obowiązkowi rejestracji, wykonywana bez zgłoszenia zbioru danych osobowych w GIODO podlega karze, jeśli doszło wcześniej do kontroli i wydania decyzji administracyjnej. W art. 53 ustawy znajdziemy zapis:Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Zbiory danych, które należy zgłosić do GIODO, to np. baza Klientów, bazy Newsletter, bazy konkursowe, rejestry korespondencji (szkół, firm, jednostek organizacyjnych – np. ok 1000 szkół zgłosiło rejestry korespondencji do GIODO) oraz wiele innych rodzajów zbiorów danych.
Jeżeli podmiot, który przetwarza dane osobowe, tworzy zbiory danych, których pomimo obowiązku nie zgłasza do rejestracji zbioru danych, zgodnie z treścią art. 53 ustawy o ochronie danych osobowych podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.