Obowiązująca w Polsce nowa ustawa o ochronie danych osobowych reprezentuje akty prawne, które bazują na przepisach unijnych. Zgodnie z tymi regulacjami przedsiębiorstwa gromadzące i przetwarzające tego rodzaju informacje zobowiązane są do ich skutecznego zabezpieczenia przed przejęciem ich przez nieuprawnione do tego podmioty. Nie ma znaczenia, w jakich okolicznościach dane osobowe są gromadzone ani w jakim formacie są przechowywane – zasady ich ochrony obowiązują zawsze. Dowiedz się, na czym polega takie zabezpieczenie, jaki jest jego zakres oraz ewentualna kara za naruszenie przez administratora obowiązujących reguł.
Czym są dane osobowe?
Rozporządzenie RODO wskazuje, że za dane osobowe należy uznawać wszystkie informacje odnoszące się do zidentyfikowanej osoby fizycznej lub takiej, co do której istnieje duże prawdopodobieństwo ustalenia jej tożsamości. Ten drugi przypadek występuje wtedy, gdy na podstawie numerów identyfikacyjnych lub pewnych cech fizycznych, ekonomicznych, kulturowych, umysłowych itp. można określić, kim jest konkretna osoba. Aktualna ustawa do danych osobowych zalicza m.in. NIP, PESEL, adres zamieszkania. Warto pamiętać, że pojedyncze informacje zwykle nie są danymi osobowymi w świetle obowiązującego prawa. Do identyfikacji osoby fizycznej potrzeba większej liczby personaliów.
Zgoda na przetwarzanie danych osobowych – kiedy jest wymagana?
Obowiązujące przepisy prawne wskazują, że przechowywanie, przetwarzanie i ponowne wykorzystywanie danych osobowych klientów przez podmioty publiczne jest możliwe tylko na podstawie udzielonej zgody. Dana osoba musi podpisać stosowny formularz albo zaznaczyć odpowiedź „tak” na jasno sformułowane pytanie zamieszczone w sieci. Najnowsza ustawa oraz rozporządzenie RODO wskazuje, że konsument przed podjęciem decyzji musi otrzymać następujące informacje:
- czas oraz cel przechowywania danych osobowych;
- wiadomości na temat przedsiębiorstwa lub organizacji prowadzącej zbiory danych oraz podmiotów, do których planuje się przekazanie tych informacji;
- powiadomienie o przysługujących prawach w zakresie nieograniczonego dostępu do danych osobowych, ich poprawy i usunięcia, wycofania zgody na przetwarzanie, a także wniesienia skargi.
Podawanie danych osobowych w wielu sytuacjach jest nieobowiązkowe, a klient ma prawo do odmowy. Wobec tych informacji stosuje się też określone zasady ochrony.
Okoliczności gromadzenia i przetwarzania danych osobowych
Gromadzenie i przetwarzanie danych osobowych może odbywać się w określonych okolicznościach, które wskazuje podstawa prawna takiego działania. Wśród nich należy wskazać na:
- zawarcie umowy między przedsiębiorstwem a klientem na dostawę towaru lub świadczenie usług drogą elektroniczną, w internecie;
- wykonywanie zadań leżących w interesie publicznym;
- żywotny interes danej osoby;
- uzasadnione przesłanki.
W pozostałych sytuacjach podmiot gromadzący zbiory danych osobowych zobowiązany jest do poproszenia klienta o wyrażenie zgody na przechowywanie i przetwarzanie tych informacji.
Kara za nieprzestrzeganie zasad RODO
Jeśli doszło do naruszenia danych osobowych, ich administrator zobowiązany jest do zgłoszenia tego faktu do krajowego organu ochrony danych. Taka informacja musi zostać również przekazana konsumentowi. Za nieprzestrzeganie obowiązujących zasad w zakresie zabezpieczania poufnych informacji przed wyciekiem podmiotowi zarządzającemu nimi grozi określona kara. Zwykle dotyczy to sytuacji, gdy na skutek przekroczenia obowiązującego w tym zakresie prawa doszło do poniesienia przez osobę fizyczną strat finansowych lub niematerialnych. W takim przypadku administrator może zostać pociągnięty przez sąd do odpowiedzialności karnej. Zazwyczaj po rozpatrzeniu sprawy nakłada się na niego obowiązek zapłacenia pokrzywdzonemu odszkodowania w określonej wysokości.