Dane osobowe

Aby rozważać kwestię tego, czym jest ochrona danych osobowych, koniecznym jest wyjaśnienie, czym w ogóle są dane osobowe. Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. W praktyce danymi osobowymi są nie tylko dane intuicyjnie kojarzone jako dane osobowe ( imię, nazwisko, adres), ale także inne dane. Danymi osobowymi może być na przykład adres IP czy adres e-mail. O tym, czym są dane osobowe pisaliśmy już dokładniej,  w jednym z artykułów który pojawił się na blogu.

Ochrona danych osobowych – jedno z podstawowych praw

Już w Karcie Praw Podstawowych Unii Europejskiej  z dnia 30 marca 2010 r. znajdziemy zapis świadczący o tym, że każdy ma prawo do ochrony danych osobowych, które go dotyczą. Wskazano tam również, że dane osobowe muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. W Karcie określono też, że każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania.

Regulacje ustawowe

Kwestie ochrony danych osobowych, w chwili obecnej reguluje ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r.  Jak widać ustawa ta, pochodzi sprzed dwudziestu lat i mimo dokonania kilku nowelizacji, nie jest do końca adekwatna do współczesnych realiów.  W kontekście obowiązującej ustawy najczęściej zwraca się uwagę, przede wszystkim na zmiany, jakie zaszły w otoczeniu w przeciągu ostatnich 20 lat, zwłaszcza w kontekście rozwoju nowych technologii. Jako przykład podaje się chociażby wymóg zawarcia na piśmie u mowy o powierzenie danych osobowych w czasach, kiedy wystarczające i dużo wygodniejsze byłoby zawarcie takiej umowy w formie elektronicznej. Zwłaszcza, jeżeli chodzi o umowy z firmami zapewniającymi systemy do e-mail marketingu.

Nowe przepisy  – RODO, nowa ustawa o ochronie danych osobowych

W związku z nadchodzącym wejściem w życie unijnego rozporządzenia o ochronie danych osobowych ( tzw.  RODO), bardzo ważnym jest, aby przygotować firmę na nowe przepisy. Zmienia się tak naprawdę całkiem sporo . Nie tylko znika obowiązek zgłoszenia zbioru danych osobowych do GIODO, ale znika również sam Generalny Inspektor Ochrony Danych osobowych, który zastąpiony zostanie przez Prezesa Urzędu Ochrony Danych osobowych. Więcej w tej materii pisaliśmy we wpisie dotyczącym projektu nowej ustawy o ochronie danych osobowych.

Zasady ochrony danych osobowych według RODO

W RODO ustalono zasady dotyczące przetwarzania danych osobowych. Przede wszystkim dane muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Istotny jest cel przetwarzania danych – dane mogą być bowiem zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach. Nie mogą być przetwarzane niezgodnie z tymi celami. Jeżeli więc zbieramy dane osobowe w celu wysyłania newslettera, to nie możemy tych danych wykorzystać do innego celu. Ważne jest, ażeby zbierane dane były adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, w których są przetwarzane . Jeżeli zatem zbieramy dane osobowe do celów przesyłania newslettera, to nie sposób uznać, aby adekwatne było na przykład zbieranie adresów zamieszkania osób zapisujących się.RODO stanowi również o tym, że należy podejmować wszelkie rozsądne działania, prowadzące do usunięcia i sprostowania danych nieprawidłowych w świetle celów przetwarzania, w myśl zasady, że dane osobowe powinny być prawidłowe i w razie potrzeby uaktualniane. Co do zasady dane nie powinny być przechowywane dłużej, niż jest to niezbędne do celów, w których są przetwarzane.Dane osobowe muszą być też przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych. Należy zatem zapewnić ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.Oczywiście warto pamiętać, że bardziej rygorystyczne wymagania RODO stawia przed przetwarzającymi tzw. dane wrażliwe.

Dlaczego ochrona danych osobowych jest ważna ? 

Z punktu widzenia osoby, której dane są przetwarzane

Kwestię tego, dlaczego ochrona danych osobowych jest ważna, możemy rozważać z dwóch punktów widzenia. Z punktu widzenia osoby, której dane mają być przetwarzane, zwracamy przede wszystkim uwagę na konieczność zapewnienia tym danym bezpieczeństwa. Wyciek danych osobowych może prowadzić do poważnych konsekwencji, na przykład w przypadku wycieku danych z banku czy sklepu internetowego, w którym robimy zakupy przy pomocy karty kredytowej. Czy w przypadku danych wrażliwych, na przykład dotyczących naszego stanu zdrowia. W takiej sytuacji w poważny i dotkliwy sposób może zostać naruszone nasze prawo do prywatności. Często mamy do czynienia również  z tzw. „spamem” , który przejawia się nie tylko niechcianymi wiadomościami na skrzynkę e-mailową, ale też telefonami z rozmaitymi propozycjami i ofertami handlowymi, od firm, którym danych nie udostępnialiśmy.

Z punktu widzenia przedsiębiorcy

Z punktu widzenia przedsiębiorcy, który dane osobowe przetwarza, warto pamiętać o konsekwencjach związanych z przetwarzaniem danych osobowych w sposób niezgodny z prawem. RODO przewiduje dotkliwe kary pieniężne w przypadku naruszenia przepisów o ochronie danych osobowych. Kara administracyjna za niektóre naruszenia może wynieść nawet do 20 000 000 EUR.W przypadku przedsiębiorstwa – może to być kara w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.Oprócz administracyjnych kar pieniężnych, przewiduje się również możliwość dochodzenia roszczeń na drodze cywilnoprawnej przez osobę, której prawo zostały naruszone na skutek  naruszenia przepisów o ochronie danych osobowych. Taka osoba będzie mogła domagać się nie tylko zaniechania naruszającego przepisy działania oraz usunięcia skutków naruszenia, ale również będzie mogła dochodzić np. odszkodowania na zasadach ogólnych. Nie można też tracić z pola widzenia odpowiedzialności karnej, jaką przewiduje nowy projekt ustawy o ochronie danych osobowych. Więcej na ten temat pisaliśmy w artykule dotyczącym projektowanych zmian w zakresie naruszenia przepisów o ochronie danych osobowych.