Co można, a czego nie można robić z imieniem i nazwiskiem klienta

Większość przedsiębiorców, czy sobie z tego zdają sprawę, czy nie, na co dzień przetwarza dane osobowe. Prowadzą spisy klientów, gromadzą faktury i akta osobowe. Dlatego każda firma, już przy pierwszym kontakcie z informacjami pozwalającymi na identyfikację osoby fizycznej, powinna:

- ustalić, czy ma do czynienia z danymi osobowymi,

- rozważyć, czy dana sytuacja upoważnia go do ich pobierania i czy jest w stanie wykazać to uprawnienie,

- uświadomić sobie konsekwencje ich pobierania i swą rolę w ich przetwarzaniu.

Czym w ogóle są dane osobowe? Odpowiedź nie zawsze jest prosta.Art. 6 ustawy o ochronie danych osobowych definiuje je jako wszelkie informacje, za pomocą których można bez większego trudu zidentyfikować osobę fizyczną, nawet jeśli nie jest ona wyraźnie wskazana >patrz ramka.

Nie będą danymi osobowymi określenia: „Adam, szatyn, finansista”, ponieważ nie wskazują konkretnej osoby. Ale gdy dodamy: „30 lat, zatrudniony w oddziale X spółki Y w Gdańsku na II piętrze” – będą to już dane osobowe, gdyż najpewniej w miejscu tym pracuje tylko jedna taka osoba. Może to więc być każda informacja, nawet tylko naprowadzająca – zależnie od sytuacji i okoliczności.

Imię i nazwisko, adres, PESEL, numer telefonu, e-mail łącznie z nazwiskiem lub inną informacją pozwalającą na identyfikację – to dane określane jako zwykłe.

Informacje ze sfery prywatności lub intymności, dotyczące np. pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej, związkowej (lub jej braku), stanu zdrowia, kodu genetycznego, nałogów, życia seksualnego, karalności – to dane szczególnie chronione.

Uwaga!

Nie podlegają ochronie dane osoby fizycznej prowadzącej działalność gospodarczą, ściśle z tą działalnością związane.

Błędne jest rozumowanie: „ja nie przetwarzam danych osobowych, bo ich nie zmieniam. Ja je tylko przechowuję”. Otóż nie. Przetwarza dane także ten, kto je przechowuje w szafie, do której nikt nie zagląda. Ustawa wyraźnie mówi: przetwarzaniem są wszelkie operacje na danych wykonywane na papierze i w systemach informatycznych: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie.

Ustawa wymienia przesłanki, które muszą być spełnione, aby można było przetwarzać dane. Oto te, na które szczególną uwagę powinien zwrócić przedsiębiorca:

- osoba, której dane dotyczą, wyraża na to zgodę. Musi to być odrębne, konkretne oświadczenie, a jeśli są to dane szczególnie chronione, koniecznie na piśmie,

- przetwarzanie danych jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Tak dzieje się np. w sytuacji osób ubiegających się o zatrudnienie i pracowników,

- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie tej osoby. Czyli wtedy, gdy np. biuro turystyczne przekazuje dane uczestnika wycieczki hotelom lub przewoźnikom, firma wysyłkowa udostępnia dane firmie kurierskiej, a także w trakcie procedur prowadzących do zawarcia umowy – przetargów, konkursów, umów przedwstępnych,

- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów, takich jak np. marketing bezpośredni własnych produktów lub usług – ale tylko własnych, nie cudzych – oraz dochodzenie roszczeń z tytułu prowadzenia działalności gospodarczej.

Uwaga!

Dane osobowe można zbierać tylko wtedy, gdy jest to niezbędne w określonym celu – a więc nie na zapas, na wszelki wypadek.

Każda jednostka, która decyduje o celach i środkach przetwarzania danych, staje się automatycznie administratorem danych. Do jego zadań należy m.in. powoływanie administratora bezpieczeństwa informacji oraz udzielanie upoważnień do przetwarzania danych.

Administrator i osoby, którym powierzono przetwarzanie danych, muszą je zabezpieczyć przed dostępem osób nieuprawnionych, przejęciem ich, uszkodzeniem, zniszczeniem, zmianą, przetwarzaniem. Jak to zrobić? Np. poprzez umieszczenie w zamykanym lub chronionym pomieszczeniu, zainstalowanie systemów alarmowych, kart chipowych, zabezpieczenie komputerów hasłami, zastosowanie identyfikatorów, zasilania awaryjnego itp. Ważne, aby zabezpieczenia te były skuteczne. Trzeba prowadzić dokumentację zarówno sposobu przetwarzania danych, jak i środków zabezpieczających.

Zasady zabezpieczania danych określa odpowiednie rozporządzenie (patrz: ramka). Administrator musi poinformować osobę o celu i zakresie danych, które na jej temat gromadzi, powiadomić ją o prawie dostępu do tych materiałów i ich poprawiania oraz o prawie do odmowy podania danych lub obowiązku – jeśli taki istnieje.

Prawo nie chroni danych „luzem”, np. rozrzuconych kartek z notatkami lub sterty przychodzącej korespondencji

Ochronie podlegają dane w zbiorach – kartotekach, skorowidzach, księgach, wykazach, ewidencjach posiadających strukturę i umożliwiających dostęp według określonych kryteriów. Wystarczy jedno kryterium, np. nazwisko lub numer referencyjny. Zbiorem jest więc alfabetyczny wykaz nazwisk z adresami, ale także – usystematyzowany zbiór nagrań, wypowiedzi, zdjęć. Nie ma znaczenia: scentralizowany, rozproszony czy podzielony funkcjonalnie w postaci np. wykazów tematycznych w różnych miejscach – szufladach czy przegródkach, a nawet działach firmy. Istotne jest to, czy są sporządzone według tego samego kryterium, a każdą informację można łatwo znaleźć bez przeglądania całości. Nie ma znaczenia liczebność zbioru – zbiorem jest zarówno archiwum tysięcy zdjęć, jak i kartoteka z kilkunastoma fiszkami.

Uwaga!

Nieuporządkowane dane w systemie informatycznym, jeśli możliwe jest łatwe ich uporządkowanie i nadanie im struktury – są zbiorem. Ochronie podlegają dane, jeśli tylko mogą znaleźć się w zbiorze – bez względu na to, czy ostatecznie się w nim znalazły.

Zbiór danych należy zgłosić w formie papierowej lub drogą elektroniczną do rejestracji w ogólnokrajowym jawnym rejestrze zbiorów osobowych prowadzonym przez generalnego inspektora ochrony danych osobowych. Trzeba to zrobić przed rozpoczęciem przetwarzania danych, gdy zaczyna powstawać zbiór.

Obowiązuje formularz z rozporządzenia ministra spraw wewnętrznych i administracji - patrz ramka.

Nie wszystkie zbiory podlegają rejestracji. Wyjątki wymienia art. 43 ust. 1 ustawy. Te, które mogą dotyczyć przedsiębiorców, to przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej (np. listy wynagrodzeń pracowników, zbiory rachunków i faktur VAT), powszechnie dostępne (np. dane z książek telefonicznych), przetwarzane w zakresie drobnych bieżących spraw życia codziennego (np. lista pracujących w tym samym budynku, którzy mogą do niego wchodzić itp.).

Jeżeli chodzi o przetwarzanie danych osób reprezentujących firmy, z którymi przedsiębiorstwo lub organizacja utrzymują kontakty (np. dostawcy, kooperanci), to zbiory ich danych nie podlegają rejestracji w związku z zasadą jawności obrotu gospodarczego.

Ochrona danych osobowych wywodzi się wprost z Konstytucji RP i zagwarantowanych w niej wolności i praw osobistych (art. 47: „Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym”, art. 51 pkt 1: „Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby”, oraz pkt 2: „Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym”).

Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa o ochronie danych osobowych z 29 sierpnia 1997 r. (tekst jednolity DzU z 2002 r. nr 101, poz. 926 ze zm.).

Zasady gromadzenia i zabezpieczania danych określa rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU z 2004 r. nr 100, poz. 1024).