Joanna Arendarska, Specjalista ds. prawnych w kancelarii prawnej TransLawyers Widuch i Wspólnicy sp. k. /fot. archiwum prywatne
Każdy administrator danych, czyli osoba decydująca o celach ich przetwarzania, jak właściciel firmy, pracodawca, jest zobowiązany do identyfikacji posiadanych zbiorów danych oraz zgłoszenia ich do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.
W rozumieniu ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (dalej: Ustawa) za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Najbardziej rozpoznawalnymi danymi osobowymi są informacje w postaci imienia, nazwiska, adresu zamieszkania, numeru telefonu pracownika, kontrahenta czy klienta. Nie zawsze rozpoznanie danych osobowych jest jednak takie łatwe. Sprawdź, czy wiesz, jakie dane osobowe przetwarzane są w Twojej firmie?
Dlaczego musisz zidentyfikować dane osobowe w swoim przedsiębiorstwie?
Każdy administrator danych, czyli osoba decydująca o celach ich przetwarzania, jak właściciel firmy, pracodawca, jest zobowiązany do identyfikacji posiadanych zbiorów danych oraz zgłoszenia ich do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (dalej: GIODO). Zgłoszone zbiory wymagają aktualizacji zarówno wtedy, gdy pojawi się w przedsiębiorstwie nowy zbiór danych, jak i w sytuacji, gdy w już zgłoszonym zbiorze zmienią się informacje. Dla przykładu, zmiana informacji może dotyczyć tego, jakie dane osoby fizycznej są przetwarzane oraz w jaki sposób są zbierane.
Zgodnie z Ustawą, niezgłoszenie do rejestracji zbioru danych podlega grzywnie, karze ograniczenia wolności, albo pozbawienia wolności do roku.
Zwolniony z obowiązku dokonania zgłoszenia zbiorów do GIODO jest ten administrator danych, który powołał w swoim przedsiębiorstwie specjalistę do ochrony danych osobowych, zwanego w Ustawie „administratorem bezpieczeństwa informacji”. W dalszym ciągu jednak administrator jest zobowiązany do prowadzenia własnego rejestru, a zwolnienie dotyczy wyłącznie jego zgłoszenia.
Jak rozpoznać dane osobowe?
Informacjami umożliwiającymi identyfikację osoby fizycznej mogą być numery identyfikacyjne, choćby PESEL czy seria i numer dowodu osobistego, albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Nie dla każdego te same informacje będą stanowić dane osobowe, dlatego przy ustalaniu zbiorów warto kierować się kilkoma wskazówkami.
- Dane osobowe nie dotyczą tylko jednej grupy osób, zatem w firmie będą to najczęściej informacje o pracownikach, klientach, kontrahentach, jak również
o dostawcach usług, gościach przebywających na terenie firmy, partnerach biznesowych. - Danymi osobowymi są wszystkie informacje umożliwiające identyfikację osoby, w tym dane z dokumentów tożsamości, informacje o stanie zdrowia, wyniki egzaminów psychologicznych, wizerunek, charakterystyczna barwa głosu, pseudonim artystyczny.
- Danymi osobowymi są zarówno informacje zawarte w dokumentach papierowych, jak i wprowadzone do systemów informatycznych. Sposób ich przetwarzania nie ma żadnego znaczenia.
- Danymi osobowymi, prócz najczęściej używanych, jak imię, nazwisko, adres e-mail, numer telefonu kontaktowego czy adres zamieszkania, są również informacje o lokalizacji danych osobowych przetwarzanych przez systemy, jak GPS czy popularny w branży transportowej tachograf oraz nagrania z kamer wideo przetwarzające wizerunek, a niekiedy i głos.
Artykuł opublikowany w Biuletynie Informacyjnym „Prawo Jazdy”, nr 1/20 (2016)