Obowiązek ochrony i zgłoszenia zbioru ma moc egzekucyjną nawet wtedy, gdy baza firmy uwzględnia dane tylko jednego klienta. Czy zatem każdy przedsiębiorca powinien zgłosić w GIODO zbiór danych jakim jest jego program księgowy?
Ustawa o ochronie danych osobowych w artykule 43 precyzyjnie definiuje zakres przetwarzania, który jest wyłączony z obowiązku zgłoszenia. Zatem zgłoszeniu nie podlegają między innymi:
- dane dotyczące zatrudnienia,
- przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości
- powszechnie dostępne
W przypadku danych identyfikujących firmę, z ochrony wyłączone są informacje dostępne w ewidencji działalności gospodarczej przedsiębiorcy. W sytuacji, kiedy zbiór zawiera informacje dotyczące osoby fizycznej nieprowadzącej działalności gospodarczej, zabezpieczenia wymagają wszystkie dostępne w tym rekordzie dane, dla przykładu będzie to imię i nazwisko, adres czy NIP a w szczególności PESEL.
Wszystkie dane dotyczące przedsiębiorcy, wykraczające poza zbiór jawny, w tym prywatny numer kontaktowy czy adres różniący się od tego, pod którym figuruje działalność, podlegają już regulacjom ustawy – ochronie i w zależności od celu przetwarzania – być może również zgłoszeniu. W szczególności, jeśli celem przetwarzania jest marketing bezpośredni własnych produktów lub usług administratora danych – zbiór podlega ochronie i zgłoszeniu do GIODO.
Zgłoszeniu nie podlegają zbiory danych osobowych, jeśli czynność przetwarzania ma charakter jednorazowy, konieczny do realizacji umowy, lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.
Kluczowe jest zatem jasne określenie celu przetwarzania danych osobowych, a także rozstrzygnięcie czy osoba, której dane dotyczą, powinna wyrazić pisemną zgodę na przetwarzanie czy też nie.
Nie wolno również zapomnieć o tym, że administrator danych osobowych obowiązany jest poinformować osobę, której dane dotyczą, o adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku.
Od stycznia 2013 roku, na mocy porozumienia GIODO i Państwowej Inspekcji Pracy, ta druga podczas kontroli zbada również kwestie, związane z art.22.1 Kodeksu Pracy, który mówi np. w jakim zakresie pracodawca może przetwarzać dane pracownika lub kandydata do pracy. O stwierdzonych nieprawidłowościach natychmiast zawiadomi GIODO. Zasada ta ma działać w obie strony.
Co grozi za nieprawidłowe przetwarzanie danych osobowych?
Brak podstawy prawnej do przetwarzania danych, niewłaściwe zabezpieczenie zasobów, niezarejestrowanie zbioru czy wreszcie niedopełnienie obowiązku informacyjnego – to wszystko wykroczenia zagrożone odpowiedzialnością karną regulowaną artykułami ustawy. Możemy zostać ukarani gżryną w wysokości 50 000 PLN - w najsurowszych przypadkach nawet 200 tysięcy.
Wykrycie niezgodności w zakresie przetwarzania danych osobowych, mogą skutkować wydaniem decyzji o zakazie przetwarzania danych osobowych. Co to oznacza w praktyce? Blokadę wszelkich operacji dokonywanych na zbiorach danych, włącznie z utrwalaniem, przechowywaniem czy udostępnianiem ze szczególnym uwzględnieniem działań wykonywanych w systemach informatycznych.
Jakie może to oznaczać konsekwencje?
Dla znakomitej większości firm stanowi to krytyczne utrudnienie w prowadzeniu dalszej działalności. W przypadku biznesu e-commerce, który całą swoją komunikację z klientem i transakcje realizuje w środowisku sieciowym, w najlepszym układzie stanowi to zamrożenie aktywności na określony czas z konsekwencją trudnych do oszacowania strat finansowych.
Czy jesteśmy w takim razie bezradni?
W czasach wszechobecnego outsourcingu, również w Polsce, pomału tworzy się rynek specjalistycznych usług doradczych i coraz łatwiej jest znaleźć firmy świadczące usługi audytu. Warto wybrać partnera sprawdzonego, posiadającego dobre referencje - w końcu w jego ręce składamy przyszłość naszego biznesu.