Polskie ustawodawstwo przyznaje Generalnemu Inspektorowi Ochrony Danych Osobowych kompetencje w przedmiocie prowadzenia kontroli. Z uwagi na obszerność regulacji, w niniejszym artykule zawarliśmy informacje dotyczące zakresu prowadzonej kontroli.
Kto powinien uważać na GIODO?
Ustawa o ochronie danych osobowych wskazuje, że do zadań Generalnego Inspektora Ochrony Danych Osobowych (GIODO) należy w szczególności „kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych”.
Celem kontroli jest ustalenie stanu faktycznego w zakresie przestrzegania przez przedsiębiorcę przepisów o ochronie danych osobowych oraz jego ocena. Rzecz jasna kontrola ma również na celu udokumentowanie dokonanych w jej toku ustaleń. Kontroli poddawane są zarówno podmioty sektora publicznego, jak i podmioty prywatne, które zostały wskazane w ustawie jako podmioty zobowiązane do ochrony danych osobowych. W praktyce więc, niemalże każdy przedsiębiorca (zwłaszcza mający styczność z konsumentem), powinien liczyć się z możliwością odwiedzin GIODO. Podmioty takie są administratorami danych osobowych w rozumieniu ustawy.
Omawiana kontrola może odnosić się zarówno do osób fizycznych, prawnych jak i innych jednostek organizacyjnych. Jedynym kryterium świadczącym o ryzyku przeprowadzenia kontroli jest więc przetwarzanie przez kontrolującego danych w związku z działalnością zarobkową, zawodową lub statutową. Jeżeli natomiast chodzi o kryterium terytorialne, kontroli GIODO podlegać mogą podmioty mające siedzibę albo miejsce zamieszkania na terytorium RP, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się w Polsce. Ryzyko kontroli powinni więc w swojej działalności uwzględniać nawet przedsiębiorcy prowadzący jednoosobową działalność gospodarczą.
Pojęcie przetwarzania danych osobowych
Każdorazowo kontrola GIODO dotyczy prawidłowości przetwarzania danych w odniesieniu do przepisów Ustawy. Rzecz jasna sam termin „przetwarzania danych” jest bardzo pojemny. Pod tym pojęciem należy rozumieć każdą, dowolną operację wykonywaną na danych osobowych. W szczególności, za przetwarzanie danych osobowych należy pojmować operacje na danych, które wykonuje się w systemach informatycznych. Z całą pewnością możemy uznać, że przetwarzaniem danych osobowych jest:
- zbieranie danych;
- utrwalanie danych (np. w arkuszu Excel, czy w programach księgowych);
- przechowywanie (w formie akt papierowych, na dyskach twardych itd.);
- opracowywanie i zmienianie (kalkulacja statystyk, szeregowanie i filtrowanie);
- udostępnianie i usuwanie (przekazanie innym podmiotom, wykreślanie z list).
Legalność przechowywania danych
GIODO weryfikuje prawidłowość przetwarzania danych osobowych pod wieloma różnymi względami.
W pierwszej kolejności wymienić należy legalność przetwarzania danych osobowych. Do obowiązków kontrolowanego podmiotu należy bowiem wskazanie jednej z przesłanek legalności przetwarzania danych osobowych wskazanych w ustawie. Do takich przesłanek zaliczyć należy w szczególności zgodę osoby, której te dane dotyczą. Jeżeli tak jest, osoba kontrolująca może zażądać na przykład przedłożenia stosownego pisemnego oświadczenia zainteresowanej osoby. Pozostałe przesłanki legalności to między innymi konieczność przetwarzania danych w związku z realizacją prawnego obowiązku czy realizacji umowy. Kontrolowany powinien również w szczególny sposób uzasadnić proces przetwarzania tzw. wrażliwych danych osobowych, tj. takich, które ujawniają np. pochodzenie rasowe lub etniczne, poglądy polityczne czy też odnoszą się do stanu zdrowia, nałogów nałogach czy skazań. Należy pamiętać, że co do zasady przetwarzanie takich danych jest legalne jedynie wyjątkowo.
Bezpieczeństwo danych
Niezwykle ważna jest również kwestia dostatecznego zabezpieczenia danych osobowych. Kontrolujący może więc dążyć do ustalenia tego czy administrator danych osobowych zastosował właściwe środki techniczne i organizacyjne, konieczne do zapewnienia właściwej ochrony danych. Właściwe zabezpieczenie danych kontroluje się na wiele różnych sposobów. Przede wszystkim kontrolujący weryfikuje to jakie osoby zajmują się przetwarzaniem danych, a więc ustala przede wszystkim, czy zajmują się tym upoważnione osoby. Sprawdza się ponadto czy osoby upoważnione zachowują w tajemnicy dane i sposób ich zabezpieczenia oraz mechanizmy kontroli wewnętrznej nad wprowadzaniem i udostępnianiem danych. Przedsiębiorca (administrator danych osobowych) jest zobowiązany do prowadzenia ewidencji osób upoważnionych do przetwarzania danych. Ta okoliczność również podlega badaniu w toku kontroli.
Po przeprowadzeniu weryfikacji osobowej, konieczne jest również zbadanie czy występują zagrożenia związane z samym systemem przetwarzania danych. Zagrożenia takie mogą mieć charakter zarówno fizyczny jak i informatyczny.
Podstawowe zabezpieczenia fizyczne polegają na odpowiednim odizolowaniu pomieszczeń i obiektów w których prowadzone jest przetwarzanie danych. Inspektor GIODO bada więc czy pomieszczenia podlegają nadzorowi pracowników ochrony, monitoringowi itd. Równolegle sprawdzeniu podlegają drzwi, zamki, okna i inne wejścia do obiektów. Powinny one być wyposażone w odpowiednie zabezpieczenia i atestowane. Zabezpieczenia informatyczne, choć trudniejsze do kontroli, również podlegają obszernej weryfikacji.
Wszelkie stosowane formy zabezpieczenia powinny być ujęte w dokumencie określanym jako „polityka bezpieczeństwa”. Inspektorzy w toku kontroli weryfikują zgodność zastanych zabezpieczeń z treścią polityki odnotowując uchybienia i niedociągnięcia.
Pozostałe kwestie, którymi kontrolujący może się interesować
Przedmiotem kontroli może być rzecz jasna również zakres i cel przetwarzania danych osobowych. Wskazanie przez podmiot kontrolowany zakresu danych oraz celu ich przetwarzania może wyglądać w sposób następujący:
Dane niewrażliwe: imię, nazwisko, adres zamieszkania, PESEL,
Dane wrażliwe: stan zdrowia, nałogi
Cel: marketingowy
Kontroli GIODO podlegać może również sama merytoryczna poprawność przechowywanych danych. Wykazanie ich poprawności przez podmiot kontrolowany polegać może w szczególności na przekazaniu kontrolującemu stosownych dokumentów, które potwierdzają np. poprawność pisowni imion i nazwisk.
Pozostałe okoliczności istotne dla kontrolujących w zakresie przetwarzania danych osobowych to:
- realizacja przez przedsiębiorcę ciążących na nim obowiązków informacyjnych – sposób wypełnienia tego obowiązku różni się w zależności od tego, czy dane osobowe są zbierane od osoby, której one dotyczą, czy też od innej osoby;
- ważnym elementem kontroli jest również realizacja obowiązku dotyczącego zgłaszania zbiorów danych osobowych do rejestracji – obowiązek ten nie odnosi się do wszystkich zbiorów danych, a wyjątki od zasady ich zgłaszania są wskazane w ustawie;
- w odniesieniu do pewnych przedsiębiorców, zakres kontroli GIODO może również obejmować kwestie prawidłowości powierzania przetwarzania danych osobowych innym podmiotom, jak również przekazywania danych za granicę.
Podsumowanie
Ochrona danych osobowych, choć często bagatelizowana, jest niezwykle ważnym elementem prowadzenia działalności gospodarczej. Dzięki objaśnieniu zakresu kontroli, w kolejnym artykule dotyczącym kontroli prowadzonej przez GIODO będziemy mogli zapoznać się ze szczegółowymi procedurami, określającymi zakresy praw i obowiązków kontrolującego i kontrolowanego.
Już teraz zwracam jednak uwagę, że pewne regulacje dotyczące ochrony danych osobowych ulegną niebawem zmianie. Rząd pracuje obecnie nad projektem nowelizacji funkcjonujących przepisów – o czym informowaliśmy w artykule Co oznacza dla Pracodawców projekt ustawy o ochronie danych osobowych?. Trudno jednak obecnie ocenić kiedy projekt ustawy zostanie skierowany do prac w Parlamencie.