Aktualności

 

Dane osobowe? czym są i jak je właściwie chronić?

PESEL, NIP, imię i nazwisko, numer i seria dowodu osobistego? to przykłady danych osobowych, czyli takich, które pozwalają nas zidentyfikować, określić naszą tożsamość. Jakie inne dane zaliczamy do danych osobowych, czym są dane wrażliwe, kto i po co przetwarza nasze dane i wreszcie dlaczego należy je chronić? informacje na ten temat porządkuje niniejszy artykuł.

 

Dane osobowe – co to takiego?

Obowiązującym aktem prawnym, który wyjaśnia znaczenie podstawowych pojęć z zakresu danych osobowych jest Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Precyzuje ona, iż dane osobowe dzielimy na dane zwykłe i dane wrażliwe. Do pierwszej grupy zaliczamy wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, czyli na przykład numery identyfikacyjne (PESEL), numery służbowe (Policja), imię i nazwisko, jak również specyficzne czynniki określające jej cechy fizyczne (wygląd zewnętrzny, wzór siatkówki oka), fizjologiczne (struktura kodu genetycznego, grupa krwi), umysłowe, ekonomiczne (status majątkowy), kulturowe lub społeczne. Natomiast dane wrażliwe to dane, które określają nasze pochodzenie rasowe, etniczne, poglądy polityczne, religijne, filozoficzne, wyznanie, przynależność partyjną lub związkową, preferencje seksualne. Zaliczamy do nich także informacje wskazujące na nasz stan zdrowia, ewentualne nałogi, czy orzeczenia o ukaraniu i mandatach karnych. Innymi słowy danymi osobowymi będą takie dane, które pozwalają na określenie tożsamości konkretnej osoby. Istotne jest jednak to, by pamiętać, że danymi osobowymi są również takie dane, które same nie pozwalają na natychmiastową identyfikację osoby, ale są? przy odpowiednim nakładzie kosztów, czasu i działań, i w zestawieniu z innymi informacjami, wystarczające do ustalenia jej tożsamości. Warto posłużyć się przykładem dla zobrazowania tej zasady. Znamy adres osoby, tzn. ulicę i numer bloku, w którym mieszka. Te informacje jednak nie wystarczą, by ją zidentyfikować, gdyż w tym samym budynku mieszka kilkadziesiąt innych osób. Jeśli jednak do tych danych dodamy nazwisko, będziemy mogli jednoznacznie wskazać, o kogo chodzi.

 

Przetwarzanie danych osobowych.

Kartoteki, księgi, ewidencje, akta, systemy informatyczne, skoroszyty, bazy? ich tworzenie prowadzi w prostej linii do tego, że przechowujemy, ale często też przetwarzamy dane osobowe. Czy wolno nam to robić? Tak, ale pod pewnymi warunkami. Wyjątkiem w tym kontekście są dane wrażliwe? ich przetwarzanie jest zasadniczo zabronione. Istnieją wyjątki od tej reguły, sytuacje szczególne, ale wiążą się one ze skomplikowanymi procedurami postępowania, nałożonymi na osoby odpowiedzialne za takie działania. Jeśli natomiast chodzi o przetwarzanie danych zwykłych, większość zbiorów musi być zgłoszona do Generalnego Inspektora Danych Osobowych (GIODO). Wyjątkiem są zbiory zwolnione na podstawie art. 43 Ustawy o ochronie danych osobowych. Nasuwa się pytanie: kto jest odpowiedzialny za zgłoszenie takiego zbioru danych do GIODO? Ten obowiązek spoczywa na ABI? Administratorze Bezpieczeństwa Informacji? oczywiście jeśli został wyznaczony przez Administratora Danych Osobowych. Jeśli natomiast nie ma osoby, pełniącej tę funkcję, powinien to zrobić Administrator Danych Osobowych, czyli np. właściciel firmy, dyrektor przedsiębiorstwa lub inna osoba zarządzająca podmiotem. By było to klarowne znów posłużymy się przykładem. Pan Kowalski jest właścicielem firmy produkującej i sprzedającej meble. Otrzymując zlecenie na wykonanie jakiegoś mebla czy dowiezienie gotowego produktu do klienta, musi przyjąć od niego podstawowe dane jak: imię, nazwisko, adres dostawy, ewentualnie adres i nazwę firmy, którą klient reprezentuje, a która chce zamówić meble. By wystawić fakturę za usługę, potrzebuje numeru NIP. Po zakończeniu transakcji przechowuje dane klienta w formie elektronicznej lub tradycyjnej? papierowej, choćby w celach rozliczeniowych. Dlatego też Pan Kowalski, jako właściciel firmy, by właściwie wywiązywać się ze swoich obowiązków i by należycie chronić dane swoich klientów, musi wprowadzić procedury ochrony danych osobowych na podstawie Rozporządzenia MSWiA z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Jeśli tego nie zrobi, naraża się na możliwość otrzymania pokaźnej kary, która może być następstwem kontroli przeprowadzonej przez GIODO w jego przedsiębiorstwie.

 

Jak i dlaczego należy chronić dane osobowe?

Dane osobowe przetwarzamy każdego dnia. Bez względu na to, czym się zajmujemy, mamy z nimi do czynienia i tym samym jesteśmy za nie odpowiedzialni. Nauczyciel ma dostęp do danych osobowych swoich uczniów, rejestrator medyczny do danych osobowych pacjentów, urzędnik do danych osobowych petentów itd. Jeśli więc doszłoby do wycieku danych osobowych osoby lub grupy osób, będziemy pociągnięci do odpowiedzialności. Ktoś mógłby pomyśleć? ale przecież nie jestem ABI w mojej firmie czy instytucji, nie jestem też właścicielem podmiotu czy prezesem firmy, w związku z tym nie ponoszę bezpośredniej odpowiedzialności. Nic bardziej mylnego. Wprawdzie na każdym administratorze danych osobowych ciąży obowiązek stosowania środków technicznych i organizacyjnych, zapewniających ochronę danych osobowych, w szczególności przed nieuprawnionym udostępnieniem, zabraniem przez osobę nieuprawnioną, przetwarzanie z naruszeniem przepisów ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem, ale pracownicy posiadający upoważnienie do przetwarzania danych osobowych, nadane przez administratora, są zobowiązane do zachowania tych danych w tajemnicy oraz odpowiedniego ich zabezpieczenia. Z drugiej strony to ochrona dla osób, których dane są przetwarzane – każdej osobie, której dane są przetwarzane, zgodnie z art. 32 ust. 1 Ustawy o ochronie danych osobowych, przysługuje m.in. prawo do uzyskania wyczerpujących informacji nt. zbioru, w którym przechowuje się jej dane, uzyskania informacji o celu, zakresie i sposobie przetwarzania danych, jak również o źródle, z którego pochodzą, a także żądania uzupełnienia, uaktualnienia, sprostowania lub wstrzymania (czasowego lub stałego) przetwarzania danych, jeśli są one niekompletne, nieaktualne, nieprawdziwe, zebrane z naruszeniem ustawy albo są już zbędne. Warto zatem posiadać nie tylko podstawowe informacje na temat danych osobowych i ich przetwarzania, ale także wiedzieć, jakie są nasze prawa i obowiązki jako osób, które te dane zbierają, utrwalają, przechowują, opracowują, zmieniają, udostępniają, usuwają czy wreszcie po prostu przekazują.

Aktualności 27 Kwiecień, 2017

Tagi: , ,