Modal title
Zgodnie z art. 6 ust. 1 ustawy o ochronie danych osobowych, za dane osobowe uważa się: "wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej". Sformułowanie to oznacza, iż za dane osobowe uważa się w szczególności dane osobowe pracowników – co znajduje oparcie w art. 22[1]§5 kodeksu pracy stanowiącym wprost, że do danych pracowników zatrudnianych przez pracodawcę „stosuje się przepisy o ochronie danych osobowych”.
Dnia 7.listopada 2014 do podpisu Prezydenta została przekazana ustawa o ułatwieniu wykonywania działalności gospodarczej, która weszła w życie od dnia 1.stycznia 2015 roku. W art. 9 tej ustawy znajdują się przepisy nowelizujące ustawę o ochronie danych osobowych. Na nowe przepisy można patrzeć z dwóch stron - w zależności od przyjętego wariantu postępowania dla konkretnego podmiotu, może to być albo zniesienie obowiązku zgłaszania zbioru do GIODO, albo zniesienie obowiązku wyznaczenia ABI.
Co zmiany oznaczają w praktyce?
Warto podkreślić, że zgłoszenie ABI do rejestru administratorów bezpieczeństwa informacji prowadzonego od 1.stycznia 2015 roku przez GIODO, oznacza brak konieczności rejestracji zbiorów do GIODO (chyba, że przetwarzane są tzw. dane wrażliwe, czyli dane, o których mowa w art. 27 ustawy o ochronie danych osobowych).
Obowiązkiem, jaki przede wszystkim musi spełnić podmiot przetwarzający dane osobowe (Administrator Danych Osobowych), jest legitymowanie się odpowiednią podstawą prawną, uzasadniającą sam fakt przetwarzania przez ten podmiot określonych danych osobowych. Podstawową i najczęściej funkcjonującą podstawą jest prawidłowo uzyskana zgoda na przetwarzanie danych konkretnej osoby przez konkretny podmiot, w określonym celu (lub celach) – zgodnie z art. 23 ust. 1 pkt 1 oraz art. 7 pkt 5 ustawy o ochronie danych osobowych. Należy przy tym pamiętać, iż zgodnie z drugim z wymienionych przepisów, „zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści”. Podkreślenia wymaga również fakt, iż zgoda może być odwołana w każdym czasie.
To, czy w danym przypadku konieczne będzie uzyskanie zgody osoby, której dane są przetwarzane, zależy od dwóch głównych czynników – po pierwsze od tego, jakie dane będą przetwarzane, a po drugie – w jakim celu.
Rozdział 6 ustawy o ochronie danych osobowych, w art. 40-46a, odnosi się do obowiązku rejestracji zbiorów danych osobowych. Oprócz formalnych wymagań, związanych ze zgłoszeniem zbioru do rejestracji, istotne postanowienia zawiera art. 43 ust. 1 pkt 1-11, gdzie zawarto katalog wyłączeń spod obowiązku zgłoszenia zbioru danych osobowych do rejestracji. Na uwagę z praktycznego punktu widzenia zasługuje art. 43 ust.1 pkt 4, na podstawie którego zbiór danych osobowych osób zatrudnionych jest wyłączony spod obowiązku zgłoszenia do rejestracji.
art. 121 ustawy o postępowaniu egzekucyjnym w administracji
§ 1. Grzywna w celu przymuszenia może być nakładana kilkakrotnie w tej samej lub wyższej kwocie, z zastrzeżeniem § 4 § 2. Z zastrzeżeniem § 5 każdorazowo nałożona grzywna nie może przekraczać kwoty 10 000 zł, a w stosunku do osób prawnych i jednostek organizacyjnych nie posiadających osobowości prawnej kwoty 50 000 zł.
Zgodnie z art. 49 ust. 1 ustawy o ochronie danych osobowych, kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Charakterystyczne dla tego typu podmiotów jest to, że przetwarzają one dane osób zrzeszonych u nich – co w związku z brzmieniem art. 43 ust. 1 pkt 4 wiąże się ze zwolnieniem zbiorów obejmujących te dane z obowiązku zgłoszenia do GIODO. Jednak w przypadku, gdy poza osobami zatrudnionymi lub zrzeszonymi przetwarzane są inne dane osobowe np. najemców niebędących członkami spółdzielni lub beneficjentów/darczyńców, zachodził będzie obowiązek zgłoszenia zbiorów do GIODO - chyba że dane (od 1.stycznia 2015 roku) przetwarzane są wyłącznie w formie papierowej lub przetwarzanie następuje wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, ewentualnie jeżeli zajdą inne okoliczności określone w art. 43 ust. 1 ustawy o ochronie danych osobowych.
Ustawa o ochronie danych osobowych (tekst jednolity z dnia 28 czerwca 2016 r.)
Rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,
jakim powinny odpowiadać urządzenia i systemy informatyczne służąe do przetwarzania danych osobowych