Ochrona danych osobowych RODO (dawne GIODO)
Czy wiesz że od maja 2018 r. prawie każda firma musi wprowadzić procedurę ochrony danych osobowych RODO (dawne GIODO) ?
Na chwilę obecną w wyniku uchylenia z dniem 1 stycznia 2012 r. art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej, który wyłączał dane osobowe zawarte w ewidencji działalności gospodarczej spod przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, ochronie przewidzianej w tej ustawie podlegają obecnie dane osób fizycznych bez względu na to czy osoby te prowadzą działalność gospodarczą, czy też nie. Administrator danych osób fizycznych prowadzących działalność gospodarczą zobowiązany jest więc do spełnienia obowiązków wynikających z przepisów ustawy o ochronie danych osobowych, w tym obowiązku zgłoszenia zbioru do rejestracji, określonego w art. 40 tej ustawy. Zgłoszenie zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych jest regułą, od której wyjątki zostały wymienione w art. 43 ust. 1 pkt 1 - 11 ustawy o ochronie danych osobowych. Wyjątki te nie mogą być interpretowane rozszerzająco.
Zgodnie z art. 43 ust.1 ustawy z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych (wyłączenia):
1) objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,
1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
2b) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
9) powszechnie dostępnych,
10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
Do tej pory sam fakt pozyskiwania danych przez przedsiębiorcę ze źródła publicznego, jawnego rejestru bądź innej publicznej bazy danych nie umożliwia administratorowi powołania się na przewidzianą w art. 43 ust. 1 pkt 9 ustawy przesłankę zwolnienia z obowiązku rejestracji. Takie zwolnienie możliwe jest w przypadku, gdyby wszystkie dane przetwarzane w danym zbiorze były powszechnie dostępne u danego administratora danych tj. upubliczniane przez tego administratora.
Bardzo często dochodziło do podważania legalności takich zbiorów. Nawet występowanie jednego przypadku negatywnego wymusza zgłoszenie zbiorów danych. Nie jest więc w tym względzie wystarczające, że dane i informacje o przedsiębiorcach udostępniane np. przez Centralną Ewidencję i Informację o Działalności Gospodarczej są jawne i każdy ma prawo dostępu do tych danych i informacji, jeżeli nie są powszechnie dostępne dane przetwarzane w prowadzonym przez administratora zbiorze.
W kwestii dopełnienia obowiązku zgłoszenia do rejestracji zbioru, w którym przetwarzane są dane osób fizycznych prowadzących działalność gospodarczą, możliwe są dwa warianty działania administratora danych:
- jeżeli dane osób fizycznych prowadzących działalność gospodarczą stanowią odrębny zbiór, a nie ma zastosowania żadna z przesłanek zwolnienia zbioru z obowiązku rejestracji określonych w art. 43 ust. 1 ustawy, administrator zgłasza ten zbiór do rejestracji GIODO,
- jeżeli dane te zostały włączone do zgłoszonego wcześniej zbioru wówczas możliwe są dwa warianty:
- włączenie tych danych powoduje, że w zbiorze zachodzą zmiany (np. zmienia się zakres przetwarzanych danych), administrator dokonuje wówczas aktualizacji zgłoszonego zbioru,
- po włączeniu tych danych nie zaszły żadne zmiany w zbiorze, w związku z czym nie powstaje obowiązek zgłoszeń.
Ważniejsze jest to jaki rodzaj danych w zbiorach przechowujemy i gromadzimy niż to jaki rodzaj działalności gospodarczej wykonujemy. Obowiązek zgłaszania zbiorów i wprowadzania polityki ochrony danych osobowych jest ściśle uzależniony od rodzaju przechowywanych danych. Art. 43 ust. 1 pkt 1 - 11 ustawy o ochronie danych osobowych precyzyjnie wskazuje wyjątki od zasady zgłaszania zbiorów.