Skopiuj link
Co już jest daną osobową…?
Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest natomiast taka, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających m.in. jej cechy fizyczne, fizjologiczne, umysłowe jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ustawy).
GIODO wyjaśnia, iż „poza zakresem przedmiotowej definicji znajdzie się zatem taka informacja, na podstawie której identyfikacja osoby wymagać będzie nieracjonalnych, nieproporcjonalnie dużych nakładów kosztów, czasu lub działań. (…) danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy i numer domu czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić daną osobową wówczas, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji można odnieść do konkretnej osoby”.
Wśród danych osobowych szczególną ochroną objęte są tzw. dane sensytywne uregulowane w art. 27 ustawy.
Od kiedy przetwarzam dane osobowe?
Definicja przetwarzania została ujęta w art. 7 pkt 2) ustawy o ochronie danych osobowych. To jakiekolwiek operacje wykonywane na danych osobowych takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
NSA uznał, iż „(…) Pierwszą czynnością na danych osobowych, do której zastosowanie ma omawiana ustawa jest zbieranie danych. W ustawie nie zdefiniowano tego pojęcia (…) "zbieranie" to pozyskanie, wejście w posiadanie danych osobowych, czyli uzyskanie faktycznego władztwa nad danymi przez inny podmiot niż osoba, której dane dotyczą. Pojęciem tym w żaden sposób nie można obejmować samego żądania udostępnienia danych osobowych. "Żądanie" danych osobowych jest bowiem czynnością faktyczną, która poprzedza zbieranie danych osobowych. Nie stanowi ono jeszcze przetwarzania danych osobowych, a tym samym nie jest to czynność objęta działaniem ustawy o ochronie danych osobowych.” (wyrok z 28.06.2011r., I OSK 1264/10)
Jakie mogę ponieść konsekwencje z tytułu naruszenia ustawy?
W świetle aktualnie obowiązujących przepisów odpowiedzialność związana z naruszeniem przepisów o ochronie danych osobowych może odbywać się na dwóch płaszczyznach: karnej (art. 49 – art. 54 ustawy) oraz / lub cywilnej (według procedury cywilnej).
Pierwszy rodzaj odpowiedzialności wskazany w samej ustawie wiąże się z grzywną, karą ograniczenia wolności albo pozbawienia wolności uzależnionymi od rodzaju popełnionego czynu.
Ewentualna odpowiedzialność odszkodowawcza wynika z katalogu dóbr osobistych ujętego w art. 23 kodeksu cywilnego. W przypadku wystąpienia szkody z tytułu naruszenia tych dóbr (lub co najmniej jednego) – w granicach wskazanych w art. 361 kodeksu cywilnego (zakres odszkodowania).
Pamiętaj!
Przestrzeganie przepisów o ochronie danych osobowych uchroni Cię przed odpowiedzialnością karną wynikającą z ustawy o ochronie danych osobowych, ale także przed odpowiedzialnością odszkodowawczą, która może być dochodzona na drodze postępowania cywilnego.
Niezależnie od powyższego, będziesz przygotowany do ewentualnej kontroli inspektorów GIODO.
