Dane osobowe to dziś cenny i bardzo poszukiwany towar. Każde przedsiębiorstwo lub inna jednostka organizacyjna zatrudniająca chociażby jednego pracownika lub posiadająca w jakiejkolwiek formie dane klienta (imię, nazwisko, adres, NIP, PESEL, adres mailowy, etc.), będącego osobą fizyczną, przetwarza dane osobowe w rozumieniu ustawy o ochronie danych osobowych.
Wszystkie podmioty, w różnych sytuacjach mogą posiadać dane osobowe, czy to swoich członków, podopiecznych, darczyńców, czy współpracowników, pracowników itp.
Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. ma na celu przede wszystkim chronić osoby fizyczne, których dane osobowe są lub mogą być przetwarzane przez różne podmioty, instytucje, organizacje, tj. sklepy internetowe, biura rachunkowe, hotele, spółdzielnie, urzędy, stowarzyszenia, placówki edukacyjne, itp.
Ustawa o ochronie danych osobowych oraz rozporządzenia o ochronie danych z 27 kwietnia 2016 roku szczegółowo określają zasady postępowania z tymi danymi, które posiada organizacja. Wskazuje warunki przetwarzania danych, czyli co musi zrobić organizacja, aby można było powiedzieć, że legalnie, zgodnie z prawem, przetwarza te dane, a także określa prawa osób, których dane posiada.
Ponadto w ustawie zostały określone kompetencje organu do spraw ochrony danych osobowych, czyli Generalnego Inspektora Ochrony Danych (tzw. GIODO). http://www.giodo.gov.pl/
Bardzo ważne jest, aby mieć świadomość, że posiadanie danych osobowych nakłada na zarządy, właścicieli firm szereg różnych obowiązków. Są to min.:
- obowiązek ochrony tych danych (zabezpieczenia ich przed dostępem do nich osób trzecich),
- obowiązek informacyjny wobec osób, których dane posiadamy (informowania, że mamy te dane i do jakich celów je wykorzystujemy),
- obowiązek przetwarzania posiadanych danych osobowych zgodnie z warunkami określonymi w ustawie oraz Instrukcji Zarzadzania Systemami Informatycznymi,
- obowiązek rejestracyjny (czyli zgłoszenia informacji o danych do rejestru prowadzonego przez GIODO),
oraz opracowania dokumentów:
- a. „Polityka bezpieczeństwa”;
- b. „Instrukcja zarządzania systemem informatycznym”.
- c. „Ewidencja i dokumentacja posiadanych zbiorów danych osobowych”
- d. „Ewidencja osób upoważnionych do przetwarzania danych osobowych”.
Od dnia 7 marca 2011 r. zgodnie ze znowelizowanym art. 12 pkt. 3 ustawy o ochronie danych osobowych, GIODO może nakładać na podmioty, które nie wykonują jego decyzji administracyjnych (np. decyzji nakazującej usunięcie wybranych naruszeń), grzywny w celu przymuszenia.
Grzywny egzekwowane są w trybie ustawy o postępowaniu egzekucyjnym w administracji. Zgodnie z art. 121 ustawy o postępowaniu egzekucyjnym w administracji, wysokość grzywny wynosi:
– dla osób prawnych do 50 000 zł za każde uchybienie, ale nie więcej niż 200 tys. w jednym postępowaniu egzekucyjnym,
– dla osób fizycznych do 10.000 zł za każde uchybienie, ale nie więcej niż 50 tys. zł w jednym postępowaniu egzekucyjnym.
Oprócz powyższych sankcji możliwych do nałożenia w trybie administracyjnym, przetwarzanie danych osobowych poza trybem określonym w ustawie jako przestępstwo jest zagrożone karą nawet do 2 lat pozbawienia wolności, zgodnie z art. 49 ust. 1.
Niestosowanie się do zapisów ustawy o ochronie danych osobowych grozi także odpowiedzialnością karną. Według z art. 53 ustawy, kto będąc do tego zobowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Jest to przestępstwo umyślne, formalne, ścigane z urzędu. Podmiotem obarczonym odpowiedzialnością jest w tym przypadku administrujący danymi osobowymi.
art. 54 ustawy o ochronie danych osobowych mówi, że kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Jest to przestępstwo umyślne, ścigane z urzędu. Podobnie jak przy art. 51 ustawy o ochronie danych osobowych, odpowiedzialnością jest obarczona jest osoba administrująca zbiorem danych, zachowują więc aktualność uwagi poczynione odnośnie podmiotu ponoszącego odpowiedzialność poczynione w odniesieniu do art. 51.