Zasady zbierania danych osobowych

Waldemarus/bigstockphoto.com

Dane osobowe, zgodnie z definicją zawartą w ustawie o ochronie danych osobowych, to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Zbieranie i przetwarzanie danych jest objęte specjalnymi procedurami.

Właściciel firmy lub inna osoba, która zarządza danymi osobowymi, od 1 stycznia 2015 r. odpowiada za ich zabezpieczenie, właściwe utrwalenie, przechowywanie, zabezpieczenie i udostępnianie. Administrator bezpieczeństwa informacji (ABI) może być również funkcją tymczasową. Jego obowiązkiem jest dopełnienie po kolei odpowiednich procedur:

1. Sprawdzenie, czy ma prawo do utrwalenia i wprowadzenia do zbioru danych osobowych.
2. Odpowiednia kwalifikacja i weryfikacja prawidłowości zapisu.
3. Właściwe oznaczenie danych osobowych w zbiorze i ich zapis ze względu na przesłanki podmiotowe, czasu i zakresu, w jakim mogą one być przetwarzane.
4. Zabezpieczenie treści.
5. Zabezpieczenie dostępu do nich (niezależnie od tego, w sposób są zabezpieczone czy przechowywane).
6. Archiwizowanie ich w zakresie dopuszczonym przez prawo, by osoby niepowołane mieć do niego dostępu, ani z nich korzystać.

Ich przetwarzanie powinno być zgodne z prawem i chodzi tu nie tylko o wyżej wspomnianą ustawę, ale w ogóle o wszystkie obowiązujące normy prawne.  Zbieranie danych powinno się odbywać dla jasno oznaczonych celów:

• powinno być ono oznaczone w formie pisemnej, co może potem ułatwić ocenę, czy ten warunek był przestrzegany;
• wszelkie niejasności, jeśli chodzi o cel, jego zakres itd., należy interpretować na korzyść osoby, której dane są zbierane (czyli na niekorzyść administratora), powinna więc ona mieć możliwość decydowania, jeśli jej dane są wykorzystane niezgodnie z założonym celem.

Jeśli gromadzenie danych związane jest z konkretną relacją miedzy osobą, która udostępnia swoje dane, a administratorem, to w przypadku jej wygaśnięcia należy je usunąć. Dzieje się tak w przypadku zaprzestania dokonywania transakcji z daną osobą lub ustania stosunku zatrudnienia. Można jednak utrzymać część informacji, które mogą być konieczne dla obrony interesów administratora danych, jeśli dana osoba wysunie w stosunku do niego jakieś roszczenia.

Niezwykle istotne jest zabezpieczenie danych. Powinny tu być zastosowane środki techniczne i organizacyjne zapewniające ich ochronę. Chodzi tu przede wszystkim o zabezpieczenie ich przed udostępnianiem osobom nieupoważnionym, nieuprawnionym, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Zgodnie z art.36 ustawy powinna być również prowadzona dokumentacja, która opisuje sposób przetwarzania danych oraz ww. środki. Osoby, które są upoważnione do zbierania i przetwarzania danych, są zobowiązane przechowywać w tajemnicy zarówno dane, jak i sposoby ich zabezpieczania.

Jeśli administrator danych naruszy przepisy o ochronie danych osobowych, musi liczyć się z odpowiedzialnością administracyjną przez GIODO, jak i karną – zgodnie z przepisami karnymi ustawy o ochronie danych osobowych (art.49-54a).