Pomimo wielu publikacji związanych z ochroną danych osobowych, wciąż spotykamy wiele startupów, których właściciele nie zdają sobie sprawy z istnienia obowiązków w tym zakresie, bądź bagatelizują znaczenie legalności przetwarzania danych swoich klientów i użytkowników. Czy wiesz, jakie informacje stanowią dane osobowe Twoich klientów? Czy operacje dokonywane na danych stanowią ich przetwarzanie w rozumieniu ustawy? Ile zbiorów danych powinien zarejestrować Twój startup? Warto znać odpowiedzi na te pytania, aby uniknąć przykrych konsekwencji wynikających z nieznajomości prawa.

Ochrona danych osobowych to temat, który w ostatnim czasie stał się szczególnie istotny dla unijnych i polskich prawodawców. Jest to spowodowane stałym powiększaniem się katalogu usług oferowanych drogą elektroniczną. Rozwój nowoczesnych technologii sprawił, że zapewnienie bezpieczeństwa udostępnianych przez nas danych osobowych, jest wysoce skomplikowane i wymaga, według legislatorów, coraz to nowszych rozwiązań prawnych, które jednak nie zawsze są dopasowane odpowiednio do tempa rozwoju technologii.

Niezależnie od dyskusji na temat zasadności wysuwanych przez polityków i prawników argumentów, odnoszących się do postulowanego zakresu ochrony danych osobowych, każdy przedsiębiorca, który przetwarza dane swoich klientów, musi pamiętać o tym, że jest obarczony obowiązkami wynikającymi z przepisów prawa powszechnie obowiązującego. Podstawowym aktem prawnym, który reguluje wspomniane kwestie, jest ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r., która oprócz obowiązków przewiduje także odpowiedzialność karną za ich niedopełnienie. Warto więc, prowadząc startup, zwrócić uwagę na zapewnienie zgodności działań z wymaganiami prawnymi.

Niemal każdy przedsiębiorca gromadzący dane swoich klientów (imię, nazwisko, e-mail, numer pesel, adres, wiek, płeć, kolor oczu, informacje o miejscu pracy, i wiele, wiele innych) zobowiązany jest do zgłoszenia zbioru danych osobowych do GIODO. W większości przypadków nie wystarczy jednak rejestracja jednego zbioru. Administrator danych osobowych, który prowadzi platformę w oparciu o model SaaS, najczęściej będzie zobligowany do rejestracji co najmniej dwóch zbiorów: (1) zbiór danych klientów (dane wykorzystywane w celu zawarcia i wykonania umowy), (2) zbiór danych osób, które wyraziły zgodę na otrzymywanie informacji handlowych (w części są to potencjalni klienci, więc zbiór ten nie będzie się pokrywał ze zbiorem nr 1). W przypadku platformy działającej w modelu market place, liczba zbiorów przeważnie urośnie do trzech, bowiem oprócz wskazanych powyżej, zajdzie potrzeba rejestracji zbioru zawierającego dane osób reprezentujących firmy oferujące swoje towary lub usługi na platformie.

Istnieje katalog wyjątków od konieczności wpisu zbioru do rejestru prowadzonego przez GIODO, jednak zdecydowana większość zbiorów danych podlegać będzie obowiązkowemu zgłoszeniu. W tym miejscu warto przytoczyć dwie definicje o fundamentalnym znaczeniu dla ustalenia, czy dany przedsiębiorca przetwarza dane osobowe:

Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer indentyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Pierwsza definicja jest skonstruowana w sposób bardzo ogólny, co sprawia, że nie istnieje zamknięty katalog informacji uznawanych za dane osobowe. W określonych okolicznościach samodzielnie występujący adres e-mail będzie uznawany za daną osobową w rozumieniu ustawy. Tak samo zakwalifikować można wszelkie dane pochodzące z plików z logami zapisywanymi na serwerze, w oparciu o który funkcjonuje np. platforma sprzedażowa lub usługi SaaS’owe, jeśli w plikach tych występuje jakiś unikalny element pozwalający na identyfikację użytkownika. Danymi osobowymi będą także informacje dotyczące miejsc, w których melduje się użytkownik, korzystając np. z popularnych aplikacji służących do monitorowania treningów, jeśli tylko podmiot, który przetwarza te dane (administrator aplikacji) będzie w stanie połączyć je z konkretną osobą (a w większości przypadków oczywistym jest, że dane takie są lub mogą być bez nadmiernych kosztów, czasu lub działań, łączone). Na podanych przykładach widać, że zakres pojęcia „danych osobowych” jest dużo szerszy niż jego powszechne rozumienie.

Druga definicja dotyczy pojęcia równie szerokiego. Przetwarzanie danych osobowych może przybierać różnoraką postać. Pamiętać należy, że podane w ustawie czynności to tylko przykładowy katalog. W rzeczywistości za przetwarzanie danych osobowych, niektórzy prawnicy uznają samo przeglądanie danych, czyli w praktyce bierne patrzenie na ekran komputera, na którym wyświetlone są dane osobowe.

Niedokonanie zgłoszenia zbioru danych osobowych do GIODO zagrożone jest karą grzywny, karą ograniczenia wolności lub karą pozbawienia wolności do roku, co oznacza, że kompetencję do orzekania w tego typu sprawach mają wydziały karne sądów powszechnych. Aktualnie GIODO nie może nakładać kar finansowych na podmioty, które nie wywiązują się z obowiązków dotyczących ochrony danych osobowych. Ten stan rzeczy ma jednak ulec zmianie w najbliższej przyszłości, bowiem przygotowywane jest nowe rozporządzenie unijne, które taką możliwość najprawdopodobniej będzie przewidywać. Warto zrewidować (szczególnie usługodawcy sprzedający swoje usługi online) panujące w firmie rozwiązania dotyczące ochrony danych osobowych. Jest to szczególnie ważne w dobie nieustannego nakładania na przedsiębiorców nowych ograniczeń w wykorzystywaniu danych osobowych, a także rozszerzania kompetencji organów odpowiedzialnych za kontrolę w tym zakresie.

Podobał Ci się artykuł?

Podziel się ze znajomymi lub zapisz do subskrypcji by otrzymać informacje o najnowszych wpisach