Definicja danych osobowych
Pojęcie „danych osobowych” zostało zdefiniowane w art. 6 Ustawy. Można powiedzieć, że są to wszelkie informacje dotyczące osoby, którą można zidentyfikować. Ustawodawcy posuwają się dość daleko w interpretacjach tego przepisu dowodząc, że danymi osobowymi są adresy IP oraz adresy mailowe. Warto jednocześnie zauważyć, że wg art. 6 pkt 3 informacja nie będzie daną osobową, jeżeli określenie tożsamości osoby wymagałoby nadmiernych kosztów, czasu lub działań. Co wynika z powyższego? Danymi osobowymi są wszelkie informacje o znanej lub identyfikowalnej osobie, np. właścicielu firmy, pracowniku czy kontrahencie.
Kogo obejmuje Ustawa?
Krótko można powiedzieć – prawie wszystkich. Wyjątki są opisane w art. 3a. Jest to m. in. sytuacja gdy osoba fizyczna przetwarza dane „w celach osobistych lub domowych”. Warto zauważyć, że z Ustawy nie wynika czym są cele osobiste lub domowe, co znaczy, że w przypadkach krytycznych rozstrzygać będzie to sąd. Warto wziąć to pod uwagę podejmując decyzję czy konkretne dane można przetwarzać czy też nie.
Kiedy dane wolno przetwarzać?
O tym mówi pierwszy artykuł, pkt 2 Ustawy, wymieniając dobro publiczne (bliżej niesprecyzowane), dobro osoby, której dane dotyczą lub dobro osób trzecich, ale wyłącznie w zakresie regulowanym ustawą. Inaczej mówiąc, mogę zawsze przetwarzać własne dane, jednak dane innych osób jedynie wtedy gdy zezwala na to Ustawa.
Dodatkowe wytyczne znajdujemy w art. 23 Ustawy, który wymienia dopuszczalność przetwarzania danych, gdy:
- Osoba, której dane dotyczą wyrazi na to zgodę. Zgoda ta nie może być domniemana
- Jest to niezbędne z punktu widzenia prawa
- Przetwarzamy dane osoby z którą zawieramy lub zawarliśmy umowę
- Jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów, a samo przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą
Jak widać, przetwarzanie danych osobowych pracowników mieści się w zakresie opisanym powyżej i nie wymaga odrębnej zgody pracownika.
Rejestracja zbiorów oraz dokumentacja przetwarzania danych
Każdy zbiór danych, z wyjątkiem przypadków opisanych w Ustawie trzeba rejestrować. Z obowiązku rejestracji zwolnione m. in. zbiory danych pracowniczych (art. 43 pkt. 1 ppkt. 4). Pracodawcy nie muszą zatem zgłaszać zbiorów do GIODO.
Zwolnienie z obowiązku rejestracji zbioru danych nie zwalnia jednak z wdrożenia dokumentacji przetwarzania danych oraz zapewnienia odpowiednich warunków technicznych, służących ochronie danych osobowych. Na tą konieczność zwracają uwagę artykuły 36 do 39 Ustawy. Szczegółową specyfikację dokumentacji opisuje natomiast rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004. Dokumentacja ta to co najmniej:
- Polityka bezpieczeństwa
- Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
Nie polecamy samodzielnego tworzenia tych dokumentów. Lepiej zlecić to profesjonaliście. Warto podkreślić, że każdy pracodawca powinien posiadać opisaną powyżej dokumentację i stosownie ją aktualizować.
Czy powierzenie usługowego prowadzenia ksiąg rachunkowych firmie zewnętrznej (Biuro Rachunkowe) zwalnia pracodawcę z obowiązku stworzenia dokumentacji? Nigdzie w przepisach nie znajdziemy takiego zwolnienia.Co więcej, powierzenie danych pracowniczych innej firmie narzuca na Administratora danych osobowych dodatkowe obowiązki opisane w artykule 31 Ustawy. Jakie to obowiązki?
- Powierzenie danych musi być na piśmie. Ma to być umowa powierzenia przetwarzania danych, a więc dokument odrębny od pełnomocnictw podatkowych czy umowy na prowadzenie ksiąg podatkowych;
- Biuro Rachunkowe musi spełniać takie same standardy bezpieczeństwa jak podmiot, który dane udostępnił.
Podejmując decyzję o wyborze Biura Rachunkowego trzeba zatem zadać przyszłemu kontrahentowi bardzo istotne pytanie dotyczące wypełniania przez niego wymogów Ustawy. Braki w tym zakresie będą obciążały Administratora danych, czyli pracodawcę.