Zatrudniasz pracowników? Wdróż dokumentacje Ochrony Danych Osobowych.

Ustawa o Ochronie Danych Osobowych wskazuje jednoznacznie, do przetwarzania danych osobowych pracowników – co znajduje oparcie w art. 221 § 5 kodeksu pracy – „stosuje się przepisy o ochronie danych osobowych”. Wystarczy zatrudniać choćby 1 pracownika na dowolną umowę lub posiadać dane Klientów, wówczas firma jest zobowiązana do wdrożenia dokumentacji przetwarzania danych osobowych, spełniającej wymogi rozporządzenia do art. 39a ustawy o ochronie danych osobowych. Brak dokumentacji może łączyć się z karami od 10.000 do 50.000 zł za każde uchybienie w związku z niewykonaniem decyzji administracyjnych (zgodnie z art. 49 uodo).

Dokumentacje ochrony danych można stworzyć samemu na podstawie przepisów rozporządzenia do art. 39a uodo lub skorzystać z gotowych do uzupełnienia zestawów, np.  dokumentacji przetwarzania danych osobowych RBDO.

 

Zgodnie z art. 6 ust. 1 ustawy o ochronie danych osobowych, za dane osobowe uważa się: „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Bez żadnych wątpliwości imienne dane osobowe pracowników oraz Klientów stanowią dane osobowe i  wymuszają na firmie wdrożenie odpowiednich procedur określonych w dokumentacji przetwarzania danych.

Dane pracownika zatrudnionego w dowolnej formie podlegają ochronie danych

Za dane osobowe uważa się w szczególności dane osobowe pracowników – co znajduje oparcie w art. 221 § 5 kodeksu pracy stanowiącym wprost, że danych pracowników zatrudnianych przez pracodawcę „stosuje się przepisy  o ochronie danych osobowych”.

Co więcej, tezę o zakwalifikowaniu danych pracowników, jako danych osobowych w rozumieniu ustawy potwierdza brzmienie art. 43 pkt 4 ustawy o ochronie danych osobowych, stanowiącego o zwolnieniu z obowiązku rejestracji zbioru danych przetwarzanych w związku z zatrudnieniem świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się –  skoro zatem ustawa w wyżej wspomnianym przepisie uznaje dane przetwarzane w związku z zatrudnieniem za zbiór danych, to, zgodnie z art. 7 pkt 1 ustawy który definiuje pojęcie zbioru danych jako „zestawu danych o charakterze osobowym”, należy uznać dane zatrudnianych pracowników za dane osobowe w rozumieniu ustawy o ochronie danych osobowych, a w konsekwencji, poddanych wymogom związanym z prowadzeniem dokumentacji, o jakiej mowa w rozdziale 5 ustawy o ochronie danych osobowych, przez co należy rozumieć w szczególności dokumentację wymaganą przez rozporządzenie, o którym mowa w art. 39a ustawy o ochronie danych osobowych.

Co istotne, zbiór danych pracowników, choć wymaga ujęcia go w wewnętrznej dokumentacji przetwarzania danych, jest zwolniony z obowiązku rejestracji w GIODO, co nie dotyczy np. zbiorów danych Klientów.

Dane Klientów – imienne, telefoniczne także podlegają ochronie

Również dane klientów – imię, nazwisko, adres a nawet numery telefonów podlegają ochronie danych. Interpretację taką potwierdzają: GIODO w decyzji DIS-DEC-42/1511, oraz Wojewódzki Sąd Administracyjny w Warszawie w wyroku II SA/Wa 1598/09 gdzie przyjęto pogląd, iż pomimo faktu, że informacje o numerze telefonu nie określają bezpośrednio tożsamości osoby, to jednak dają możliwość określenia tożsamości tych osób np. poprzez bezpośredni kontakt z osobą, która jest jego posiadaczem. Opowiedziano się zatem   w sposób zdecydowany za zakwalifikowaniem tego typu informacji jako danych osobowych w rozumieniu ustawy. Powyższe uwagi zachowują aktualność również w odniesieniu do adresów e-mail, co zostało wprost potwierdzone w stanowisku rzecznika prasowego GIODO z dnia 7 maja 2010 r. (http://www.giodo.gov.pl/330/id_art/3529/j/pl/).

Nie podlegają natomiast regulacjom przewidzianym w ustawie o ochronie danych osobowych dane, przetwarzane przez osoby fizyczne, które przetwarzają je „wyłącznie w celach osobistych lub domowych”, o czym stanowi wprost art. 3a pkt 1. Natomiast, jeżeli dane osobowe przetwarzane są przez osoby fizyczne, prawne lub jednostki organizacyjne niebędące osobami prawnymi, które przetwarzają je  w związku z działalnością zarobkową lub zawodową – ustawa będzie miała do nich zastosowanie, co wynika wprost z art. 3 ust. 2 pkt 2 wyżej wspominanej ustawy.

Kary za brak spełnienia obowiązków przetwarzania danych osobowych

Niedostosowanie się do przepisów ustawy o ochronie danych osobowych, może pociągać za sobą odpowiedzialność zarówno administracyjną (w przypadku niezastosowania się do decyzji GIODO) jak i karną przewidzianą w rozdziale 8 ustawy. W poniższym omówieniu dotyczącym odpowiedzialności administracyjnej oraz karnej znajdziesz krótki opis przepisów zawierających powyższe sankcję. Wysokie kary finansowe jak i odpowiedzialność karna mogą być skutkiem braku wdrożenia dokumentacji.

1. 1. Sankcje administracyjne (grzywny nakładane przez GIODO)

Od dnia 7 marca 2011 r. zgodnie ze znowelizowanym art. 12 pkt 3 ustawy o ochronie danych osobowych, GIODO może nakładać na podmioty, które nie wykonują jego decyzji administracyjnych (np. decyzji nakazującej usunięcie wybranych naruszeń), grzywny w celu przymuszenia. Grzywny egzekwowane są w trybie ustawy o postępowaniu egzekucyjnym w administracji.

Zgodnie z art. 121 ustawy o postępowaniu egzekucyjnym w administracji, wysokość grzywy wynosi:

– dla osób prawnych do 50 000 zł za każde uchybienie, ale nie więcej niż 200 000 zł w jednym postępowaniu egzekucyjnym

– dla osób fizycznych do 10 000 zł za każde uchybienie, ale nie więcej niż 50 000 zł w jednym postępowaniu egzekucyjnym art. 12 ustawy o ochronie danych osobowych

Odpowiedzialność karna

Zgodnie z art. 49 ust. 1 ustawy o ochronie danych osobowych, kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Popełnić je może w szczególności osoba, której przysługują kompetencje decyzyjne odnośnie zarządzania zbiorem, co nie wyklucza odpowiedzialności pracownika wykonującego polecenie służbowe w charakterze współdziałającego.

Zgodnie z art. 53 ustawy o ochronie danych osobowych, kto administrując danymi narusza, choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Jest to przestępstwo formalne, ścigane z urzędu, mogące zostać popełnione także nieumyślnie. Do jego zaistnienia dochodzi w momencie niezastosowania odpowiednich środków bezpieczeństwa dotyczących przetwarzanych danych. Odpowiedzialności z powyższego przepisu podlega jedynie administrator danych, co więcej, w odróżnieniu od odpowiedzialności przewidzianej w art. 49 oraz art. 51 nie jest konieczne istnienie zbioru danych (uporządkowanego zestawu danych) dla zaistnienia przestępstwa. Z powyższego przepisu wynika obowiązek dołożenia szczególnej staranności do zabezpieczenia danych osobowych.

Dane Klientów należy zgłosić do rejestru GIODO

Zgodnie z art. 53 ustawy o ochronie danych osobowych, kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Jest to przestępstwo umyślne, formalne, ścigane z urzędu, podmiotem obarczonym odpowiedzialnością jest w tym przypadku administrujący danymi osobowymi. Przestępstwo to następuje w wyniku zaniechania, jeżeli podmiot nie zgłaszając zbioru do rejestracji przetwarza dane osobowe, których obowiązek rejestracji nie jest wyłączony na mocy art. 43 ust. 1 ustawy o ochronie danych osobowych.

 

Źródło:
http://rbdo.pl/zatrudniasz-pracownikow-musisz-wdrozyc-dokumentacje-przetwarzania-danych/

Wszelkie Prawa zastrzeżone – RBDO.PL
Rejestracja i Bezpieczeństwo Danych Osobowych
www.rbdo.pl

 

Facebook