UWAGA!

Od 25 maja 2018 r. organem właściwym w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych. Nowa strona internetowa urzędu jest dostępna pod adresem: www.uodo.gov.pl.

Materiały zamieszczone na stronie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dostępnej pod adresem www.giodo.gov.pl mają charakter archiwalny.

POZOSTAŃ NA STRONIE ARCHIWALNEJ (GIODO)

Zbieraj tyle danych, ile potrzebujesz

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Puls biznesu 2006-08-03
Wprowadził‚ informację: Robert Czapski 2006-08-16 15:51:46
Ostatnio modyfikował: Robert Czapski 2013-11-28 12:56:59
Za łamanie przepisów, określających, jakich informacji można żądać od klientów czy kontrahentów, grożą kary.

"Puls Biznesu": Czym zajmuje się urząd, którym kieruje pan od połowy lipca?

Michał Serzycki, generalny inspektor ochrony danych osobowych: Przede wszystkim mam prawo do kontrolowania zbiorów danych osobowych u przedsiębiorcy będącego ich administratorem, wydaję decyzje administracyjne i rozpatruję skargi w sprawach wykonania przepisów o ochronie danych. Do moich zadań należy na przykład prowadzenie jawnego rejestru zbiorów danych, czy udzielanie informacji o zarejestrowanych zbiorach.

Jakie konkretnie dane osobowe są pod lupą GIODO?

Zarówno zwykłe - imię, nazwisko czy adres, jak i szczególnie chronione, czyli na przykład o stanie zdrowia, wyznaniu czy o kodzie genetycznym. Ochronie podlegają dane znajdujące się zarówno w kartotekach czy księgach, jak i systemach, informatycznych. Nie podlegają ochronie między innymi dane wykorzystywane w celach prywatnych, osobistych lub domowych. Do nich nie stosuje się ustawy. Ponadto jest kategoria danych, które ustawa chroni w sposób ograniczony, na przykład zbiory sporządzane doraźnie, takie jak lista uczestników konferencji naukowej czy lista uczestników wycieczki.

Jakich danych osobowych przedsiębiorcy mogą żądać od klientów i kontrahentów?

Jeśli przedstawiciele firmy zamierzającej uzyskać dane osobowe twierdzą, że są one konieczne do zawarcia lub wykonania umowy z klientem, to mogą od niego żądać potrzebnych danych. Ale ustawa przewiduje stosowanie zasady adekwatności. Uprawnione jest żądanie danych niezbędnych do osiągnięcia celu, w jakim będą wykorzystane. Zakres żądanych danych zatem w dużej mierze zależy od charakteru zawieranej umowy.

Na przykład?

W przypadku zawierania umowy rachunku bankowego bankowi nie jest potrzebna informacja o ilości osób pozostających we wspólnym gospodarstwie domowym z klientem, ale ta sama informacja może być istotna przy zawieraniu umowy kredytowej. Zakres lub cel danych, jakich firmy mogą pozyskiwać od swoich klientów jest często określony w przepisach. Przepisy prawa bankowego upoważniają bank do żądania od klientów danych niezbędnych do zbadania ich zdolności kredytowej.

Uprawnienie do żądania danych - gdy jest to konieczne do realizacji umowy lub podjęcia działań przed jej zawarciem - wynika wprost z art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Zatem, firma nie potrzebuje zgody klienta na ich wykorzystanie. Żądanie takiej dodatkowej zgody jest jednym z błędów najczęściej popełnianych przez administratorów.

Jakie nieprawidłowości popełniają przedsiębiorcy przy przedstawianiu swoim klientom do podpisu klauzul o wyrażenie zgody na przetwarzanie danych osobowych?

Firmy często błędnie umieszczają klauzule w treści umów i klient, chcąc zawrzeć umowę, musi jednocześnie zgodzić się na wykorzystywanie danych na przykład w celach marketingowych. Firmy zapominają również o konieczności dopełnienia innych obowiązków wynikających z ustawy, na przykład takich, że w klauzuli o wyrażenie zgody na przetwarzanie danych osobowych należy podać dokładnie nazwę przedsiębiorcy, adres siedziby, cel przetwarzania i zakres danych, a także, czy i komu zostaną one udostępnione.

Jakie są inne obowiązki administratora bazy danych osobowych?

Przede wszystkim administrator musi zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, chyba że zbiór podlega wyłączeniu z tego obowiązku. Na przykład dzieje się tak, gdy dane przetwarzane są wyłącznie w celu wystawienia faktury czy rachunku.

Do obowiązków administratora należy też stosowanie środków technicznych i organizacyjnych, które zapewnią ochronę przetwarzanych danych osobowych - odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.

Czy przedsiębiorcy mogą sprzedać bazę danych osobowych?

W praktyce nie jest to łatwe. Administrator może ją sprzedać, jeśli zgodzą się na to osoby, których dane znajdują się w bazie. Jednak trudno sobie wyobrazić sytuację, że firma dysponująca zbiorem 10 tysięcy osób będzie od każdej z nich uzyskiwać zgodę. Dlatego warto o tym pomyśleć wcześniej, na etapie tworzenia bazy.

Co grozi przedsiębiorcy za niezgodne z prawem korzystanie z danych osobowych?

Jeśli stwierdzimy, że ktoś wykorzystuje je niezgodnie z ustawą, to nakazujemy przywrócenie stanu zgodnego z prawem. W razie gromadzenia przez firmę zbyt wielu danych, nakazujemy ich usunięcie i ograniczenie ich zakresu. Ponadto do organów ścigania możemy kierować zawiadomienie o popełnieniu przestępstwa. Za nielegalne przetwarzanie grozi grzywna, ograniczenie wolności albo pozbawienie wolności do dwóch lat.

Albert Stawiszyński
łukasz Rzegoczan

Ostatnie aktualności