Google Linkedin YouTube

Prowadzenie działalności gospodarczej wiąże się z koniecznością przetwarzania danych osobowych różnych osób. W dzisiejszym artykule podpowiemy, w jaki sposób przedsiębiorcy mogą wykorzystywać dane osobowe swoich kontrahentów oraz jakich formalności należy dopełnić, aby było to zgodne z prawem.

Za dane osobowe uznaje się informacje, które pozwalają określić tożsamość danej osoby. Najczęściej zalicza się do nich imię, nazwisko, telefon, e-mail oraz adres zamieszkania. Podmiot zarządzający takimi danymi, gromadzący je i przetwarzający to administrator danych osobowych.

W Polsce organem  zajmującym się ochroną danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych. Jego zadania i kompetencje wyznaczają przepisy ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych.

Wymogi formalne

W przypadku prowadzenia działalności gospodarczej ochrona danych osobowych podlega przepisom powyższej ustawy z 29 sierpnia 1997 roku, ustawy z 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną  oraz Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Przedsiębiorstwa, które zbierają dane tworząc określone ich zbiory  muszą zarejestrować je  zgodnie z procedurami GIODO. Każda firma działająca w Polsce powinna przygotować dokumentację dotyczącą ochrony danych osobowych swoich klientów, w skład której wchodzą wniosek rejestracyjny, polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym.

Polityka bezpieczeństwa powinna zawierać m.in.:

  • wykaz budynków lub pomieszczeń, w których będą przetwarzane dane osobowe,
  • wykaz zbiorów danych osobowych oraz programy stosowane do przetwarzania ich,
  • sposób przepływu danych pomiędzy systemami,
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Z kolei instrukcja zarządzania systemem informatycznym powinna określać m.in.:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
  • metody uwierzytelnienia danych oraz procedury związane z ich zarządzaniem i użytkowaniem,
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych do ich przetwarzania,
  • sposób, miejsce i okres przechowywania danych osobowych
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Przetwarzanie danych kontrahentów

Praktycznie każda czynność wykonywana na danych osobowych stanowi ich przetwarzanie. Zgodnie z omawianą ustawą w szczególności jest to zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych osobowych, zwłaszcza jeśli te operacje są wykonywane w systemach informatycznych.

Przetwarzanie danych jest dopuszczalne w następujących sytuacjach:

  • osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
  • jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
  • jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
  • jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
  • jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Należy pamiętać, że dane osobowe kontrahentów powinny być wykorzystywane w celach, dla których zostały zgromadzone. Przedsiębiorcy nie mogą żądać dodatkowych danych, chyba że sam kontrahent wyrazi na to zgodę. Ponadto dalsze ich przekazywanie zewnętrznym firmom, np. administrującym bazami danych w celach marketingowych, wymaga odrębnej zgody – służą temu odpowiednie sformułowania stosowane w dokumentach podpisywanych przez kontrahentów. Dodatkowo warto wiedzieć, że każda osoba, której dane dotyczą, ma prawo do kontroli sposobu przetwarzania swoich danych osobowych oraz ma prawo cofnąć zgodę na przetwarzanie ich. Ponadto administrator danych osobowych zobowiązany jest poinformować osobę, której dane dotyczą o dokładnym adresie swojej siedziby i swojej pełnej nazwie.

Po zmianie w 2012 roku ustawy Prawo działalności gospodarczej pojawił się też problem, czy dane osobowe przedsiębiorców, ujawnione w Centralnej Ewidencji i Działalności Gospodarczej, podlegają ochronie na gruncie ustawy o ochronie danych osobowych. Wbrew powszechnemu przekonaniu, mimo że  dane te są dostępne w jawnej ewidencji CEIDG, nie mogą być przetwarzane przez każdy podmiot, w dowolnym celu, bez dodatkowej zgody zainteresowanego. Nie należy też zapominać, że od 2013 roku, na mocy porozumienia GIODO i Państwowej Inspekcji Pracy, ta druga podczas kontroli jest również uprawniona do badania kwestii związanych z przetwarzaniem danych pracownika lub kandydata do pracy, a o stwierdzonych nieprawidłowościach musi zawiadomić GIODO.

Prowadzenie działalności gospodarczej wiąże się z obowiązkiem przestrzegania przepisów z różnych dziedzin prawa. Muszą się do tego dostosować nawet niewielkie firmy, współpracujące z kilkoma kontrahentami, działające na małym obszarze. Niespełnianie obowiązków formalnych, w tym brak zgłoszenia zbiorów danych do GIODO, wiąże się z sankcjami karnymi i finansowymi – zgodnie z przepisami  może to być nawet pozbawienie wolności do trzech lat.

Złożenie odpowiednich dokumentów do Głównego Inspektora Ochrony Danych Osobowych oraz przestrzeganie przepisów w tej kwestii nie tylko gwarantuje przedsiębiorcom brak problemów natury prawnej, ale również zachowanie dobrych relacji z partnerami biznesowymi. Przedsiębiorcy powinni pamiętać o tym, że ochrona danych osobowych jest elementem rozważnego prowadzenia biznesu oraz wyrazem szacunku dla ich klientów i kontrahentów. Przestrzeganie tych zasad umożliwia dobre funkcjonowanie działalności gospodarczej.

O autorze

Joanna Siata

Radca prawny. Absolwentka Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego, aplikację radcowską odbyła w Okręgowej Izbie Radców Prawnych w Krakowie. Jest stałym współpracownikiem EULEO od 2006 roku. W Kancelarii zajmuje się obsługą cywilnoprawną i gospodarczą przedsiębiorstw oraz osób fizycznych, w szczególności zagadnieniami procesowymi.
Dodaj komentarz
©2012 EULEO spółka z ograniczoną odpowiedzialnością sp. k