1. Prowadzę biuro rachunkowe w formie jednoosobowej działalności gospodarczej, w ramach swoich usług świadczę obsługę kadrowo płacową kilku niewielkich firm zatrudniających w sumie 12 pracowników, czy podlegam pod ustawę o ochronie danych osobowych ?

Tak. Zgodnie z art. 22 [1] § 5 kodeksu pracy,  do danych pracowników przetwarzanych przez pracodawcę w związku z zatrudnieniem „stosuje się przepisy o ochronie danych osobowych”, nawet zatem w przypadku niewielkiej skali działalności pracodawca jest zobowiązany spełnić wymogi dotyczące zabezpieczenia danych osobowych oraz prowadzenia dokumentacji określonej przez ustawę o ochronie danych osobowych oraz rozporządzenie wydane na podstawie art. 39a wspomnianej ustawy.

Pracodawca, jako klient biura rachunkowego i jednocześnie administrator danych osobowych pracowników (lub także klientów) jest zobowiązany do zawarcia z biurem rachunkowym umowy powierzenia przetwarzania danych osobowych w rozumieniu art. 31 ustawy o ochronie danych osobowych – biuro rachunkowe jako „przetwarzający” któremu powierzono przetwarzanie danych osobowych jest natomiast zobowiązane przez art. 31 ust. 3 ustawy o ochronie danych osobowych do odpowiedniego zabezpieczenia powierzonych danych  – przez co w szczególności należy rozumieć opracowanie i wdrożenie dokumentacji spełniającej wymagania rozporządzenia wykonawczego do art. 39a ustawy o ochronie danych osobowych .

Wykrycie podczas kontroli PIP lub GIODO naruszenia wyżej wymienionych obowiązków może skutkować wydaniem decyzji zakazującej przetwarzania danych (co w praktyce oznacza zaprzestanie działalności biura rachunkowego), a w przypadku niezastosowania się do niej – wydaniem kolejnej decyzji nakładającą grzywnę w wysokości do 10 000 zł za każde naruszenie (ale nie więcej niż 50 000 zł dla osób fizycznych) w trybie ustawy o postępowaniu egzekucyjnym w administracji.

Inspektorzy będą też zobowiązani do dokonania zawiadomienia do prokuratury o popełnieniu przestępstwa polegającego przetwarzaniu danych osobowych poza trybem przewidzianym w ustawie, co stanowi czyn zagrożony karą nawet do 2 lat pozbawienia wolności (art. 49 ust. 1 ustawy o ochronie danych osobowych).

Należy więc jak najszybciej uregulować i wdrożyć wymaganą przez przepisy dokumentację
(w szczególności Politykę Bezpieczeństwa oraz Instrukcję zarządzania Systemem Informatycznym).

2. Prowadzę warsztat samochodowy i zatrudniam 3 mechaników, wiem, że  dane przetwarzane przeze mnie w związku z zatrudnieniem moich pracowników muszę odpowiednio zabezpieczyć oraz prowadzić dokumentację o jakiej mowa w ustawie o ochronie danych osobowych – ale czy muszę zbiór danych osobowych pracowników zgłaszać do rejestracji GIODO ?

Nie. Zbiory danych osobowych pracowników są zwolnione z obowiązku zgłaszania do rejestracji GIODO na podstawie art. 43 ust.1 pkt 4 ustawy o ochronie danych osobowych. Oczywiście nie zwalnia to od obowiązku odpowiedniego ich zabezpieczenia oraz prowadzenia dokumentacji wymaganej przez ustawę o ochronie danych osobowych oraz rozporządzenie wydane na podstawie art. 39a wspomnianej ustawy.

3. Jestem prezesem zarządu spółki z ograniczą odpowiedzialnością, nie zatrudniam żadnych pracowników, posiadam jednak bazę telefonów i maili klientów spółki. Czy muszę spełnić obowiązki wynikające z ustawy o ochronie danych osobowych i rozporządzenia określającego sposób prowadzenia dokumentacji?

Tak. Zgodnie z art. 6 ust. 1 ustawy o ochronie danych osobowych, za dane osobowe uważa się: „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Sformułowanie to oznacza, że zbiór danych takich jak adresy e-mail lub telefony klientów, którzy uprzednio skorzystali z usług spółki stanowi zbiór danych osobowych w rozumieniu ustawy (wyrok Sądu Administracyjnego II SA/Wa 1598/09), a zatem konieczne jest spełnienie nie tylko obowiązku odpowiedniego ich zabezpieczenia i prowadzenia dokumentacji zgodnej z ustawą o ochronie danych osobowych oraz rozporządzeniem wydanym na podstawie art. 39a wspomnianej ustawy, ale także, zgodnie z art. 40 ustawy o ochronie danych osobowych, należy zgłosić taki zbiór do rejestracji GIODO (chyba że dane klientów są przetwarzane wyłącznie w celu, np. wystawienia rachunku – wtedy zbiór danych będzie korzystał ze zwolnienia ujętego w art. 43 ust. 1 pkt 8).

4. Jestem właścicielem małego przedsiębiorstwa, które prowadzę w formie działalności gospodarczej, posiadam bazy danych klientów oraz zatrudniam kilku pracowników. Nigdy nie słyszałem o ustawie o ochronie danych osobowych, nie prowadzę żadnej szczególnej ewidencji ani nie mam wdrożonego żadnego systemu odnoszącego się do przetwarzania danych osobowych, czy w związku z tym grożą mi jakieś konsekwencje prawne ?

Tak. Przede wszystkim należy podkreślić, że nieznajomość prawa nie zwalnia z odpowiedzialności za jego złamanie. Co więcej, w takiej sytuacji niepotrzebnie można narazić swoich pracowników na odpowiedzialność karną. Rozdział 8 ustawy o ochronie danych osobowych przewiduje szereg przestępstw ściganych z oskarżenia publicznego wśród których na szczególną uwagę zasługuje czyn określony w art. 49 ust. 1 ustawy o ochronie danych osobowych stanowiącym iż,” kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.” Przetwarzanie danych osobowych z pominięciem ustawowego trybu (o czym stanowi art 1 ust. 1 w zw. z art. 2. ustawy o ochronie danych osobowych), a więc także zaniedbywanie obowiązku prowadzenia dokumentacji o jakiej mowa w ustawie o ochronie danych osobowych oraz rozporządzeniu wydanym na podstawie art. 39a wspomnianej ustawy, stanowi wypełnienie hipotezy przepisu art. 49 ust. 1, a w konsekwencji może wiązać się z karą nawet do 2 lat pozbawienia wolności. Oprócz powyższego, uporczywe zaniedbywanie obowiązków wynikających z ustawy o ochronie danych osobowych może wiązać się z nałożeniem przez GIODO grzywn przymuszających za niewykonanie decyzji nakazujących przywrócenie stanu zgodnego z prawem w trybie przepisów ustawy o postępowaniu administracyjnym w administracji, których wysokość może sięgać nawet  10 000 zł za każde naruszenie (lecz nie więcej niż 50 000 zł w odniesieniu do osoby fizycznej).

5. Jestem prezesem niewielkiej spółki z o.o., zatrudniającej 7 pracowników, oraz posiadającej również wiele baz klientów, niektóre z nich są tworzone wyłącznie w celu wystawienia faktur, inne natomiast są niezbędne do budowania długofalowej strategii rozwoju spółki. W jaki sposób mogę ustalić, które bazy danych osobowych podlegają zgłoszeniu do rejestracji GIODO, a które są zwolnione z tego obowiązku?

Generalnie, w związku z brzmieniem art. 40 ustawy o ochronie danych osobowych, wszystkie bazy danych osobowych podlegają rejestracji – z wyłączeniem tych, o których mowa w przepisach szczególnych. Takim przepisem szczególnym przewidującym wyjątki od zasady zgłaszania baz danych do rejestracji jest art. 43 ust. 1 wyżej wymienionej ustawy, który w pkt 1-11 zawiera katalog danych, które są wyłączone spod obowiązku rejestracji. Np. baza danych pracowników zatrudnionych w spółce jest wymieniona w pkt 4 wspomnianego przepisu – dlatego nie istnieje obowiązek zgłaszania takiego zbioru danych do rejestracji GIODO, podobnie baza danych klientów przetwarzana wyłącznie ze względu na konieczność wystawienia faktury lub rachunku znajduje się we wspomnianym katalogu w pkt 8 – więc również jej nie nie trzeba zgłaszać do rejestracji GIODO. Wszelkie inne przypadki zbiorów danych nie ujętych w art. 43 ust 1 (jeżeli nie korzystają ze zwolnienia na podstawie innych przepisów np. art. 2 ust. 3) należy uznać za podlegające obowiązkowi zgłaszania do rejestracji GIODO.