Agnieszka Klejne, Fitz Roy
W związku z komputerowym przetwarzaniem danych osobowych zrodziła się potrzeba ich prawnej ochrony. Gromadzenie danych ma miejsce przynajmniej od kilkuset lat, toteż zasadnicza przyczyna ustanowienia ochrony nie wynika z obawy przed samym zbieraniem danych osobowych, lecz przed możliwościami, jakie stwarza nieuprawnione wykorzystanie tych zbiorów.
Każdy człowiek ma prawo do kontrolowania przepływu informacji, które dotyczą bezpośrednio jego osoby. Każdy chce się cieszyć szeroko rozumianą wolnością osobistą, właściwymi więziami społecznymi oraz akceptacją społeczną. Współczesne, niezwykle dynamicznie rozwijające się techniki informatyczne dają możliwość swobodnego manipulowania danymi osobowymi, jak również niekontrolowane ich przekazywanie, głęboko naruszając prywatność i bezpieczeństwo danej jednostki. By kontrola mogła być skuteczna, konieczne było nadanie jej rangi ustawowej i tak Ustawa o ochronie danych osobowych, która weszła w życie 30 kwietnia 1998 roku zmusiła podmioty dysponujące danymi osobowymi, tzn. administratorów danych, do dostosowania przetwarzania danych do wymogów ustawowych.
Celem ustawy jest uregulowanie kwestii dotyczących zagadnienia legalności przetwarzania danych osobowych. W tym szczególe ustanowienie czytelnych reguł:
- poprawności przetwarzania danych osobowych;
- kontroli przepływu danych osobowych poprzez tzw. obowiązek poinformowania;
- prawa osoby do wiedzy o przetwarzaniu danych jej dotyczących oraz prawa żądania poprawności zapisu tych danych;
- legalności posiadania danych przez dany podmiot oraz rejestracja zbiorów danych osobowych prowadzonych w Polsce.
Powołano również nowy organ – Generalnego Inspektora Ochrony Danych Osobowych (GIODO) do czuwania nad przestrzeganiem ustawy.
Wszystkie wymienione wyżej cele są ważne, jednakże celem nadrzędnym jest ochrona praw osób, a nie danych. Ustawodawcę nie interesują anonimowe dane osobowe, lecz te o charakterze osobowym, które dotyczą osób zidentyfikowanych lub możliwych do zidentyfikowania osób żyjących (identyfikacja następuje poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających danej osoby cechy fizyczne, umysłowe, ekonomiczne, kulturowe lub społeczne).
Pojęcie „danych osobowych” jest bardzo szerokie. Mieszczą się w nim dane identyfikacyjne osoby takie jak: NIP, nr PESEL, dowód osobisty, podpis ale też ogół pozostałych informacji, które są nanoszone na różnego rodzaju wnioski, np. bankowe czy ubezpieczeniowe, w tym również dane o stanie zdrowia.
Pojęcie „przetwarzania danych”, często używane w Ustawie, odbiega od potocznego rozumienia tego sformułowania. Pojęcie to, w rozumieniu Ustawy kumuluje wszystkie czynności (operacje) dokonywane przy użyciu danych osobowych, począwszy od ich zebrania (pozyskania), a na udostępnieniu i usunięciu skończywszy.
W Ustawie o ochronie danych osobowych wyodrębnia się następujące formy danych osobowych:
- pojedynczą informację o charakterze osobowym, czyli pojedynczą daną osobową,
- co najmniej dwie dane osobowe, dowolnie zestawione, tworzą „zestaw danych”, który nie jest w żaden sposób ograniczony ilością tych danych, ani sposobem ich zestawienia,
- najwyższą formą organizacyjną istnienia danych osobowych jest w Ustawie „zbiór danych”, który powstaje z odpowiedniego przekształcenia zestawu danych: „Ilekroć w Ustawie jest mowa o zbiorze danych – rozumie się przez to każdy posiadający strukturę danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.
Ciekawostką dla niektórych może wydać się fakt, iż każda osoba, której dane są przetwarzane w danym zbiorze, może raz na pół roku zwrócić się do administratora danych o pełną i wyczerpującą informację dotyczącą jej danych (obowiązek udzielenia takiej informacji w ciągu 30 dni od wniosku spoczywa na administratorze – mówi o tym art. 33 Ustawy). Warto jednak pamiętać, że informacja administratora nie równa się jednak z prawem do wglądu do dokumentów, a także nie jest podstawą ich wydania. Dane można uzupełniać, uaktualniać, wstrzymać ich przetwarzanie (czasowo lub stale), a także usunąć. Czynności te związane są jednak z możliwością korzystania z usług.
Każda osoba może wystąpić do administratora z żądaniem zaprzestania przetwarzania jej danych osobowych. Wniosek (skierowany na piśmie do administratora danych) powinien być jednak uzasadniony. Przepisy nie precyzują, o jakie szczególne okoliczności chodzi. Żądanie można wystosować jedynie wtedy, gdy wykorzystywanie danych osoby jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, a także gdy dane te są niezbędne dla wypełniania prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Administrator danych, w przypadku wniesienia takiego żądania zaprzestaje przetwarzania kwestionowanych danych osobowych. Nad prawidłowym przestrzeganiem prawa obywateli do ochrony ich danych osobowych również czuwa Generalny Inspektor Ochrony Danych Osobowych.
Ze względu na głośne sprawy wycieku danych od podmiotów świadczących usługi drogą elektroniczną można ulec błędnemu wrażeniu, iż Ustawa o ochronie danych osobowych dotyczy wąsko rozumianego przetwarzania komputerowego. W rzeczywistości obejmuje ona dużo szerszy zakres – nawet opracowywanie dokumentów papierowych zawierających dane osobowe, to obszar podlegający Ustawie. W rozumieniu Ustawy również całkowicie bierne przechowywanie w piwnicy kopii dokumentów sprzed 20 lat jest przetwarzaniem danych w nich zawartych.
Tyle teorii. Jak jest w praktyce?
Dane wrażliwe, bo o nich jest mowa, powinny być szczególnie chronione w branży finansowej. W bankach, domach maklerskich czy firmach consultingowych podaje się nie tylko dane personalne lecz również informacje dotyczące majątku, sytuacji finansowej, preferencji inwestycyjnych – a to są już dane szczególnie newralgiczne. Często są to informacje o których nie wiedzą najbliżsi.
Na rynku kapitałowym istnieje wiele firm, które pomagają w skojarzeniu przedsiębiorstw poszukujących kapitału na dalszy rozwój z inwestorami zainteresowanymi pomnożeniem swojego majątku. Firmami takimi są m.in. Autoryzowani Doradcy. Starają się oni skupić wokół siebie możliwie największą grupę inwestorów, która uplasowałaby emisję danego podmiotu. By móc stale powiększać swą inwestorską bazę, wielu AD decyduje się na swych stronach www zamieścić elektroniczne formularze zapisów. Do bazy mogą przystąpić wszyscy, którzy są zainteresowani otrzymywaniem ciekawych, w odczuciu autoryzowanych doradców, ofert inwestycyjnych. Formularze te są różne – od podstawowych, w których podaje się imię i nazwisko wraz z numerem telefonu i adresem e-mail – po bardziej rozbudowane, z preferencjami inwestycyjnymi i danymi do ewentualnej umowy inwestycyjnej włącznie.
Niezależnie od ilości informacji, które przekazuje inwestor spółkom, jak również zaufania, jakim ich obdarza, powinien on mieć pewność, iż nad bezpieczeństwem powierzonych danych czuwa Główny Inspektor Ochrony Danych Osobowych. Tylko wtedy może mieć pewność, iż firma zbierająca jego dane spełnia szereg zabezpieczeń zarówno informatycznych, jak również biurowych. Nie każdy bowiem zdaje sobie sprawę z tego, że do zarejestrowania zbioru danych w GIODO potrzebna jest opracowana i wdrożona m.in. polityka bezpieczeństwa spółki, instrukcja zarządzania systemem informatycznym, jak również ewidencja osób upoważnionych do przetwarzania danych. Wszystko to ma na celu zapewnienie ochrony danych, które, nieodpowiednio zabezpieczone, mogłyby zostać wykorzystane w sposób niezgodny z prawem, jak również odpowiedzialności firmy, w razie niedopełnienia obowiązków.
Przed dokonaniem zapisu do bazy inwestorów prowadzonej przez autoryzowanych doradców warto sprawdzić, czy dane te będą należycie zabezpieczone i czy zbiór został zgłoszony do GIODO. Dotyczy to również innych podmiotów świadczących swe usługi na rynku kapitałowym. Jeśli na stronie www nie znajdują się informacje na ten temat danego podmiotu, warto o to zapytać się mailowo lub telefonicznie. W końcu zależy nam na bezpieczeństwie oraz pewności, że nikt obcy nie będzie nas nękał telefonicznie czy mailowo, jak również, że dane te nie dostaną się w niepowołane ręce lub zostaną użyte w niewłaściwy sposób – powiedział Grzegorz Jajuga, Prezes Zarządu Fitz Roy, spółki, która dane swej grupy inwestorów ma zarejestrowane w GIODO.
W związku z tym warto na bieżąco sprawdzać biurka, szafy, magazynki i zobaczyć co się w nich znajduje i w jakim stanie są przechowywane dane innych osób. Warto przechowywać dane osób trzecich w taki sposób w jakich my byśmy chcieli by inni przechowywali nasze dane. Z drugiej strony warto przyjrzeć się bliżej firmom, którym swoje dane powierzamy. Jeśli firma, która zbiera nasze dane, ma zarejestrowany zbiór danych w GIODO, możemy być wtedy pewni, że informacje o nas są przechowywane zgodnie z ustawą, a firma spełnia szereg warunków. Dbajmy o swoją prywatność sami, gdyż nikt inny tego lepiej nie zrobi.