Ustawa o ochronie danych osobowych weszła w życie z górą 16 lat temu. Być może swoistym rekordem jest to, że wielu przedsiębiorcom nadal udaje się ignorować jej istnienie. Opanowali oni do mistrzostwa sztukę wypierania ze świadomości faktu istnienia wynikających z ustawy obowiązków i nadal są przekonani, że ustawa ich nie dotyczy.
Kogo obowiązuje ustawa? Powiedzmy sobie jasno – wszystkich. Naprawdę, trudno sobie wyobrazić prowadzenie działalności gospodarczej, bez przetwarzania danych osobowych.
Jednym z obowiązków nakładanych przez ustawę jest rejestracja zbiorów danych osobowych. Nie utożsamiajmy jednak ochrony danych z tym jednym obowiązkiem. Wręcz przeciwnie, rejestracja zbioru danych jest stosunkowo łatwą i mało pracochłonną czynnością, która kończy tworzenie systemy ochrony danych u przedsiębiorcy.
Ustawa wprowadza również szereg wyjątków, określając, które zbiory danych nie podlegają rejestracji. Jednak zwolnienie zbioru z rejestracji nie oznacza, że jesteśmy zwolnieni z jakichkolwiek innych ustawowych obowiązków. Oznacza jedynie, że nie musimy wykonać tej jednej, prostej czynności – nie musimy wysyłać formularza zgłoszenia zbioru. Przykładowo, nie musimy wysyłać informacji, że przetwarzamy dane naszych pracowników. Dlaczego ustawodawca tak zdecydował? To wydaje się jasne – przecież każdy zatrudniający pracowników, przetwarza ich dane. Nie zwalnia nas to jednak z dopełnienia innych, ustawowych obowiązków. Musimy dopełnić obowiązków informacyjnych, zabezpieczyć dane, wydać i zarejestrować upoważnienia, opracować i wdrożyć politykę bezpieczeństwa, itd.
Sporo zamieszania powoduje zwolnienie z rejestracji zbioru danych przetwarzanych „wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej”. Niektórzy czytają ten przepis w sposób: „Aha! Czyli danych dotyczących klientów też nie muszę rejestrować!”. Nic bardziej mylnego! Jeżeli przetwarzasz dane w celu rozpatrzenia reklamacji, wysyłki i dostarczenia towaru, przyjęcia zamówienia, wysłania kartki świątecznej – to będą już zupełnie inne cele przetwarzania i zwolnienie dotyczące wystawienia faktury lub rachunku już tu nie obowiązuje.