Uniknąć ustawy o ochronie danych osobowych (UoODO) niełatwo, gdyż z założenia ma ona szeroki krąg adresatów. Wśród wyjątków, przewidzianych w art. 2 ust. 3 i art. 3a, jest m.in. działalność dziennikarska, literacka i artystyczna.Oczywiście nie każda sfera działalności wydawcy prasowego czy twórcy będzie zwolniona z rygorów Ustawy. Zgodnie z zasadą, że wyjątków nie interpretuje się rozszerzająco, dana działalność musi, według przepisów prawa lub – w braku takowych – w powszechnie przyjętym rozumieniu, kwalifikować się jako dziennikarska, literacka lub artystyczna, a zatem być bezpośrednio związana z tworzeniem materiału prasowego, utworu literackiego czy dzieła sztuki. Działalność wydawnicza (zwielokrotnianie utworu) i księgarska (dystrybucja) oraz związany z nimi marketing nie spełniają tych wymogów. Zwolnienie obejmuje zbiory danych osobowych utworzone przez dziennikarzy/twórców lub wyłącznie na ich potrzeby – np. dane osób, z którymi dziennikarz współpracuje, jego informatorów lub osób, o których pisze czy zamierza napisać. Rzecz jasna, zawsze obowiązują tu ogólne kryteria stosowania Ustawy: podlegają jej dane osobowe przetwarzane w zbiorach (czyli strukturach uporządkowanych według jednego lub więcej kryteriów) lub przez systemy informatyczne. W ustawie brak definicji działalności literackiej i artystycznej, nie odsyła ona również do innych przepisów, w związku z czym należy przyjąć powszechne rozumienie tego pojęcia. Wśród podstawowych kryteriów kwalifikacji działalności literackiej z pewnością znajduje się nadawanie dziełu indywidualnej treści, charakterystycznej dla autora, jego poglądów i opinii, i nadawaniu im wyrazu artystycznego, stąd też większość autorów komentarzy do UoODO jest zgodna, że opracowywanie np. skorowidzów czy indeksów nie zalicza się do twórczości literackiej. Nawet jeśli dana działalność zalicza się do wyżej wymienionych rodzajów, zwolnienie z wymogów Ustawy nie jest całkowite – przewidziano tu trzy „wyjątki od wyjątku”: – Generalny Inspektor Ochrony Danych Osobowych zachowuje swoje uprawnienia kontrolne również wobec takich administratorów danych; wydawca prasowy nie może zatem odmówić kontrolerom GIODO dostępu do zbiorów danych osobowych ze względu na to, że stanowią one działalność dziennikarską – pozostaje w mocy obowiązek zastosowania odpowiednich środków zabezpieczających zbiory danych osobowych – działalność dziennikarska, literacka czy artystyczna nie może „istotnie naruszać praw i wolności osoby, której dane dotyczą”. Ostatnie z tych zastrzeżeń jest niezbyt jasne – gdyby stosować je formalistycznie, trzeba by przyjąć, że działalność dziennikarska, literacka czy artystyczna, która „istotnie narusza prawa i wolności osoby, której dane dotyczą”, nie korzysta ze zwolnienia i do przetwarzania danych w ramach tej działalności stosuje się wszystkie przepisy ustawy. Nie ma to jednak większego znaczenia, ponieważ wedle Ustawy przetwarzanie danych osobowych w ogóle nie może naruszać praw i wolności osoby, której dane dotyczą. „Jeśli nie możesz ich pokonać, przyłącz się do nich”, głosi amerykańskie powiedzenie. W związku z tym dalsza część artykułu poświęcona będzie ochronie danych osobowych na zasadach ogólnych, spod czego przedsiębiorca w zasadzie nie ma szans się wymknąć. Powszechnie przyjmuje się, że dane osoby fizycznej prowadzącej działalność gospodarczą – jednak tylko te, które widnieją w ewidencji jako dane przedsiębiorcy – nie są danymi osobowymi. Nie ma znaczenia to, czy oprócz danych osobowych zbiór zawiera dane o innych podmiotach – w rozumieniu ustawy jest to zbiór danych osobowych. Administrator danych, czyli kto tu rządzi Jedną z podstawowych kwestii przy stosowaniu przepisów Ustawy jest ustalenie, który z podmiotów mających z nimi do czynienia jest administratorem danych. Pojęcie „administrator danych” oczywiście kojarzy się z administratorem sieci komputerowej, ale również tu Ustawa posługuje się specyficznym językiem: administratorem danych jest w jej rozumieniu podmiot, który decyduje o celach i środkach przetwarzania danych osobowych. Może to być tak „zwykła” osoba fizyczna, osoba fizyczna prowadząca działalność gospodarczą, jak i osoba prawna (spółka, stowarzyszenie, fundacja). Jest to szczególnie ważne, gdy przedsiębiorca współpracuje z wieloma podmiotami (np. wykonawcy czy podwykonawcy umów cywilnoprawnych), które przy spełnianiu świadczeń wynikających z umowy przetwarzają dane osobowe. Ustawa nakłada na administratora danych szereg obowiązków – osoba ta musi:– zapewnić przetwarzanie danych osobowych zgodnie z art. 23.1 UoODO – zastosować środki organizacyjne i techniczne w celu ochrony danych (art. 36 ust. 1) – prowadzić dokumentację opisującą sposób przetwarzania danych i środki zabezpieczające (art. 36 ust. 2) – wyznaczyć administratora bezpieczeństwa informacji (art. 36 ust. 3) – określić, które osoby w firmie przetwarzają dane osobowe w ramach swoich obowiązków, i nadać im upoważnienia do przetwarzania danych osobowych (art. 37) – zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38) – prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych (powinna ona zawierać imiona i nazwiska tych osób, datę nadania …